InfScr52021 by poolelor

Cover_01 12/2/21 17:06 Page Cov1

Издание компании

15–17

2022

Спецпроект

IRP, SOAR, SOC

Умный дом и Умный гоРод: Кии или нет? АвтомАтизАция РеАгиРовАния нА инциденты инфоРмАционной безопАсности: плюсы, особенности, Решения зАщитА пеРсонАльных дАнных – есть или нет КАК зАщитить КомАнды SecOpS от пеРегРУзоК и выгоРАния DLp: один в поле не воин? если есть пРоцессы, то зАчем нУжен АнтивиРУс? четыРе эффеКтивных способА пРедотвРАтить РАсКРытие КоммеРчесКой тАйны пАтентовАние по: зАчем вАм пРигодится и КАК осУществить? сРАвнительный обзоР систем КлАссА IRp / SOAR

Алексей Раевский

На рыНке иНформациоННой безопасНости важНа репутация

www.itsec.ru

№ 5, ноябрь 2021

IB_Jornal 12/2/21 17:06 Page cov2

Preview 12/2/21 16:19 Page 1

www.itsec.ru

Ты чаво опять смурной? Говорят, что слишком светлое будущее непрактично.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

Так повелось, что исследования в области информационной безопасности стремятся выявить и наиболее рельефно продемонстрировать в первую очередь проблемные аспекты. Мало распространена практика исследований о том, как все хорошо, – может быть, об этом не так практически полезно читать? Безусловно, такой момент связан и со спецификой информационной безопасности: нельзя расслабляться и почивать на лаврах, каждая минута невнимательности может быть использована злоумышленниками! Компания Trend Micro выпустила исследование1 о том, насколько все тяжело с информационной безопасностью в свете цифровой трансформации. Из его результатов следует, что цифровая трансформация имеет заметно больший приоритет в моменты, когда нужно сделать выбор между функциональностью и защищенностью. При этом топ-менеджмент в половине случаев не осознает в достаточной степени важность киберрисков, а руководители ИБ в диалоге с руководством организаций, говоря об информационной безопасности, вообще стараются тщательно подбирать слова, опасаясь показаться паникерами. Компания SearchInform в своем исследовании2, приуроченном ко дню кибербезопасности, осветила проблемы кадров для ИБ. И тут все оказывается непросто: в госсекторе ситуация более напряженная, чем в частных организациях, ИБ-специалистам не хватает времени, чтобы разобраться с актуальными задачами имеющимися силами, квалификация вновь нанимаемых сотрудников оставляет желать лучшего, а к аутсорсингу функций ИБ заказчики продолжают относиться очень настороженно. Если заглянуть в исследования по смежным темам, то и здесь информационная безопасность зачастую квалифицируется как недостаточная. Согласно исследованию Data Paradox3, заметная доля опрошенных собирает данные быстрее, чем может их анализировать и использовать. И при этом респонденты сетуют, что хотели бы получить большую защищенность этих данных, чем та, на которую могут сейчас рассчитывать. А компания Trend Micro попыталась еще раз заглянуть вперед, в будущее, в форме художественного минисериала Project 20304. Предсказания прошлого сезона Project 2020 частично сбылись, поэтому любопытно посмотреть, что в части корпоративной безопасности представлено в этот раз. К примеру, как ответ рынку программ мониторинга рабочих мест появится серый рынок противодействующих этому инструментов, массовый переезд в облака сделает их основной мишенью для атак, а из-за задействованного злоумышленниками искусственного интеллекта станет полностью невозможной атрибуция атак. В известном смысле сказки двигают технический прогресс. Что ж, пожалуй, чтобы это движение было стабильным, текущие исследования по информационной безопасности действительно должны быть пессимистичными.

https://www.trendmicro.com/explore/en_gb_trendmicro-global-risk-study https://searchinform.ru/news/company-news/2021/11/30/bolshe-poloviny-gosorganizacij-ne-obespechenyib-kadrami-i-zaschitnym-po-sredi-chastnyh-kompanij-takih-tret/ 3 http://delltechnologies.com/dataparadox 4 https://2030.trendmicro.com/en_ru/ 2

• 1

Contents 12/2/21 17:05 Page 2

СОДЕРЖАНИЕ ПРАВО И НОРМАТИВЫ Анастасия Заведенская, Наталья Григорьева, Татьяна Пермякова Обзор законодательства. Сентябрь, октябрь – 2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 стр.

В ФОКУСЕ КИИ Константин Саматов Умный дом и умный город: КИИ или нет? . . . . . . . . . . . . . . . . . . . .12

ПЕРСОНЫ Алексей Раевский На рынке информационной безопасности важна репутация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

стр.

СПЕЦПРОЕКТ – IRP, SOAR, SOC Екатерина Черун, Виктор Сердюк Автоматизация реагирования на инциденты информационной безопасности: плюсы, особенности, решения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Александр Носарев Самый SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 Полина Руэда-Маэстро Развитие SOC на базе продуктов R-Vision . . . . . . . . . . . . . . . . . . . .22

стр.

Владимир Дмитриев SOC CyberART: сделать недопустимые события невозможными . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Михаил Кондрашин Автоматизация реагирования: как защитить команды SecOps от перегрузок и выгорания . . . . .26

Сравнительный обзор систем класса IRP . . . . . . . . . . . . . . . . . . . . .28 стр.

Автоматическое реагирование на инциденты Круглый стол . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 2 •

Contents 12/2/21 17:05 Page 3

СОДЕРЖАНИЕ УПРАВЛЕНИЕ Андрей Слободчиков Защита персональных данных – есть или нет . . . . . . . . . . . . . . . . .35 Мурад Мустафаев Обязательные технологические компоненты современной инфраструктуры ИБ . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Алексей Горелкин Если есть процессы, то зачем нужен антивирус? . . . . . . . . . . . . . .38 Иван Корешков

Журнал "Information Security/Информационная безопасность" № 5, 2021 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов Редактор Светлана Хафизова

"Осторожно: инсайдеры!" Четыре эффективных способа предотвратить раскрытие коммерческой тайны . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 Роман Подкопаев Makves: спонтанные файловые хранилища под контролем . . . . .42 Александр Коновалов

Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru

DLP: один в поле не воин? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 Департамент продажи рекламы Зинаида Горелова, Ольга Терехова

ТЕХНОЛОГИИ Екатерина Маренникова "Центр-Т": управление загрузкой терминалов в новой удобной форме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

БЕЗОПАСНАЯ РАЗРАБОТКА Александр Буравцов МойОфис совмещает функциональность и безопасность . . . . . .47 Дарья Орешкина Flexible SCA – это про переиспользование кода . . . . . . . . . . . . . . .50 Елена Хомякова Патентование программного обеспечения: зачем вам пригодится и как осуществить? . . . . . . . . . . . . . . . . . . .52

Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО “"Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки Тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2021

• 3

Zavedenskaya 12/2/21 17:05 Page 4

ПРАВО И НОРМАТИВЫ

Обзор изменений в законодательстве Изменения требований к обработке персональных данных, новый порядок аттестации объектов информатизации, проект правил обращения со служебной тайной

Сентябрь-2021 Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности Наталья Григорьева, помощник аналитика Аналитического центра Уральского центра систем безопасности

Внесение изменений в положения о лицензировании отдельных видов деятельности ФСБ России 27 сентября 2021 г. повторно выступила с инициативой проекта постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности"1 (далее – проект ПП РФ). Первую версию данного проекта мы рассматривали в июльском обзоре изменений законодательства этого года2. Вступление проекта ПП РФ в силу предполагается с 1 марта 2022 г. 1

обзоре изменений за сентябрь 2021 г. рассмотрим повторную инициативу ФСБ России об изменениях в положениях о лицензировании, проследим изменения в требованиях к процессам обработки персональных данных, поговорим о государственном контроле в сфере электронной подписи и отчетности для финансовых организаций по защите информации для Банка России и посмотрим, какие требования в области информационной безопасности вступили в силу в сентябре текущего года.

Проектом ПП РФ предлагается изменить следующие пункты: l положение о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, утвержденное постановлением Правительства Российской Федерации от 12 апреля 2012 г. № 287; l положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313; l положение о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица

или индивидуального предпринимателя), утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 314. Основным предлагаемым изменением остается запрет на осуществление лицензируемой деятельности иностранными юридическими лицами. Проектом ПП РФ уточняется, что оценка соответствия лицензионным требованиям соискателя лицензии проводится в форме документарной и выездной оценок. Предоставление же соискателем лицензии заявления и документов, необходимых для получения лицензии, осуществляется в форме электронных документов (пакета электронных документов) или на бумажном носителе.

Государственный контроль (надзор) за обработкой персональных данных На официальном интернет-портале правовой информации 21 сентября 2021 г. был опубликован приказ Минцифры России № 686 "О признании утратившими силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обра-

https://regulation.gov.ru/projects#npa=120793 См. Заведенская А.А. Обзор изменений в законодательстве. Июль-2021 // Information Security/ Информационная безопасность. 2021. № 4. С. 4–6. 2

4 •

Zavedenskaya 12/2/21 17:05 Page 5

www.itsec.ru

ПРАВО И НОРМАТИВЫ

ботки персональных данных требованиям законодательства Российской Федерации в области персональных данных" и внесенных в него изменений" и внесенных в него изменений"3 (далее – приказ № 686). Приказ № 686 вступил в силу 2 октября 2021 г. Приказом № 686 признаются утратившими силу: l приказ Минцифры России от 14 ноября 2011 г. № 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных"; l приказ Минцифры России от 8 октября 2014 г. № 403 "О внесении изменений в Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312". Стоит отметить, что теперь государственный контроль (надзор) будет осуществляться в соответствии с постановлением Правительства Российской Федерации от 29 июня 2021 № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"4. Данное постановление мы рассматривали в июньском обзоре за 2021 г.5.

Требования по обработке биометрических персональных данных 1. Приказ Минцифры России от 27 августа 2021 г. № 896 "Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц и (или) оказывающей услуги по идентификации и (или) аутентифика-

ции с использованием биометрических персональных данных физических лиц"6 (далее – приказ № 896) официально опубликован 17 сентября 2021 г. 2. Приказ № 896 устанавливает часть требований для прохождения организациями аккредитации для допуска к сбору и обработке используемых для аутентификации биометрических персональных данных (ПДн) в информационных системах (далее – ИС) организаций, в том числе организаций финансового рынка, осуществляющих такую идентификацию и (или) аутентификацию. Требования к таким ИС установлены ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации информационных технологиях и о защите информации" (далее – ФЗ-149). Большая часть указанных требований, как и приказ № 869, вступают в силу с 1 марта 2022 г. и будут действовать до 1 марта 2028 г. 3. Приказ Минцифры России от 6 августа 2021 г. № 816 "Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"7 (далее – приказ № 816) официально опубликован 8 сентября 2021 г. 4. Приказом № 816 отменяется действовавшая ранее методика, определенная приказом Минцифры России от 21 июня 2018 г. № 307 "Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения

идентификации, предусмотренной Федеральным законом от 27 июля 2006 года № 149-Ф3 "Об информации, информационных технологиях и о защите информации". 5. Приказом № 816 установлено, что в отношении биометрических ПДн, используемых в соответствии с ч. 18 и 18.14 ст. 14.1 ФЗ-149 для идентификации, степень взаимного соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн, достаточная для проведения идентификации физического лица, составляет не менее 0,9999. 6. 3 сентября 2021 г. официально опубликован приказ Минцифры России от 7 июля 2021 г. № 685 "Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-Ф3 "Об информации, информационных технологиях и о защите информации"8 (далее – приказ № 685). Приказ № 685 замещает ранее действовавший приказ Минцифры России от 25 июня 2018 г. № 323 "Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей".

