7 minute read
Константин Саматов
from InfoSec_04_2020
by jozef24
Advertisement
беспечение информационной безопасности – это деятельность, состоящая из огромного числа процессов, часть из которых может быть рутинной и/или трудоемкой. Константин Саматов познакомит читателей с некоторыми инструментами автоматизации процессов информационной безопасности и опытом их применения в процессах обеспечения безопасности объектов критической информационной инфраструктуры.
Процесс – это деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы 1 . Приведем в качестве примера процесс реагирования на инцидент информационной безопасности, где вход – это события информационной безопасности, деятельность – это реализация мероприятий по идентификации события в качестве инцидента и реагирование на него, а выход – восстановление исходного состояния информационного актива. Процессы являются центральным элементом информационной безопасности и реализуются на разных уровнях управления (см. табл. 1).
Как видно из табл. 1, есть несколько уровней и на каждом уровне множество процессов, которые необходимо сначала реализовать (с учетом широкого набора регулятивных требований), затем поддерживать (с учетом новых угроз и рисков, а также постоянного увеличения количества информационных активов) и совершенствовать (повышать их зрелость). При этом текущие реалии таковы, что численность работников подразделений информационной безопасности, как правило, невелика, причем даже в крупных компаниях.
Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации. Инструменты автоматизации процессов информационной безопасности
На сегодняшний день существует большое количество различных инструментов автоматизации процессов информационной безопасности, практически для каждого процесса есть свой Таблица 1
инструмент. В табл. 2 в качестве примера приведены наиболее распространенные инструменты автоматизации и показано, какие процессы они автоматизируют.
Далее я проиллюстрирую то, каким образом можно автоматизировать процессы информационной безопасности при помощи описанных выше инструментов на примере актуального для большинства организаций обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ).
Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации.
Уровень управления
Стратегический
Функциональный
Операционный
Чем реализуется
Система менеджмента информационной безопасности Система информационной безопасности
Подсистема безопасности конкретного информационного актива
В каких процессах проявляется
Процессы менеджмента информационной безопасности: планирование, внедрение, мониторинг и контроль, совершенствование Процессы обеспечения информационной безопасности всей организации, например: обеспечение непрерывности, мониторинг информационной инфраструктуры, управление инцидентами и уязвимостями, обеспечение физической безопасности, предотвращение утечек, контроль персонала и т.п. Процессы обеспечения информационной безопасности конкретного актива (информационная система, автоматизированная система управления и т.п.), например: настройка прав доступа, обновление программного обеспечения, защита от вредоносного программного обеспечения и т.п.
Таблица 2
Уровень управления
Стратегический
Функциональный
Операционный
Инструмент автоматизации
Security GRC (Governance, Risk, Compliance)
SOAR (Security Orchestration, Automation and Response)
IdM (Identity Management)
IDS (Intrusion Detection System)/ IPS (Intrusion Prevention System) DLP (Data Leak Prevention)/ UAM (User Activity Monitoring)/ UEBA (User and Entity Behavior Analytics) EDR (Endpoint Detection and Response)
Какие процессы автоматизирует
Процессы планирования, внедрения, мониторинга, контроля и совершенствования
Процесс управления инцидентами и уязвимостями, включая автоматический ответ на инциденты Процесс управления доступом
Процесс обнаружения (предотвращения) вторжений Процесс предотвращения утечек и (или) контроля персонала
Процесс защиты от вредоносного программного обеспечения
MDM (Mobile Device Management) Процесс управления мобильными устройствами
Данный уровень представлен клиентской частью (агентами) обозначенных на предыдущем уровне инструментов, которая осуществляет сбор информации и управление подсистемами безопасности конкретных информационных активов
Таблица 3
Процесс
Создание (актуализация состава) постоянно действующей комиссии по категорированию Выявление критических процессов
Анализ возможных действий нарушителей и угроз безопасности информации Установление каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости ее присвоения
Применение Security GRC
Ведение перечня членов комиссии, поддержание его в актуальном состоянии, генерация приказа нажатием одной клавиши
Составление перечня критических процессов, его актуализация, корреляция перечня процессов с объектами КИИ Ведение перечня угроз и нарушителей, его актуализация по мере необходимости
Совместная работа членов комиссии в Workflow-среде, предоставленной данным инструментом, фиксация хода работы и экспертных оценок, генерация на их основе актов категорирования и сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, по установленной форме
В рамках обеспечения безопасности значимых объектов КИИ можно выделить следующие группы процессов: 1. Категорирование объектов КИИ. 2. Создание и функционирование системы безопасности значимых объектов КИИ (СБ ЗОКИИ). 3. Реагирование на инциденты и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Рассмотрим автоматизацию каждой из этих групп более подробно.
Категорирование объектов КИИ 2
Основным инструментом автоматизации данной группы процессов служит Security GRC. Возможности использования данного инструмента представлены в табл. 3.