Порядок уничтожения обезличенных ПДн субъектами экспериментального правового режима Минцифры России 2 сентября 2021 г. опубликовало проект приказа "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима"9 (далее – проект приказа). Требования проекта приказа будут распространяться на субъекты экспериментального правового режима в сфере цифровых инноваций в случае прекра-

http://publication.pravo.gov.ru/Document/View/0001202109210016 http://publication.pravo.gov.ru/Document/View/000120210630005 5 См. Заведенская А.А. Обзор изменений в законодательстве. Июнь-2021 // Information Security/Информационная безопасность. 2021. № 3. С. 6–9. 6 http://publication.pravo.gov.ru/Document/View/0001202109170030 7 http:// publication. pravo. gov. ru/ Document/ View/0001202109080035 8 http://publication.pravo.gov.ru/Document/View/0001202109030034 9 https://regulation.gov.ru/projects#npa=119927 4

• 5

Zavedenskaya 12/2/21 17:05 Page 6

ПРАВО И НОРМАТИВЫ щения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации". Планируемый порядок уничтожения ПДн, полученных в результате обезличивания (далее – обезличенные данные), включает в себя следующие действия: 1. Субъект экспериментального правового режима не позднее окончания рабочего дня, следующего за днем прекращения статуса, осуществляет блокирование обезличенных данных и в срок, не превышающий семи рабочих дней с даты наступления такого случая, уничтожает обезличенные данные. 2. Факт уничтожения обезличенных данных фиксируется субъектом экспериментального правового режима в акте об их уничтожении (далее – акт), который составляется и подписывается субъектом экспериментального правового режима. 3. В акт необходимо включить следующую информацию: l о дате, времени и месте составления акта; l о носителях обезличенных данных, позволяющих однозначным образом идентифицировать их; l о перечне и объеме уничтоженной информации; l о средствах защиты информации, посредством которых осуществлено уничтожение. 4. Акт составляется в четырех экземплярах. 5. Субъект экспериментального правового режима в течение трех рабочих дней со дня уничтожения обезличенных данных направляет в контрольно-надзорные органы (Роскомнадзор, ФСБ России, Минцифры России) подписанный акт с приложением документов, материалов и иной информации, подтверждающей факт уничтожения обезличенных данных (далее – документы). В случае непредоставления, несвоевременного предоставления или неполного предоставления документов в отношении субъекта экспериментального правового режима может быть принято решение о проведении контрольных (надзорных) мероприятий. Для уничтожения обезличенных данных должны применятся прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена ПДн В Государственную Думу Федерального Собрания Российской Федерации 28 сентября 2021 г. был внесен законопроект "О ратификации Соглашения 10 11 12

о взаимной правовой помощи по административным вопросам в сфере обмена персональными данным"10. Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными (далее – соглашение) было подписано в Москве 18 декабря 2020 г. Сторонами соглашения являются государства – участники Содружества Независимых Государств. Ратифицируемое соглашение предлагает следующее определение термина "ПДн": это любая информация, прямо или косвенно относящаяся к физическому лицу, либо лицу идентифицированному, либо тому лицу, которое может быть идентифицировано.

Перечень индикаторов риска нарушения обязательных требований в сфере электронной подписи Минцифры России 15 сентября 2021 г. опубликовало проект приказа "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи"11. В перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, в частности, планируется включить: l ненаправление аккредитованным удостоверяющим центром в течение квартала с момента получения аккредитации сведений о выданных квалифицированных сертификатах ключей проверки электронной подписи (далее – квалифицированный сертификат) в единую систему идентификации и аутентификации (ЕСИА); l ненаправление аккредитованным удостоверяющим центром в течение квартала с момента последнего направления сведений о выданных квалифицированных сертификатах в ЕСИА; l наделение удостоверяющим центром третьих лиц (доверенных лиц) полномочиями по приему заявлений на выдачу сертификатов ключей проверки электронной подписи, а также вручению сертификатов.

Отчетность по защите информации для Банка России Центральным Банком России 30 сентября 2021 г. опубликован проект указания "О внесении изменений в Указание Банка России от 8 октября 2018 года № 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской

https://sozd.duma.gov.ru/bill/1256973-7 https://regulation.gov.ru/projects#npa=120391 https://regulation.gov.ru/projects#npa=120932

6 •

Федерации"12 (далее – проект указания). Проектом указания предлагается дополнить формы отчетности кредитных организаций формой 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации". Предполагаются следующие сроки представления формы 0409071 кредитными организациями в Банк России: l не реже одного раза в год не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подп. 1.5.3 п. 1.5 положения Банка России от 20 апреля 2021 г. № 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подп. 1.4.2 п. 1.4 Положения Банка России от 20 апреля 2021 г. № 757-П; l не реже одного раза в два года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия согласно требованиям, установленным п. 9 положения Банка России от 17 апреля 2019 г. № 683-П, при осуществлении банковской деятельности, п. 2.3 и 6.7 положения Банка России от 4 июня 2020 г. № 719-П при осуществлении деятельности оператора по переводу денежных средств, оператора услуг платежной инфраструктуры при осуществлении деятельности расчетного центра, п. 19 Положения Банка России от 23 декабря 2020 г. № 747-П при осуществлении деятельности участника платежной системы Банка России; l не реже одного раза в три года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подп. 1.5.3 п. 1.5 положения Банка России от 20 апреля 2021 г. № 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подп. 1.4.3 п. 1.4 положения Банка России от 20 апреля 2021 года № 757-П. В рамках направления "Безопасность информационной инфраструктуры" проводится оценка применения организационных и технических мер процесса системы защиты информации, указанных в национальном стандарте Российской Федерации ГОСТ Р 57580.1–2017. В том числе по этому направлению указываются значения оценки по результатам оценки соответствия защиты информации в соответствии с ГОСТ Р 57580.2–2018. Всведениях о проверяющей организации в том числе указывается стоимость оценки соответствия, проведенной согласно положениям ГОСТ Р 57580.2–2018. 9 сентября 2021 г. Банком России опубликован проект указания "О фор-

—

15—17

www.tbforum.ru

Zavedenskaya 12/2/21 17:05 Page 8

ПРАВО И НОРМАТИВЫ мах, сроках и методиках составления и представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности о защите информации при осуществлении переводов денежных средств"13. Данным проектом предлагается обновление форм отчетности 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра" и 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".

Новый порядок аттестации объектов информатизации ФСТЭК России 2 сентября 2021 г. опубликовала информационное сообщение "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"14. Информационным сообщением ФСТЭК России напоминает о вступлении в силу с 1 сентября 2021 г. нового порядка аттестации. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не

составляющей государственную тайну, утвержден приказом ФСТЭК России от 29 апреля 2021 г. № 77 и доступен на сайте ФСТЭК России15. Подробнее о новом порядке аттестации мы говорили в обзоре за август текущего года16.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения С 1 сентября 2021 г. вступил в силу приказ Роскомнадзора от 24 февраля 2021 г. № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения". Указанные требования были опубликованы в апреле 2021 г.

Октябрь-2021 Татьяна Пермякова, старший аналитик Аналитического центра Уральского центра систем безопасности

В Проекты нормативно-правовых актов в отношении контроля обработки и защиты ПДн 2 октября опубликовано постановление Правительства Российской Федерации № 1657 "Об утверждении Правил осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации", организационных и технических мер по 13

обзоре изменений за октябрь 2021 г. рассмотрим правила надзора ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности ПДн, ряд предложений по внесению изменений в требования к государственному надзору в этой сфере и проекты нормативно-правовых документов в области обработки биометрических персональных данных для идентификации и (или) аутентификации физических лиц.

обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации"17. Постановление утверждает правила осуществления контроля ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности персональных данных (ПДн) при использовании единой биометрической системы операторами ПДн. Постановление фиксирует формы, основания и порядок проведения проверок, содержит указания к формированию комиссии органа государственного контроля, допустимые меры, принимаемые контролирующим органом в отношении фактов нарушения требований, а также признаки, по которым можно считать результаты проверки недействительными.

Внесение изменений в Положение о государственном контроле (надзоре) за обработкой персональных данных (проект) Минцифры опубликовало проект постановления Правительства Россий-

ской Федерации "О внесении изменений в положение о государственном контроле (надзоре) за обработкой персональных данных"18. Постановление вводит ключевой показатель федерального контроля – долю контролируемых лиц, в деятельности которых по итогам плановых проверок выявлены нарушения законодательства в области ПДн. Прогноз оптимистичный: целевое значение доли контролируемых лиц, в деятельности которых планируется выявить нарушения законодательства в области ПДн, от общего числа контролируемых лиц к 2026 г. (86%) снизится на 4% относительно 2022 г. (90%). Общественное обсуждение проекта завершилось 18 октября.

Индикативные показатели для контроля за обработкой персональных данных Минцифры России подготовило проект ведомственного приказа "Об утверждении индикативных показателей для федерального государственного конт-

https://regulation.gov.ru/projects#npa=120148 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2271-informatsionnoe-soobshchenie-fstek-rossii-ot2-sentyabrya-2021-g-n-240-24-4303# 15 https://fstec.ru/normotvorcheskaya/akty/53-prikazy/2270-prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77 16 См. Заведенская А.А. Обзор изменений в законодательстве. Август-2021 // Information Security/Информационная безопасность. 2021. № 4. С. 6—7. 17 http://publication.pravo.gov.ru/Document/View/0001202110020003 18 https://regulation.gov.ru/projects#npa=121034 14

8 •

Zavedenskaya 12/2/21 17:05 Page 9

www.itsec.ru

ПРАВО И НОРМАТИВЫ

роля (надзора) за обработкой персональных данных"19. Приказ вводит 20 показателей. Они применяются для мониторинга федерального государственного контроля за обработкой ПДн, его анализа, выявления проблем, возникающих при его осуществлении, и определения причин их возникновения. Устанавливаемые показатели формируются с учетом реализуемого риск-ориентированного подхода при осуществлении надзора. Сведения об индикативных показателях используются при подготовке ежегодного доклада Роскомнадзора. Общественное обсуждение проекта завершилось 4 ноября.

Индикаторы риска нарушения требований по надзору за обработкой персональных данных Для обсуждения представлен еще один проект ведомственного приказа Минцифры "Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных"20. Перечень индикаторов риска содержит две позиции: риски, связанные с невыполнением требований по уточнению, блокированию или уничтожению данных, а также с распространением, предоставлением ПДн в сети "Интернет". Общественное обсуждение проекта завершилось 4 ноября.

Изменение требований к средствам удостоверяющего центра (проект) ФСБ России опубликовала проект приказа "О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796"21. 19 20 21 22 23

Предлагается изменение изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети "Интернет", защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники. Публичное обсуждение проекта завершилось 27 октября. Согласно текущей версии проекта, планируемый срок действия приказа – с 1 марта 2022 г. до 1 января 2027 г.

Правила обращения со служебной тайной (проект) Министерство обороны опубликовало проект постановления Правительства Российской Федерации "Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны"22. Постановление предназначено для органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в организации и выполнении мероприятий в области обороны. Проект содержит описание понятия "служебная тайна", порядок отнесения сведений к служебной тайне и перечень информации, которая не может быть к ней отнесена. Правила содержат описание реквизитов документов, содержащих служебную тайну, закрепляет ответственность должностных лиц при допуске к работе с такими сведениями, а также фиксируется порядок приема, отправки, учета и уничтожения документов, содержащих служебную тайну, и проверки наличия таких документов. Публичное обсуждение проекта завершилось 25 октября.

Государственный контроль в сфере идентификации и аутентификации 13 октября официально опубликовано постановление Правительства Российской Федерации от 11.10.2021 № 1729 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации"23. Документ устанавливает порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических персональных данных. Надзор осуществляется Минцифры. Положение содержит описание порядка проведения плановых проверок, правила сбора свидетельств нарушения требований и оформления результатов контрольных мероприятий. Приложение к положению содержит критерии отнесения объектов федерального государственного контроля в сфере идентификации и аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Само положение содержит описание порядка управления рисками причинения такого вреда. Документ вступает в силу с 1 января 2022 г.

Аккредитация для идентификации и аутентификации с использованием биометрии Официально опубликовано постановление Правительства Российской Федерации от 20.10.2021 г. № 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по

https://regulation.gov.ru/projects#npa=121798 https://regulation.gov.ru/projects#npa=121799 https://regulation.gov.ru/projects#npa=121192 https://regulation.gov.ru/projects#npa=121315 http://publication.pravo.gov.ru/Document/View/0001202110130008

• 9

Zavedenskaya 12/2/21 17:05 Page 10

ПРАВО И НОРМАТИВЫ идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц"24. Аккредитацию проводит Минцифры. Правила вступают в силу с 1 января 2022 г. (для иностранных юридических лиц – с 1 марта 2022 г.) и действуют до 1 января 2028 г. Определен перечень случаев, в которых нужна аккредитация. 26 октября опубликовано постановление Правительства Российской Федерации от 23.10.2021 г. № 1815 "Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение"25. Перечень включает случаи идентификации и (или) аутентификации водителей такси, водителей каршеринга, с использованием СКУД (за рядом исключений), участников гражданско-правовых сообществ (за рядом исключений). Документ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

О порядке обработки биометрии Официально опубликован приказ Минцифры от 10.09.2021 г. № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации"26. 24 25 26 27 28 29

Порядок обработки распространяется на данные изображения лица и данные голоса, собранные текстонезависимым методом. Приказ содержит порядок защиты указанных биометрических ПДн, требования к уведомлению об инцидентах ИБ, проведении оценки соответствия, хранению биометрических данных. Закреплены требуемые характеристики создаваемых образцов биометрических данных, подлежащих контролю качества. Установлены условия и порядок размещения биометрических ПДн в единой биометрической системе, а также условия и сроки обязательного обновления данных. Приказ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

Изменения в Положение о контроле в сфере электронной подписи (проект) Для общественного обсуждения представлен проект постановления Правительства Российской Федерации "О внесении изменений в Положение о государственном контроле (надзоре) в сфере электронной подписи"27. Проект предлагает дополнить Положение о государственном контроле (надзоре) в сфере электронной подписи ключевыми показателями федерального государственного контроля (надзора) в сфере электронной подписи и их целевыми значениями. Еще один оптимистичный прогноз: согласно предлагаемым изменениям, целевой показатель соотношения контролируемых лиц, которые получат повторные предписания, к общему количеству контролируемых лиц, в отношении которых выданы первичные предписания, к 2026 г. уменьшится на 25% (по сравнению с целевым показателем 2022 г.). Обсуждение проекта завершено 1 ноября.

Изменения в перечень должностных лиц ФСБ России, уполномоченных составлять протоколы об административных правонарушениях ФСБ России опубликовала проект приказа "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 "Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административ-

http://publication.pravo.gov.ru/Document/View/0001202110210028 http://publication.pravo.gov.ru/Document/View/0001202110260023 http://publication.pravo.gov.ru/Document/View/0001202110280037 https://regulation.gov.ru/projects#npa=121618 https://regulation.gov.ru/projects#npa=121631 http://publication.pravo.gov.ru/Document/View/0001201908020011

10 •

ных правонарушениях в органах федеральной службы безопасности" и утвержденный этим приказом Перечень"28. Проект предлагает расширить перечень лиц, уполномоченных составлять протоколы об административных правонарушениях, перечисленных в ч. 1 ст. 23.91 КоАП РФ. Независимая антикоррупционная экспертиза проекта завершена 1 ноября.

Изменения в Положении о сертификации средств защиты информации Официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 г. № 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55". В соответствии с приказом серийно производимое средство защиты информации (СрЗИ) считается сертифицированным, если оно произведено в срок действия сертификата, соответствует требованиям по безопасности и изготовитель осуществляет его техническую поддержку. Срок действия сертификата единичного средства (или партии) не устанавливается. Приказ вносит ряд изменений и дополнений к описанию порядка подготовки образцов для сертификационных испытаний, их проведения, взаимодействия органа сертификации и производителя СрЗИ.

Дополнительные требования для некоторых объектов КИИ Вступило в силу постановление Правительства Российской Федерации от 24 июля 2019 г. № 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования"29. Документ закрепляет дополнительные требования обеспечения информационной безопасности для объектов КИИ сферы транспорта, а именно воздушных перевозок. Среди требований – размещение баз данных и серверов на территории Российской Федерации, а также применение сертифицированных средств криптографической защиты информации. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

DialogNauka 12/2/21 17:05 Page 11

Samatov 12/2/21 17:05 Page 12

В ФОКУСЕ

Умный дом и умный город: КИИ или нет? Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

мных устройств, автоматизирующих различные процессы в жизнедеятельности человека, с каждым днем становится все больше и больше. Увеличение их количества приводит к возникновению вопросов, связанных с возможными последствиями для людей в случае нарушения их функционирования и, соответственно, их критичностью. В статье попробуем разобраться, насколько критичны системы, объединяющие так называемые умные устройства, и как они соотносятся с понятием КИИ из 187-ФЗ.

Что представляют собой умный дом и умный город

Если рассматривать умный город как экосистему, то, безусловно, это достаточно критичный объект, поскольку нарушение его функционирования может вести к значительным негативным последствиям.

Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития

Умный дом – это, по сути, набор управляемых устройств, небольших автоматизированных систем управления бытовым технологическим процессом: включение освещения (умная лампа), включение электроприборов (умная розетка), приготовления пищи (чайник, мультиварка), уборка (пылесос), управление климатом (кондиционер, вентилятор, обогреватель) и т.п. Умный город – это уже заметно более сложный комплекс, где к системам управления могут добавляться информационные системы (в том числе обрабатывающие большие данные, использующие механизмы искусственного интеллекта и машинного обучения). Инфраструктура умного города может интегрировать в себя такие сферы, как: l жилищно-коммунальное хозяйство; l электроснабжение; l транспорт; l коммуникации и связь; l розничная торговля и услуги; l здравоохранение; l наука; l образование; l культура; l муниципальное управление; l безопасность. Таким образом, видно, что и умный город, и умный дом представляют собой совокупность

автоматизированных систем1 различного вида (информационные системы и автоматизированные системы управления), объединенных в единую инфраструктуру.

Критическая информационная инфраструктура В соответствии с терминологией, принятой в действующем законодательстве2, критическая информационная инфраструктура (КИИ) представляет собой совокупность объектов КИИ и сетей электросвязи, используемых для организации взаимодействия этих объектов. Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъекты КИИ – это государственные органы (учреждения), российские юридические лица или индивидуальные предприниматели (далее – организации) функционирующие в определенных сферах жизнедеятельности. Очевидно, что системы и умного города, и умного дома потенциально могут быть объектами КИИ. Отсюда возникает следующий вопрос: в каком случае они будут являться объектами КИИ и насколько целесообразно их к таковым относить?

Умный дом и умный город: КИИ или не КИИ с точки зрения законодательства? Умные дома, принадлежащие физическим лицам (обычным пользователям умных устройств), не относятся к объектам КИИ, так как физическое лицо не входит в понятие субъекта КИИ. Умные дома (системы управления жизнеобеспечением рабочих помещений), принадлежащие организациям, функционирующим в одной из сфер, перечисленных в законодательстве, попадают в область регулирования законодательства о безопасности КИИ и должны быть оценены с точки зрения применения к ним критериев значимости3. В части умного города ситуация выглядит несколько сложнее, так как его экосистему образует множество различных организаций, функционирующих в различных сферах, причем как включенных в КИИ (субъекты КИИ) – электроснабжение, транспорт, коммуникации и связь, здравоохранение, наука, так и не входящих в перечисленные в законодательстве о безопасности КИИ сферы – розничная торговля и услуги, жилищно-коммунальное хозяйство, образование, культура, муниципальное управление, безопасность. Таким образом, умный город представляет собой экосистему, которую можно рассматривать

1 Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003–90). 2 Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 № 187-ФЗ. 3 В соответствии с алгоритмом, описанным в постановлении Правительства РФ от 08.02.2018 г. N 127 (ред. от 13.04.2019 г.) "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

12 •

Samatov 12/2/21 17:05 Page 13

www.itsec.ru

КИИ

под разными углами: как совокупность субъектов КИИ и не являющихся таковыми организаций или как единую автоматизированную систему, функционирующую в различных сферах.

Умный дом и умный город: КИИ или не КИИ с практической точки зрения? По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохозяйства, умный дом хозяйствующего субъекта и умный город. 1. Умный дом домохозяйства, то есть физического лица, с точки зрения критичности, иными словами, масштаба негативных последствий, вызванных нарушением его функционирования, вряд ли можно отнести к объектам КИИ, ведь нарушение функционирования системы умного дома несет негативные последствия лишь для домохозяйства, а не для крупного хозяйствующего субъекта, отрасли экономики или страны в целом. 2. Умный дом хозяйствующего субъекта может быть как критическим объектом, в результате нарушения которого могут быть серьезные негативные последствия (например, нарушение функционирования государственного органа или ситуационного центра), так и не критическим (например, если нарушатся системы жизнеобеспечения объекта торговли или услуг, никаких серьезных последствий не произойдет). 3. Умный город, по сути, есть некая большая автоматизиро-

ванная система, объединяющая множество систем (сервисов) из разных сфер, часть из которых относится к КИИ, а часть нет. Поэтому если рассматривать умный город как экосистему, то, безусловно, это достаточно критичный объект, поскольку нарушение его функционирования может вести к значительным негативным последствиям. В то же время, по мнению автора, на практике в целях выполнения требований законодательства о безопасности КИИ будет происходить дробление системы умного города на множество отдельных автоматизированных систем, принадлежащих различным организациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет.