Следует также отметить, что категорирование – это не разовый процесс. Пересмотр результатов категорирования требуется в таких случаях, как: 1. Истечение пяти лет с момента первичного категорирования. В данном случае посредством среды Workflow организуется совместная работа членов комиссии, которые оценивают с точки зрения актуальности имеющиеся в Security GRC данные первичного категорирования, вносят корректировки (при необходимости) игенерируют итоговые документы – акт категорирования и сведения о категорировании, если категория значимости изменилась. 2. Создание нового объекта КИИ. В данном случае в Security GRC достаточно создать карточку нового объекта. При этом информация о его компонентах и используемых средствах защиты автоматически подтянется (при наличии соответствующих настроек и коннекторов) от систем контроля конфигурации, затем при помощи среды Workflow организуется совместная работа членов комиссии по оценке критериев значимости и создаются итоговые документы. 3. Изменение объекта КИИ. При изменении состава объекта, количества компонентов, его архитектуры и т.п. новые сведения попадут в карточку объекта, как правило, автоматически, комиссии достаточно будет провести оценку их влияния на значимость и сгенерировать итоговые документы.
Создание и функционирование СБ ЗОКИИ
Основным инструментом автоматизации данной группы процессов также служит Security GRC.
Реклама
На этапе создания СБ ЗОКИИ используются исходные данные, полученные Security GRC в ходе категорирования. В частности, на основе проведенного в рамках категорирования анализа угроз (включая моделирование нарушителя) проводится генерация моделей угроз для значимых объектов КИИ, а собранные инвентаризационные данные используются в рамках технического проектирования.
Однако больший эффект от использования данного инструмента достигается на этапе функционирования СБ ЗОКИИ (табл. 4).
Несмотря на то что данная группа пересекается с процессами функционирования СБ ЗОКИИ, по моему мнению, следует рассматривать ее как самостоятельную ввиду того, что в рамках реализации требований законодательства о безопасности КИИ в этой части появилось целое направление обеспечения информационной безопасности – корпоративные (ведомственные) центры мониторинга и реагирования на инциденты информационной безопасности, также известные как SOC (Security Operations Center), и центры ГосСОПКА 3 .
Основным инструментом автоматизации деятельности SOC служит SOAR (Security Orchestration, Automation and Response), который может представлять собой единое решение (то есть один продукт, сочетающий в себе все функции), а может Таблица 4
Процесс
Планирование мероприятий по обеспечению безопасности значимых объектов КИИ
Реализация мероприятий по обеспечению безопасности значимых объектов КИИ
Мониторинг и контроль
Совершенствование процессов обеспечения безопасности значимых объектов КИИ
состоять из совокупности следующих инструментов автоматизации: l SIEM (Security Information and Event Management) – осуществляет сбор и анализ информации о событиях информационной безопасности, сигнализирует о возможных инцидентах. Источниками событий служат такие инструменты как IdM, IDS\IPS, DLP\UAM\UEBA, EDR, MDM и т.п.; l TIP (Threat Intelligence Platform) – осуществляет сбор и анализ информации об уязвимостях и угрозах из внешних источников; l IRP (Incident Response Platform) – данный инструмент представляет собой платформу для управления инцидентами информационной безопасности и совместной работы команды реагирования.
Все указанные выше инструменты, объединенные в одну систему, позволяют практиче
3 Подробнее данные вопросы рассмотрены в статьях: Саматов К.М. Проблемные вопросы взаимодействия с ГосСОПКА // Information Security/Информационная безопасность. 2019. № 4. С. 4–7; Саматов К.М. SOC в действии // InformationSecurity/Информационная безопасность. 2019. № 5. С. 24–25.
Применение Security GRC
Формирование и ведение планов мероприятий, их своевременная актуализация, возможность обеспечения доступа к планам всем заинтересованным лицам, возможность назначения ответственных за выполнение мероприятий в виде сервисных заявок в Service Desk Фиксация выполнения мероприятий плана с подкреплением подтверждающих документов (например, приказ о вводе в эксплуатацию средства защиты информации, подтверждающий выполнение мероприятия, и т.п.)
Проведение аудитов на соответствие требованиям по загруженным в систему методикам, например на соответствие требованиям приказов ФСТЭК России № 235 и № 239 Возможность выгрузки отчетов по различным параметрам, помогающих формировать рекомендации по совершенствованию процессов
ски полностью автоматизировать процессы управления инцидентами информационной безопасности, в частности: l сбор данных о событиях информационной безопасности со всех источников в единую среду, анализ и управление ими (Orchestration); l автоматизация выполняемых в рамках реагирования на инцидент действий посредством заранее подготовленных шаблонов, так называемых плейбуков, в том числе заполнения карточки компьютерного инцидента для передачи (ручной либо автоматической) в ГосСОПКА (Automation); l автоматическое реагирование на инциденты в форме сдерживания или локализации –включение профилей с более жесткими настройками на средствах защиты, изолирование атакованных хостов, выключение некритичных сервисов и т.п. (Response). l
В рамках реализации требований законодательства о безопасности КИИ появилось целое направление обеспечения информационной безопасности –корпоративные (ведомственные) центры мониторинга и реагирования на инциденты информационной безопасности, также известные как SOC.
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