Выводы Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития, которое будет развиваться в одном из трех направлений. 1. Расширение распространения законодательства о безопасности КИИ на новые сферы. Например, сфера жилищно-коммунального хозяйства в действующем законодательстве не отнесена к КИИ. В то же время это одна из сфер, которая на сегодняшний день показывает положительную динамику в части применения информационных технологий и значительно влияет на индекс цифровизации IQ городов, рассчитываемый Минстроем России.

Комментарий эксперта С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляющую. Поэтому для такой инфраструктуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ. Хорошим тоном считается привлечение на стадии проектирования специалистов по ИБ, Эрик Нуртдинов, желательно с пониманием специфики защиты умного города начальник или хотя бы АСУ. Таким образом отдела можно сразу предусмотреть все по защите нюансы, связанные с информационной безопасностью. Впроинформации PROF-IT GROUP чем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построение системы защиты обычно требует увеличения времени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функциональности самой системы умного города. У ряда вендоров и интеграторов планомерно развиваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты. l 2. Законодательное закрепление понятия "умный город" и его корреляция с термином "объект КИИ". 3. Создание методики определения границ объектов КИИ с учетом того, что различные элементы объектов КИИ могут принадлежать разным организациям, как субъектам КИИ, так и нет. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Источник: Searchinform

• 13

Zecurion 12/2/21 17:05 Page 14

ПЕРСОНЫ

В информационной безопасности важна репутация Алексей Раевский, генеральный директор Zecurion

П В детстве, как и многие мальчишки, я очень любил научную фантастику и увлекался журналами "Юный техник", "Квант", "Техника – молодежи". Поэтому тогда у меня возникла мечта – быть физиком: открывать тайны природы, изучать, как устроен мир.

Компьютеры стали входить в нашу жизнь, начинали распространяться первые ПК. И тогда же я услышал о Билле Гейтсе, который сумел заработать миллиарды на программном обеспечении. Это меня вдохновило, и я решил попробовать – стал заниматься компьютерами.

Я изначально позиционировал себя как технического специалиста. Занимался разработкой, исследованиями, выпуском продукта, а кто-то другой продавал и продвигал его.

14 •

родолжаем серию интервью с руководителями компаний – участников рынка информационной безопасности. Алексей Раевский, генеральный директор компании Zecurion, рассказал о себе, о бизнесе, о том, как не превратить хранение данных в “файловую помойку" и об экстриме в расследованиях экономических преступлений.

– Алексей, расскажите немного о себе. – Образование у меня фундаментальное: я окончил МИФИ, а до института учился в физикоматематической школе при МИФИ, которая в то время входила в тройку сильнейших в Москве. После окончания института я защитил кандидатскую диссертацию, а еще через некоторое время закончил курс Executive MBA (Master of Business Administration, мастер делового администрирования. – Прим. ред.) в Швейцарии. Мои родители инженеры, и мне передались их интересы. В детстве, как и многие мальчишки, я очень любил научную фантастику и увлекался журналами "Юный техник", "Квант", "Техника – молодежи". Поэтому тогда у меня возникла мечта – быть физиком: открывать тайны природы, изучать, как устроен мир. Школа, в которой я учился, считалась очень серьезной. Она была уже в конце 80-х гг. обеспечена новейшим оборудованием, компьютерными классами, физическими лабораториями. И надо отметить, что обучение в этой школе проходило по институтской системе: семинары, лекции, лабораторные работы. Помню, на первой же лабораторной работе мы изучали механику силы тяжести: нам предстояло провести эксперимент, в котором шарик должен по наклоненному желобу скатиться вниз, и по результатам этого эксперимента надо было вычислить ускорение свободного падения. Я нашел это довольно скучным и понял, что

заниматься наукой не так интересно, как мне казалось. В то же время компьютеры стали входить в нашу жизнь, начинали распространяться первые ПК. И тогда же я услышал о Билле Гейтсе, который сумел заработать миллиарды на программном обеспечении. Это меня вдохновило, и я решил попробовать – стал заниматься компьютерами. – А как вы пришли в сферу ИБ? – Это отдельная история. Я тогда учился, если не ошибаюсь, на втором курсе института, и мой товарищ принес с одной из выставок дискету с программой производства немецкой компании, не открывающуюся без специального ключа. Задача состояла в том, чтобы взломать эту программу, запустить ее без ключа, а за решение полагался денежный приз. Мы вместе с товарищем около месяца изучали принципы работы и защиту этой системы и в результате сумели ее взломать, хотя денег нам, увы, так и не заплатили. Однако с этого момента я стал интересоваться информационной безопасностью. Позже я познакомился с российскими производителями различных средств защиты, но важно, что к этому моменту у меня уже был хороший бэкграунд. – Как вы пришли к созданию собственного бизнеса? – Вы знаете, есть ощущение, что будто кто-то подталкивал меня. Я очень долго пытался отмахиваться от создания собственной компании,

ограничиваясь неформальными видами партнерства. Вообще я изначально позиционировал себя как технического специалиста. Занимался разработкой, исследованиями, выпуском продукта, а кто-то другой продавал и продвигал его. Когда неформальные формы взаимодействия исчерпали себя, передо мной встал выбор: либо бросить дело, либо создать свою компанию. И хотя к тому времени у меня был опыт ведения бизнеса, было все же страшновато: я вообще не знал, с чего начать. К счастью, в тот момент рядом со мной оказались люди, которые оказали моральную поддержку. И все равно в первые два года работы компании я был техническим директором, старался держаться подальше от организационных вопросов и стремился заниматься исключительно продуктом. Но через некоторое время возникла ситуация, в которой мне пришлось взять бразды правления в свои руки, чтобы продолжить развитие компании так, как я считал нужным. – Есть такое понятие, как миссия компании. У Zecurion есть миссия? – Наша миссия – дать заказчикам удобное эффективное средство для борьбы с внутренними угрозами. Внутренние угрозы – очень серьезная проблема для нашей страны. Она особенно актуальна из-за распространенности сложных схем мошенничества, а также воровства и коррупции. Компания может терять огромные средства каждый год из-за внутреннего мошенничества. У боль-

Zecurion 12/2/21 17:05 Page 15

www.itsec.ru

ПЕРСОНЫ

шой компании может быть потеря даже 5% от годового оборота – это очень большие деньги, а 10% могут сравниться с величиной прибыли. Представьте, компания может удвоить чистую прибыль, просто избавившись от этих неприятных факторов. – Есть еще и репутационные потери? – Да, но репутационные издержки в нашей стране влияют на компанию в меньшей степени, чем в других странах. Например, практически в каждом банке происходят утечки, по слитым данным гражданам регулярно звонят мошенники. И что? В западных странах за масштабную утечку компанию ожидает штраф под сотню миллионов долларов. У нас штрафные санкции менее заметны и в плане репутации утечки никаких особых проблем не создают, оттока клиентов из-за утечек не наблюдается. Конечно, есть те, кто к этому вопросу относится очень серьезно и принимает соответствующие меры безопасности, я встречал такие компании. Но, на мой взгляд, это скорее исключение. Поэтому наши основные кейсы – экономическая безопасность, внутрикорпоративное мошенничество, воровство, манипуляции с тендерами, манипуляции с продажами. Кстати, мы недавно выступили сооснователями Forensic Alliance, ведь форензик-расследования – это крайне актуальная тема. Главная цель расследований – не просто увольнение виновника, а возмещение ущерба. Так вот, в альянс вошли важные для форензик-расследований эксперты: адвокатская коллегия, аудиторы, судебные эксперты, частные детективы, и благодаря этому мы можем предоставлять полный спектр услуг. Те, кто занимается расследованиями, рассказывают совершенно потрясающие истории, например, как с нефтеперерабатывающих заводов эшелонами воруют бензин. Понятно, что в этот процесс должно быть вовлечено очень много людей, фактически половина завода. И найти всех, кто замешан, собрать юридически значимые доказательства, определить суммы ущерба, особенно в условиях противодействия с их стороны, – серьезная задача.

Более того, подобные истории случаются не только у нас. Я изучал отчет по внутрикорпоративному мошенничеству, в котором было проанализировано 2,5 тыс. кейсов из 125 стран мира. Лидируют по количеству случаев, как ни странно, Западная Европа и США, которые мы привыкли считать более цивилизованным миром, чем себя. – Чем это можно объяснить? – Просто в США и Западной Европе присутствует традиция доверять сотрудникам. То есть там на высоком уровне защищаются от внешних угроз, хакеров, атак, вторжений. Но, например, в Европе не принято просматривать электронную почту сотрудников, работодатели опасаются претензий со стороны профсоюзов, общественных деятелей и т.д. Только недавно там начали задумываться о предотвращении утечек, потому что несколько лет назад появился новый европейский закон, GDPR, похожий на наш закон о персональных данных, только более жесткий. В США все то же самое, но чуть в меньшей степени. Но все равно такое ощущение, что они живут в розовых очках и не понимают, что, например китайцы, у них уже все технологии "вынесли".

– Хорошо, давайте вернемся к теме основания бизнеса. Какой вы руководитель? – Я никогда не давлю на людей. Если сотрудник не может сделать что-то в срок, то я говорю – о'кей. Я нахожу другие варианты, другие решения. Считаю, что я достаточно мягкий руководитель. Стараюсь подбирать ответственных сотрудников, которые понимают, для чего мы все собрались в одной компании, и разделяют миссию и ценности компании. – Существует ли проблема подготовки ИТ-специалистов? – Я не думаю, что проблема в подготовке. Проблема в том, что сейчас резко вырос спрос на них. То есть какое-то время был некий баланс, а сейчас все занимаются цифровизацией и всем нужны программисты, специалисты по информационной безопасности. Все хотят быть цифровыми, особенно банки. – Именно хотят, не вынуждены? – А почему вынуждены? Посмотрите на Европу и на Америку. Там банки очень консервативны. Для них то, что делают наши, тот же самый Сбер, это просто космос. Для них возможность привязать кар-

Компания может терять огромные средства каждый год из-за внутреннего мошенничества.

Репутационные издержки в нашей стране влияют на компанию в меньшей степени, чем в других странах.

Мы недавно выступили сооснователями Forensic Alliance, ведь форензик-расследования – это крайне актуальная тема. Главная цель расследований – не просто увольнение виновника, а возмещение ущерба.

Я никогда не давлю на людей. Если сотрудник не может сделать что-то в срок, то я говорю – о'кей.

• 15

Zecurion 12/2/21 17:05 Page 16

ПЕРСОНЫ точку к мобильному приложению – это что-то невообразимое. У них появилась целая отрасль FinTech, которая как раз и заполняет эту нишу, потому что банки слишком консервативны и не готовы к какимлибо переменам. – Тогда другой вопрос: почему у нас цифровизация так хорошо прижилась? – Я думаю, что у нас просто нет многовековых традиций ведения бизнеса. Представьте уровень консерватизма банка, который существует 150 лет. А в России общественный уклад меняется каждые 30–40–50 лет. Поэтому у нас нет ощущения здорового консерватизма, здоровой стабильности. Можно сказать, что мы живем как в сейсмически небезопасном районе, поэтому мы вполне готовы рисковать и вкладываться в инновации. На самом деле меня очень удивил Сбер, когда начал скупать ИТ-компании, а потом объявил себя экосистемой. Ну извините, где банк, а где торговля лекарствами и доставка еды? Хотя я себя считаю достаточно прогрессивным, но даже для меня это немного перебор. – Согласна с вами. Помню, какое-то время назад СберБанк позиционировал себя как раз как традиционный стабильный банк. В свете всех происходящих перемен возникает вопрос: кто такой современный безопасник и какими навыками он должен обладать? – Вы знаете, для меня специалист по безопасности в первую очередь клиент. Поскольку наша компания выпускает средства, которые такой специалист будет закупать и использовать, то он для нас – источник вдохновения. Мы учитываем не только потребности, но и пожелания заказчиков. Понимание всего процесса работы и способность оценить, чего на каждом конкретном этапе не хватает в продукте, – это самое главное, что мы получаем от заказчиков. Нам очень важно, чтобы наши пользователи делились с нами обратной связью по продукту. – А какие решения на сегодняшний день наиболее актуальны для ваших заказчиков?

16 •

Zecurion 12/2/21 17:05 Page 17

www.itsec.ru

ПЕРСОНЫ

– Мы занимаемся защитой от внутренних угроз. Раньше мы говорили, что это защита информации от утечек, но сейчас трактуем спектр решаемых задач более широко, где утечки – только одна из составляющих. Системы, которыми мы занимаемся, – это новое поколение, они находятся на более продвинутом уровне, чем просто защита от утечек. Для многих компаний защита от внутренних угроз является важным шагом в построении безопасности организации. – Учитывая переход к цифровизации, защита от внутренних угроз должна становиться все более популярной и востребованной? – Да, мы наблюдаем рост выручки и повышение интереса. Спрос растет, это действительно так. – Почему вы выбрали именно это направление в бизнесе? – Направление мы выбрали на самом деле случайно: просто увидели интересную и актуальную задачу и решили рискнуть и взяться за ее решение. Для начала предстояло создать жизнеспособный продукт, который сможет удовлетворять нужды заказчиков, пусть и самым базовым функционалом. Потом возникла необходимость развития продукта, чтобы он мог стать конкурентоспособным, это обычная бизнес-история. Сейчас мы довольно зрелая компания, нас воспринимают как солидного партнера.

– Кажется ли вам перспективной модель MSSP для DLP и для других продуктов Zecurion? – Это тоже очень интересный вопрос, потому что сейчас данная модель в России развивается весьма активно. Но, мне кажется, на нашем рынке она будет приживаться тяжело. Есть большие компании, где скапливаются огромные массивы критически важных данных, и если произойдет их утечка, то это будет очень неприятно. Поэтому они не могут отдать защиту от утечек внешнему сервис-провайдеру. Аутсорсинг и внешние провайдеры – хороший вариант для небольших компаний, потому что содержание собственной

инфраструктуры обходится слишком дорого для них. Но у нас есть партнерские проекты. Например, в партнерстве с ГК "Инфосекьюрити", которая входит в группу Softline, мы предлагаем MSSP как модель защиты от утечек. Но пока этот сервис требует дополнительных усилий по продвижению для того, чтобы стать успешным. – С чего начать человеку, который хочет создать свой бизнес в сфере информационной безопасности? – Не тратить время на ерунду, которая не приближает вас к поставленной цели! На самом деле я считаю, что своим бизнесом заниматься нужно, как в поговорке "Если можешь не писать – не пиши" (автор высказывания Л.Н. Толстой. – Прим. ред.). Так и здесь: надо делать свой бизнес не просто для того, чтобы денег заработать или стать успешным. Стоит этим заниматься, только если есть внутренняя страсть, искра. Когда понимаешь, что ничем другим заниматься не можешь. Если есть такое понимание, то тут уже советы никакие давать не нужно, потому что так или иначе это позыв проявится и сработает. Конечно, есть много книг, как надо тестировать гипотезы, как искать финансирование и т.д., – в принципе они тоже помогут.

– Каковы ближайшие планы Zecurion? – Мы планируем выпустить новые продукты и увеличить продажи. В планах также есть выход на международные рынки – я считаю это очень важным, потому что все-таки в России для российских компаний созданы тепличные условия: импортозамещение, реестр отечественного ПО и оборудования, сертификация. В результате с западными ИТ-вендорами мы практически не конкурируем, и это иногда проявляется в тенденции делать продукт из разряда "берите, что есть" – страдает качество получаемой заказчиком защиты. А на международных рынках приходится конкурировать по обычным правилам: нет импортозамещения, нет лицензий, нет господдержки, лоббирования – там приходиться конкурировать качеством продукта, уровнем сервиса и ценами. Я считаю, что всем российским компаниям в обязательном порядке нужно работать на международных рынках, потому что это дает бесценный опыт, который на отечественном рынке получить почти невозможно. l

Системы, которыми мы занимаемся, – это новое поколение, они находятся на более продвинутом уровне, чем просто защита от утечек.

Надо делать свой бизнес не просто для того, чтобы денег заработать или стать успешным. Стоит этим заниматься, только если есть внутренняя страсть, искра. Когда понимаешь, что ничем другим заниматься не можешь.

Всем российским компаниям в обязательном порядке нужно работать на международных рынках, потому что это дает бесценный опыт, который на отечественном рынке получить почти невозможно.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 17

dialognauka 12/2/21 17:05 Page 18

СПЕЦПРОЕКТ

Автоматизация реагирования на инциденты информационной безопасности: плюсы, особенности, решения Екатерина Черун, коммерческий директор Security Vision Виктор Сердюк, генеральный директор АО “ДиалогНаука”

оличество инцидентов информационной безопасности, особенно в крупных организациях, велико и с каждым годом продолжает расти. При реагировании на них счет идет буквально на минуты, а позволить себе нанять большое количество высококлассных ИБ-специалистов могут далеко не все. Поэтому вопрос о том, как помочь аналитикам ИБ при реагировании на инциденты и снять с них рутинную нагрузку по выполнению однотипных операций, стоит достаточно остро.

IRP-системы

IRP – платформа реагирования на инциденты кибербезопасности, используемая для систематизации данных об инцидентах ИБ, а также автоматизации действий оператора, специалиста ИБ, выполняемых при реагировании на инциденты кибербезопасности.

18 •

Системы IRP (Incident Response Platform) помогают выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию и устранению угрозы, восстановить атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Системы IRP реализуют меры противодействия угрозам ИБ в соответствии с заранее заданными сценариями реагирования (так называемые playbooks или runbooks). Такие сценарии представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, а также реагированию на угрозы в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от данных, поступающих со средств защиты или от информационных систем. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению.

Security Orchestration, Automation and Response (SOAR) Можно подумать, что работа аналитиков по кибербезопасности уже в достаточной мере автоматизирована, а применение разнообразных средств защиты (IRP/SGRC/SIEM) позволяет значительно упростить работу сотрудникам SOC-центров. Но зачастую для обеспечения кибербезопасности используются настолько разные системы и средства защиты, а при обработке киберинцидентов нужно решать столько разнородных задач, что реагирование на инциденты ИБ требует еще большей степени автоматизации процессов. Причем речь даже не столько про непосредственно активное противодействие угрозам (с этим справляются IRP-решения), сколько про интеграцию систем обработки данных киберразведки, обогащение полученных данных, коммуникации по инцидентам, применение методов машинного обучения и анализа больших данных (Big Data). При необходимости автоматизировать большое количество смежных процессов реагирования на инциденты применяются системы класса SOAR (Security Orchestration, Automation and Response), платформы оркестрации, автоматизации и реагирования на инциденты ИБ. Данные продукты являются эволюцией платформ реагирования

на киберинциденты и предоставляют расширенные функции автоматизации процессов обработки инцидентов информационной безопасности. Платформы SOAR сочетают в себе следующий функционал: l оркестрация – объединение и централизованное управление ИТ-/ИБ-системами, использующимися при обработке инцидентов ИБ; l автоматизация – подразумевает алгоритмизацию процессов обработки инцидентов ИБ путем реализации бизнес-логики регламентов реагирования на инциденты в плейбуках; l реагирование – обеспечивает сбор информации об угрозе и активное противодействие (локализацию и устранение), а также совместную работу аналитиков над инцидентами ИБ в виде удобной платформы коммуникации и обмена информацией. Дополнительно в решения класса SOAR могут быть включены модули управления данными киберразведки (Threat Intelligence), управления конфигурациями (Configuration Management), обновлениями (Patch Management) и уязвимостями (Vulnerability Management) программного обеспечения, модули аналитики и визуализации информации (дашборды, отчеты, метрики), а также функции машинного обучения и анализа Big Data. Основные возможности систем SOAR:

dialognauka 12/2/21 17:05 Page 19

www.itsec.ru

IRP, SOAR, SOC

l выполнение действий по реагированию благодаря централизованному управлению (оркестрации) ИТ-/ИБ-системами (ОС, ПО, СЗИ); l наличие механизмов визуализации, отчетности, аналитики, логирования выполненных действий по реагированию, ведения базы знаний; l кейс-менеджмент для совместной работы группы аналитиков над инцидентами; l возможности по обработке данных киберразведки благодаря интеграции с поставщиками данных киберразведки (индикаторов компрометации, TI-фидов и др.); l возможности по обработке Big Data, механизмы машинного обучения для автоматизации действий и помощи в принятии решений при реагировании на инциденты ИБ.

Платформа для индивидуальной автоматизации действий по управлению процессами кибербезопасности – Security Vision IRP/SOAR На сегодняшний день одним из наиболее эффективных продуктов класса IRP/SOAR является система Security Vision IRP/SOAR – российский программный продукт для автоматизации и роботизации действий по реагированию на инциденты кибербезопасности. Security Vision IRP/SOAR позволяет автоматизировать широкий спектр процессов и охватывает полный цикл работы с инцидентами, включая: l подготовку к отражению инцидента; l обнаружение и анализ инцидента; l сдерживание; l устранение и восстановление после инцидента; l выполнение действий после реагирования (Post-Incident Activity) с анализом "выученного урока"; l корректировку планов реагирования и настройку СЗИ.

Обнаружение и реагирование Остановимся подробнее на двух базовых составляющих управления инцидентами, обнаружении и реагировании – активном действии, направленном на локализацию, сдерживание, устранение угрозы и на возврат информационной системы в состояние "до начала

атаки". В рамках обнаружения инцидентов с помощью Security Vision IRP/SOAR автоматизируются следующие процессы: l поиск и сбор дополнительной информации о затронутом инцидентом активе; l поиск индикаторов компрометации (IoC – Indicator of Compromise) и данных о тактиках, техниках, процедурах (TTPs – Tactics, Techniques, Procedures) атакующих в платформах киберразведки (TIP – Threat intelligence Рlatform); l первичная классификация и анализ инцидентов, а также отсеивание явных ложноположительных срабатываний. В рамках реагирования на инциденты с помощью Security Vision IRP/SOAR могут быть автоматизированы следующие действия: l блокировка IP-адреса атакующего на сетевом оборудовании; l изоляция атакованного хоста от сети; l завершение подозрительных процессов и остановка служб; l удаление непрочитанных фишинговых сообщений с почтового сервера; l восстановление работоспособности СЗИ на атакованных конечных точках.

Результаты применения Security Vision IRP/SOAR Внедрение системы Security Vision IRP/SOAR позволяет достичь следующих результатов: l роботизации выполнения дежурных процедур оператора в режиме реального времени и автоматизированной обратной реакции на инциденты. После громких эпидемий вирусов и троянцев-шифровальщиков стало очевидно, что реагирование – это не оповещение, а автоматическое выполнение действий оператора; l снижения риска человеческого фактора, а именно ошибок сотрудников, привлекаемых для реагирования на инциденты (две трети инцидентов ИБ связаны с человеческим фактором); l автоматического насыщения и обогащения информацией о событиях со смежных ИТи ИБ-систем – двусторонний обмен между ИТ- и ИБ-системами обеспечивает необходимые и достаточные условия отсутствия белых пятен; l повышения скорости реагирования на инциденты. Как показывает опыт внедрения Security Vision IRP/SOAR, если до исполь-

зования продукта специалисту нужно было не менее двух часов для проверки 1–2 сложных инцидентов, то сейчас система осуществляет более 200 проверок за несколько секунд; l систематизации интеграций со средствами защиты и ИТсистемами, такими как: средства обеспечения безопасности электронной почты, средства антивирусной защиты, Service Desk, Active Directory, DNS, CMDB, средства контроля изменений межсетевых экранов, средства контроля целостности данных, межсетевые экраны, средства защиты от фишинговых атак, системы предотвращения вторжений (IPS), "песочницы", системы хранения журналов событий, средства хранения архивов корпоративной электронной почты, FinCert, Gov-CERT, VirusTotal, UrlScan.io, MXTool.box и др.; l повышения удобства и наглядности реагирования на инциденты ИБ – учет активов в собственной базе CMDBсистемы, построение картинки активных инцидентов, построение графических схем инцидентов (взаимосвязь объектов в рамках расследования), интеграция более чем с одной SIEMсистемой, зонтичная технология, построение отчетов и дашбордов для разных ролей, оповещение о критичных инцидентах по e-mail, СМС, IM. Итак, с организационной точки зрения Security Vision IRP/SOAR позволяет существенно упростить решение профильных задач ИБаналитикам, снять с них рутинную нагрузку и, как следствие, высвободить их ценное время для решения более важных задач, а значит, уменьшить вероятность профессионального выгорания и текучки кадров. С точки зрения бизнеса Security Vision IRP/SOAR демонстрирует высокий коэффициент возврата инвестиций ROI (Return On Investment) путем подсчета сэкономленных за счет автоматизации человеко-часов аналитиков, а также сокращения времени обнаружения и реагирования на инциденты, уменьшения расчетного ущерба от реализации киберугрозы, отсутствия штрафных санкций со стороны регуляторов и выполнения временных нормативов реагирования на киберинциденты. l

Security Vision IRP/SOAR позволяет не только гибко выстроить обработку инцидентов ИБ, но и интегрироваться с внешними ИТсистемами для автоматизации действий по реагированию.

Security Vision IRP/SOAR позволяет автоматизировать широкий спектр процессов и охватывает полный цикл работы с инцидентами.

Security Vision IRP/SOAR позволяет существенно упростить решение профильных задач ИБ-аналитикам, снять с них рутинную нагрузку и, как следствие, высвободить их ценное время для решения более важных задач.

С технической точки зрения польза от внедрения Security Vision IRP/SOAR заключается в сокращении времени обнаружения инцидентов и реагирования на них, результатом чего является существенное уменьшение прогнозируемого ущерба от кибератак.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 19

Angara 12/2/21 17:05 Page 20

СПЕЦПРОЕКТ

Самый SOC Александр Носарев, руководитель отдела систем мониторинга и реагирования группы компаний Angara

Б Все эти факторы требуют от организаций повышения киберустойчивости. Одним из ее важных элементов является направление Security Operations и SOC как его составляющая. SOC – это функциональная структура, созданная для обеспечения потребностей заказчиков, как внутренних, так и внешних, посредством предоставления необходимых услуг и сервисов, а также информации для анализа и принятия обоснованных решений в процессах обеспечения ИБ и управления рисками. Допустимо сказать, что SOC является нервной системой всего организма ИБ и по-своему оказывается связкой между кибербезопасностью (Cyber Security) и киберустойчивостью (Cyber Resilience), становясь центром информационных рисков. SOC даже можно назвать интегрированным операционным центром угроз (ITOC, Integrated Threat Operations Center).

Системные слабости SOC и пути их преодоления Традиционный SOC имеет определенные системные слабости, избежать которых можно только за счет качественного изменения структуры и составляющих процесса управления инцидентами: l пропорционально растущий шум в событиях (Noisy Alerts), увеличивающаяся потребность в мощностях SOС, улучшении качества аналитики и соответствующих инвестициях; l распределенность ландшафта и вытекающая из этого плохая прозрачность гибридных сетей; l низкий уровень автоматизации, острая потребность в экспертном ресурсе, ведущая к потенциальному кадровому дефициту. По мере роста зрелости SOC и при наличии соответствующих запросов со стороны бизнеса он может абсорбировать в себя следующие технологии.

20 •

изнес-ландшафт меняется с развитием таких технологий, как мобильные и облачные решения, большие данные, Интернет вещей. Вместе с ними эволюционируют и киберугрозы. Злоумышленники используют новые методы, чтобы нарушить конфиденциальность, целостность и доступность информации и при этом избежать обнаружения, совершенствуют свои инструменты, ищут пути сокращения расходов и быстрой монетизации. Новая нормальность стимулирует цифровую трансформацию с ее потенциальными составляющими – искусственным интеллектом, автоматизацией и другими. Это открывает новые возможности для роста бизнеса, но также увеличивает и количество векторов для кибератак.

1. Прежде всего использование автоматизированных решений, способных анализировать большие наборы данных и эффективно выявлять угрозы и атаки с помощью современных технологий. Таким образом, аналитики могут уделять больше внимания человеческому аспекту атак и поиску угроз. Самые изощренные угрозы исходят от целенаправленных атак преступных групп, которые технологически и процессно подготовлены к тому, чтобы последовательно проводить их без ограничения по времени, в строгом соответствии с серьезно проработанными методами сокрытия активности и оставляемых следов. 2. Разработка новых процессов анализа угроз для поддержания ситуационной осведомленности. Инструменты сканирования распространенных уязвимостей и управления исправлениями должны быть интегрированы и готовы своевременно вносить необходимые коррективы в текущее поле рисков. 3. Постоянно обновляемая информация о киберугрозах (CTI, Cyber Threat Intelligence), полученная из внешних ресурсов и содержащая сведения о текущих тенденциях угроз и индикаторах компрометации (IoC). Анализ данных, полученных от CTI автоматизированными инструментами и механизмами корреляции перед отправкой в системы для дальнейшего использования. SOC следующего поколения потенциально сможет опираться на искусственный интеллект (AI) и машинное обучение (ML) для выявления полезной и актуальной информации. 4. Автоматизация процессов реагирования на инциденты ИБ и выполнение сценариев организации сбора доказательств из различных источников для повышения производительности всего рабочего процесса SOC (по сравнению

со временем, затрачиваемым аналитиками на устранение тех же инцидентов вручную). 5. Использование инструментов безопасности на базе машинного обучения для обнаружения поведенческих отклонений в сетях и приложениях и анализ для выявления потенциальных вредоносных действий, в том числе утечки данных (Exfiltration) и внутреннего нарушителя. Стоит выделить основные шаги на пути зрелости SOC, которые необходимо выполнить и внедрить в рамках всего направления Security Operations.

Шаг 1. Анализ видимости сети и инфраструктуры При построении и дальнейшей оценке качества работы SOC важно определить подходящую видимость сети и инфраструктуры клиента. Эффективность обнаружения угроз подразделениями SOC прямо пропорциональна их видимости в сети. Однако это может привести к исчерпанию возможностей производительности, если детектирующая логика и соответствующие инструменты не адаптированы должным образом. Количество контролируемых объектов информационной инфраструктуры играет важную роль в расширении видимости активностей в сети. Помимо информации о количестве событий, SOC получает доступ к картам топологии сети, которые описывают, как подключены различные устройства, и к карте активов в целом.

Шаг 2. Управление активами и уязвимостями Чтобы действовать проактивно, SOC должен быть осведомлен об активах организации, в том числе и об их ценности. Эта оценка может строиться исходя из финансовых и операционных рис-

Angara 12/2/21 17:05 Page 21

www.itsec.ru

IRP, SOAR, SOC

ков. Здесь важно отметить, что без проведения регулярной оценки и анализа рисков в том или ином виде, с той или иной степенью детализации и результативности невозможно получать и актуализировать знания о контролируемой инфраструктуре, актуальных угрозах и допустимой стоимости применяемых контрмер. Важная часть ИБ – это управление уязвимостями. И с учетом того, что процесс их устранения и обновления ПО достаточно трудоемкий по ресурсам и времени, целесообразно корректировать эти приоритеты исходя из критичности находимых уязвимостей.

Шаг 3. Обогащение

Шаг 6. Аналитики и команда

Направлений для увеличения глубины событийной видимости SOC сейчас достаточно много. Это и обогащение событий средствами XDR и других расширенных практик, и увеличение сетевой прозрачности средствами мониторинга сетевых аномалий (NBAD, Network Behavior Anomaly Detection). Для обогащения информации об инцидентах применяются различные фиды средствами платформ Cyber Threat Intelligence (CTI).

Хотя многие инструменты помогают подразделениям SOC быстрее реагировать и обеспечивать лучшую видимость, люди по-прежнему являются наиболее важной частью SOC. Автоматизация повторяющихся задач не снижает значимости специалистов-аналитиков. Однако мотивировать сотрудников SOC достаточно сложно. Рабочие задачи специалистов нижнего уровня рутинны, что может привести к высокой текучке кадров, если отсутствуют перспективы карьерного роста. Квалифицированный аналитик SOC должен иметь обширные теоретические и практические знания об общей ИТ-инфраструктуре, включая сетевые устройства, устройства безопасности, протоколы, серверы и распространенные операционные системы. Кроме того, аналитики должны знать механику систем управления и обработки событий и тактики, техники и процедуры противников (TTP). Этим навыкам можно научиться в том числе с помощью тестирования на проникновение и редтиминга.

Шаг 4. Анализ и визуализация Объем доступных данных вынуждает подразделения SOC использовать автоматизированные инструменты. Системы оценки поведения пользователей и объектов (UEBA) применяют алгоритмы машинного обучения и статистический анализ для поиска отклонений в действиях, выполняемых людьми. Системы UEBA могут обнаруживать в том числе внутренние угрозы и учетные записи пользователей, контролируемые злоумышленниками. Кроме того, объединение SIEM и UEBA может быть полезным, поскольку позволяет организовать централизованную точку принятия решений.

Шаг 5. Процессы и автоматизация Процессы SOC должны быть гибкими и постоянно развиваться с учетом текущих угроз. Их следует регулярно оптимизировать, чтобы SOC мог обрабатывать инциденты в короткие сроки с растущим качеством. Чтобы по-настоящему проверить возможности подразделения SOC, можно подумать о найме "красной" команды (Red Team). Ее функции заключаются в имитации полноценной кибератаки. Оценка "красной" команды похожа на тест на проникновение, но более обширна и охватывает все векторы атаки. Тщательное тестирование помогает сформировать единицу SOC и повысить качество плейбуков – инструкций по реагированию на инциденты, описывающих правильный порядок действий аналитиков SOC с самого начала обнаружения, четкие процессы эскалации. Их использование и оптимизация сокращают время отклика SOC на киберугрозу и, значит, степень ее негативного влияния.

Центр киберустойчивости группы компаний Angara

Для повышения эффективности своей работы подразделения SOC должны использовать новые технологии, прежде всего с целью минимизации количества повторяющихся событий, которые необходимо анализировать вручную, увеличения качества их анализа и скорости реагирования на инциденты. Так, на сегодняшний день Центр киберустойчивости группы компаний Angara включает следующие практики: l коммерческий SOC, являющийся центром ГосСОПКА класса А; l автоматизация процессов ИБ в части организации мониторинга событий (SIEM/SEM); l обогащение процессов ИБ сторонней аналитикой (TI(P) & Security Feeds); l мониторинг и управление инцидентами ИБ (SIEM/IR(P)) [On-Premise & Outsource]; l автоматизация управления и реагирования на инциденты ИБ (IR(P)/SOAR) [On-Premise & Outsource]; l визуализация и контроль метрик эффективности ИБ (Security Intelligence); l автоматизированная атрибуция угроз (Angara Crawler) [MITRE ATTACK®, SHIELD®, БДУ ФСТЭК]; l защита бренда; l выездные расследования и форензика (DFIR); l аналитическое сопровождение по модели MSSP для Sandbox/EDR. Некоторые средства реактивной защиты можно автоматизировать, но организация должна знать и осознавать свои риски в части ИБ и иметь качественную экспертизу. Возможно предоставление внешней экспертизы путем замещения функциональных ролей SecOps сотрудниками Центра киберустойчивости по различным моделям партнерского взаимодействия. У нас также есть опыт выполнения функций реагирования на подозрения на инциденты ИБ, которые направляет сторонний SOC. l

Поскольку угрозы становятся все более изощренными и могут за короткое время перерасти в крупномасштабные инциденты, киберзащита должна поддерживаться на всех стадиях рабочего процесса и строиться по многоуровневому принципу. Это обязывает подразделения SOC стать более гибкими и активными. В то же время они борются с огромными объемами данных и неуправляемыми рабочими нагрузками. Переход к более оперативной защите требует изменений в технологиях и процессах подразделения SOC. При создании SOC организация уже должна иметь зрелую политику безопасности, которую она выполняет. SOC способен только дополнять программу безопасности, но не заменять ее. Подразделения SOC зависят от существующих техноРеклама NM логий защиты, для блокиАДРЕСА И ТЕЛЕФОНЫ рования обычных угроз Группа компаний Angara и сбора данных с целью см. стр. 56 дальнейшего анализа.

• 21

R-Vision 12/2/21 17:05 Page 22

СПЕЦПРОЕКТ

Развитие SOC на базе продуктов R-Vision Полина Руэда-Маэстро, ведущий продакт-менеджер R-Vision се чаще к нам за помощью обращаются ведущие компании российского рынка, расширяющие границы сервисов, предоставляемых силами центров мониторинга и обеспечения информационной безопасности (Security Operations Center, SOC), давно развивающие у себя процессы ИБ и обладающие значительными компетенциями в этом направлении, а также те, кто занимается обеспечением безопасности не так давно. Последние особенно остро нуждаются в консультациях по вопросам: как строить SOC, с чего начать, на что делать основной упор, а что реализовать на более поздних этапах или обходным путем? И тут очень кстати приходится наша накопленная за 10 лет работы экспертиза.

В Мы развиваем IRP с акцентом на задачи ИБ и расследование инцидентов.

Реализованные в IRP механизмы оркестрации позволяют работать с инцидентами безопасности в одном окне без необходимости переключения в интерфейсы других систем.

Вместе с развитием заказчиков растут и их требования к зрелости и функциональности технологических решений, используемых в SOC.

R-Vision TIP предназначен для работы с данными TI, собранными от поставщиков и сгенерированными самостоятельно.

22 •

Известно, что технологическим фундаментом любого SOC являются SIEM- и SOAR-системы. С помощью SIEM обрабатывается весь объем данных о событиях в ИТ-инфраструктуре компании, чтобы на выходе получить подозрения на инциденты в удобном для обработки людьми виде. SOAR выступает основой всего SOC и позволяет выстроить процесс реагирования на инциденты (workflow). Когда мы только выводили на рынок IRP-систему, были первопроходцами в этом направлении, то часто получали вопросы о ее необходимости, если у заказчиков уже были SIEM и Service Desk. Ответ был прост. 1. SIEM- и IRP-системы имеют разное предназначение и разработаны совершенно по-разному. SIEM "заточена" на обработку больших объемов сырой информации и их корреляцию согласно правилам, а IRP – для удобного и гибкого выстраивания процессов для аналитиков и специалистов по ИБ. 2. Мы развиваем IRP с акцентом на задачи ИБ и расследование инцидентов. И наделили ее всеми необходимыми узкоспециализированными инструментами: сбора инвентаризационной информации с учетом задач ИБ, автоматизации реагирования на инциденты, включая динамические сценарии реагирования (плейбуки), а также средствами оркестрации. Реализованные в IRP механизмы оркестрации позволяют работать с инцидентами безопасности

в одном окне без необходимости переключения в интерфейсы других систем и сервисов, в том числе внешних для заказчика. Использование инструментов оркестрации позволяет рассматривать IRP как систему класса SOAR. Для многих заказчиков необходима возможность своевременного обмена информацией об инцидентах с регуляторами и внешними организациями, например CERT или коммерческими SOC. По мере развития темы SOC мы заметили интересную тенденцию: заказчики не всегда выбирали один способ реализации – развивать только внутреннюю команду или приобретать услуги внешнего центра мониторинга. Все чаще поднимался вопрос гибридных SOC, когда какие-то критичные вещи остаются внутри компании, а менее важные или узкоспециализированные услуги приобретаются у коммерческого SOC. Например, обработка закрытой информации может остаться на стороне заказчика, а расследование инцидентов корпоративного сегмента сети, не касающихся таких данных, передано внешнему провайдеру. Еще один пример – отказ от развития своей команды по Threat Hunting (проактивному поиску угроз. – Прим. ред.) и использование внешней глубокой экспертизы. Это отличный пример реализации внешних взаимодействий для заказчиков SOC и использования инструментов оркестрации, в том числе для совместной работы с провайдером услуг над инцидентами.

Чем больше мы помогали нашим клиентам строить SOC, тем очевиднее становилось, что вместе с развитием заказчиков растут и их требования к зрелости и функциональности технологических решений, используемых в SOC. Повышались и требования к отказоустойчивости используемых платформ. Началось все с простейших архитектур, например с использования холодного резервирования систем. Сегодня заказчики строят SOC с режимом работы 24/7 и жесткими SLA, отдавая себе отчет в том, что недоступность систем и несвоевременное реагирование на инциденты может привести к значительному ущербу для организации. Все чаще мы участвуем в проектах построения больших катастрофоустойчивых центров на разных площадках в разных городах и часовых поясах. Потребовались принципиально новые решения, которые позволяли бы нашим заказчикам совершать следующие шаги в экономии трудозатрат специалистов, автоматизации процессов и, конечно же, получении преимущества в бесконечной гонке со злоумышленниками. Так был задуман и выпущен в свет первый из наших продуктов для раннего обнаружения угроз – R-Vision TIP, который до сих пор не имеет полноценных аналогов на российском рынке. Продукт предназначен для работы с данными TI, собранными от поставщиков и сгенерированными самостоятельно. В зависимости от количества каналов (фидов), на которые подписывается заказчик, число поступающих индикаторов компрометации может составлять

R-Vision 12/2/21 17:05 Page 23

www.itsec.ru

На правах рекламы

IRP, SOAR, SOC

миллионы. Понятно, что ни одна команда с обработкой такого объема данных не справится. И тут приходят на помощь инструменты автоматизации R-Vision TIP, позволяющие снизить трудозатраты в разы. Продукт эффективен даже при первоначальном отсутствии у заказчика аналитиков SOC, специализирующихся на TI, так как выступает источником обогащения по индикаторам компрометации карточек инцидентов в IRP. TIP можно использовать не только как репозиторий и витрину всех данных TI, но и для дополнительного выявления инцидентов за счет автоматического поиска в инфраструктуре интересующих заказчика индикаторов компрометации. Это применимо за счет отделяемых сенсоров TIP как в централизованном внутреннем SOC, когда заказчик строит его только для себя, так и в распределенных или внешних SOC, которые могут обслуживать свою группу компаний, когда сенсоры могут разворачиваться у внешних коммерческих заказчиков. Решения IRP и TIP в паре дают возможность перевести SOC на следующий этап развития. Но чем больше становится SOC и поток обрабатываемых им событий, тем чаще компании сталкиваются с тем, что очень сложно достаточно качественно настроить правила корреляции для выявления инцидентов. В итоге большая часть команды занимается бесконечным тюнингом правил в SIEM и разбором False Positive (ложных срабатываний. – Прим. ред.). Такая рутинная работа может сильно демотивировать команду, которую и так нелегко набрать в сфере ИБ. И для бизнеса это дополнительная трата ресурсов. В качестве решения этой проблемы мы предложили рынку продукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машинного обучения – "программных экспертов". Они выявляют отклонения в поведении всех объектов инфраструктуры, информация о которых содержится в журналах событий, и автоматически дообучаются. Пограничное использование технологий дает синергетический эффект. С одной стороны, система работает при минимальном человеческом вмешательстве за счет автоматического выявления аномалий в поведении инфраструктуры. С другой стороны, у пользователя всегда есть воз-

можность добавить собственное правило. Таким образом, система позволяет выявить инциденты на самой ранней стадии независимо от интенсивности атаки, реализованной за считанные минуты или растянутой во времени, когда злоумышленник может вернуться к скомпрометированному узлу или УЗ намного позже. Благодаря работе с различными источниками событий SENSE легко применим как в SOC, где внедрена SIEMсистема, так и в компаниях, где процесс Log Management построен без использования SIEM. Со временем, когда SOC заказчика "обрастает" десятком различных решений, возникает вопрос: а как теперь этим, уже ставшим практически самостоятельным живым организмом, SOC управлять? Естественно, у каждой системы есть своя консоль управления и практически у каждой есть различные средства контроля показателей эффективности, как графические, так и в виде отчетов. Но как понять, действительно ли весь SOC работает в соответствии с требованиями компании и защищен ли он сам всеми необходимыми средствами? Отличным решением для такого верхнеуровневого контроля являются системы класса SGRC: они позволяют видеть, какие требования к функционированию SOC выполняются, в какой степени и по каким из них есть замечания. Помимо использующихся для этого аудитов, SGRC обладает функциональностью оценки рисков, позволяющих смотреть в будущее, оценивать, каким образом необходимо развивать систему защиты и как это сделать максимально эффективно. Различные метрики позволят отобразить общее состояние и качество работы SOC в цифрах. Мы и наши партнеры шаг за шагом строим и развиваем SOC заказчиков с помощью технологий R-Vision. Несмотря на различные отрасли и масштабы проектов, зачастую мы сталкиваемся со схожими задачами. Одна из самых распространенных – построение SOC для группы компаний. Позволяют ли используемые решения применять одну инсталляцию для работы с данными нескольких юридических лиц? В этом нашим заказчикам помогает режим multitenancy (мультиарендности), дающий возможность еще "на входе" в систему автоматически разделить данные по организациям. В этом случае, если SOC предоставляет

подключенным организациям доступ к системе, каждая из них видит только свои данные, а SOC – данные всех подключенных организаций с указанием, к какой организации относится каждая сущность, заведенная в системе. Еще одна необходимая для SOC возможность – гибкая настройка используемых решений "под себя", но так, чтобы это не требовало больших трудозатрат. Конечно, это зависит от принципов разработки продуктов. Когда системы изначально разрабатываются как конструктор, позволяющий гибко настроить необходимые поля, карточки и целые разделы под конкретного пользователя, не прибегая к помощи разработчика и без написания какого-либо кода, это сильно облегчает администрирование всей системы. Сюда же относится журналирование изменений всех сущностей в системе, возможность настройки плейбуков из графической формы и масштабирование их на такое количество подключенных организаций, которому это необходимо. Раз уж мы заговорили о средствах контроля метрик, большое преимущество этих систем в том, что IRP и SGRC работают на одной программной платформе, это позволяет выводить статистику и графики в одном интерфейсе. Все продукты R-Vision складываются в цельную прозрачную экосистему, где каждый продукт занимает свое место для решения определенных задач. Наши продукты можно использовать как для автоматизации работы SOC, так и для контроля защищенности всей организации и самого SOC как еще одного элемента инфраструктуры организации. Например, SENSE и TIP помогут выявить инциденты ИБ, произошедшие и внутри SOC, IRP – выстроить работу по ним и своевременно отреагировать. SGRC тоже имеет два вектора использования, как для предоставления всей организации услуги проведения аудитов силами SOC, так и в качестве инструмента верхнеуровневого контроля информационной безопасности для самого SOC. Уверены, что и дальше технологии SOC и информационной безопасности будут развиваться, как и продукты R-Vision. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Инструменты автоматизации R-Vision TIP позволяют снизить трудозатраты в разы. Продукт эффективен даже при первоначальном отсутствии у заказчика аналитиков SOC.

TIP можно использовать не только как репозиторий и витрину всех данных TI, но и для дополнительного выявления инцидентов за счет автоматического поиска в инфраструктуре интересующих заказчика индикаторов компрометации.

Решения IRP и TIP в паре дают возможность перевести SOC на следующий этап развития.

Мы предложили рынку продукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машинного обучения – "программных экспертов".

Отличным решением для верхнеуровневого контроля являются системы класса SGRC.

Еще одна необходимая для SOC возможность – гибкая настройка используемых решений "под себя", но так, чтобы это не требовало больших трудозатрат.

• 23

Innostage 12/2/21 17:05 Page 24

СПЕЦПРОЕКТ

SOC CyberART: сделать недопустимые события невозможными Владимир Дмитриев, руководитель центра предотвращения киберугроз CyberART ГК Innostage

О Далее все недопустимые события рассматриваются в контексте инфраструктуры, определяя системы, на которых потенциальный злоумышленник может реализовать их. Аналитики CyberART выявляют сегменты, в которых находятся эти системы, таким образом строя потенциальные сценарии реализации недопустимых событий. Затем в дело вступает "красная" команда CyberART, одной из основных задач которой является проверка текущего уровня защиты. Проверяется собственная инфраструктура заказчика, ее текущее состояние, устойчивость к угрозам, имеющиеся уязвимости, исследуется периметр, через который потенциальный злоумышленник может проникнуть в систему. Исходя из результатов проверки настраивается сервис мониторинга на уровне инфраструктуры, объектов, сети, бизнес-приложений и т.д. В дальнейшем недопустимые события исключаются соответствующими технологиями, работами и экспертизой специалистов CyberART. Данный подход основан на концепции практической безопасности стратегического партнера ГК Innostage – компании Positive Technologies. CyberART предлагает разные модели взаимодействия с SOC: 1. Если у заказчика нет собственной службы ИБ, то CyberART работает как внешний SOC. 2. Довольно часто встречаются модели, когда специалисты службы информационной безопасности на стороне заказчика выполняют оговоренный ряд задач. Мы стараемся развивать гибридные форматы, предоставляя при этом услуги SOC как классический сервис-провайдер. 3. Самый распространенный формат – это построение центров SOC на стороне

бычно SOC предлагает меню сервисов, из которого заказчику предлагается самостоятельно выбрать тот или иной комплект услуг.Это не совсем корректно, поскольку не дает возможности связать получаемые услуги с бизнес-целями самого заказчика. CyberART придерживается другого подхода: с самого начала вместе с заказчиком определяются так называемые недопустимые события, то есть действительно критичные для компании, которые могут нанести серьезный ущерб как операционной деятельности, так и стратегическим целям, а иногда даже привести к краху компании.

заказчика. Как правило, крупный бизнес стремится иметь такую службу в собственной структуре. В этой модели мы решаем задачи разработки архитектуры, внедрения средств защиты и последующей их эксплуатации. По мере появления у заказчика собственных специалистов мы передаем им опыт, экспертизу, знания, обучаем, поддерживаем и постепенно перемещаемся на вторую и третью линии. SOC CyberART технологически во многом основывается на решениях своего стратегического партнера – компании Positive Technologies. Используются также и доработанные нашей командой системы на базе продуктов Open Source, включая специализированные утилиты для киберзащиты, стэк технологий больших данных и др. Для того чтобы связать все продукты и процессы в единое целое, в ядре SOC CyberART используется собственная платформа реагирования на инциденты ИБ Innostage IRP1.

Защита технологического сегмента Во многих отраслях недопустимые события, как правило, должны быть исключены в первую очередь на производстве. Стоит отметить, что в зарубежной практике разделены понятия ИТ-SOC и ОТ-SOC, они смотрят на корпоративный и технологический сегмент соответственно. Однако опыт показывает, что такое разделение не оптимально, поскольку технологии и там, и там используются одни и те же, тактики и техники злоумышленников во многом совпадают, разве только цели различаются. С учетом этого в CyberART есть команды аналитиков, которые специализируются на защите технологического сегмента, и есть команды, которые специализируются на корпоративных сетях. При этом они обмениваются знаниями и умением

1 https://www.itsec.ru/articles/soar-i-problema-racionalnogo-ispolzovaniya-srzi

24 •

делать недопустимые события невозможными. Ни одна атака не происходит мгновенно, она, как правило, проходит стадии разведки, закрепления, проникновения, продвижения, и только потом происходит целенаправленное воздействие. В рамках нашего подхода о недопустимости неприемлемых событий ИБ мы стремимся сократить количество точек возможного проникновения в защищаемую систему. Для этого увеличивается число шагов от периметра до целевой системы, то есть возрастает сложность возможной атаки. Технически подключить к SOC можно любую инфраструктуру. Но в тривиальном случае это ничего не даст, кроме потока событий и уведомлений, не приводящего к какому-либо полезному результату. Поэтому не любую инфраструктуру можно подключить к SOC эффективно, и могут потребоваться определенные работы по ее трансформации. Как правило, у заказчика не бывает много недопустимых событий и все они локализуются на известных целевых системах. В этом случае SOC может сконцентрироваться на контроле и защите именно этих целевых систем. Иными словами, если у заказчика есть филиальные сети от Кореи до Карелии, но при этом руководство определяет первоочередной задачей защиту от определенных событий только в значимых системах, то можно сконцентрироваться на защите именно данных систем, не "размазывая" функциональность SOC на всю инфраструктуру. В противном случае может получиться долго, дорого и без должного уровня качества. Если заказчик знает, что конкретно он хочет защитить, то получает возможность выделить бюджет именно на защиту необходимых систем, не ввязываясь в подключение тысяч источников во внутреннюю или внешнюю SIEM.

Innostage 12/2/21 17:05 Page 25

www.itsec.ru

IRP, SOAR, SOC

Для совершенствования внутренних процессов SOC CyberART использует три инструмента: 1. Threat Hunting – выявление новых угроз у заказчиков. 2. Полевые киберучения, в том числе на киберполигонах, например на таких, как The Standoff, в результате которых появляется новая информация о подходах атакующих, выявленных уязвимостях и используемых инструментах. Аналитики CyberART разбирают полученную информацию и затем используют ее на реальных объектах. 3. Threat Intelligence – сбор данных о киберугрозах из закрытых и открытых источников. Аналитики собирают новую информацию о тактике атак, известных брешах и уязвимостях, инструментарии и применяют эти знания в рамках нашей работы.

На правах рекламы

Три типовые ошибки при взаимодействии с SOC Опыт CyberART подсказывает, что существуют три распространенные проблемы при взаимодействии заказчика с внешними SOC. 1. Заказчик должен изначально быть готовым, что использование внешнего SOC обязательно потребует значительных усилий с его, заказчика, стороны. Чтобы SOC был эффективным, требуется выстраивание хорошего взаимодействия и с бизнес-пользователями, и с функциональными, и с ИТ, и со службами безопасности. Единого простого рецепта для повышения эффективности этих коммуникаций нет, и важно не забывать, что даже в случае использования таких высокотехнологичных услуг в итоге всегда люди работают с людьми. 2. SOC не должен восприниматься как просто служба оповещения о нештатных ситуациях. Если SOC начинает считать, что его работа ограничивается только отправкой тревожного сообщения заказчику, его деятельность неэффективна. Цель SOC заключается в том, чтобы вместе с заказчиком дойти до корня возникающих проблем и помочь ему и в аспекте реагирования. Это кропотливая работа с обеих сторон, включающая в том числе тренировки службы заказчиков для повышения готовности к поступающей информации и запросам от SOC. SOC должен стать ресурсом, экспертизой и помощью заказчику в деле защиты от киберугроз. 3. SOC – не волшебная пилюля, которая защитит всегда и от всего. Неправильное целеполагание со стороны заказчика может не позволить SOC сконцентрироваться на действительно важных для него задачах. Заказчик должен четко определить те самые недопустимые события, которые SOC должен предотвращать.

Рис. Изменение целеполагания в ИБ

Вовлечение топ-менеджмента Как объяснить топ-менеджменту, зачем организации нужен SOC и почему за это нужно платить? Разумеется, отчеты с техническими метриками о количестве поступивших в систему событий, отработанных правилах, временных характеристиках – все это бизнесу неинтересно ни в режиме реального времени, ни постфактум. Для коммуникации с топ-менеджментом как раз прекрасно подходит практическая концепция недопустимых событий. Она позволяет SOC говорить на языке бизнеса: для вас выделены конкретные недопустимые события, наступление которых чревато финансовыми потерями, остановкой производства, репутационными издержками. И SOC в этой концепции занимается не просто мониторингом, а именно предотвращением киберугроз. Формы представления информации для руководства заказчика могут быть различными, они меняются от компании к компании, от отрасли к отрасли и совсем не обязательно должны быть эстетически приятными. Достаточно доступно рассказать бизнесу про риски и реализацию функции предотвращения того, что действительно для него недопустимо. Что ж, рассмотрим более конкретную ситуацию: прошел очередной год использования SOC, за который не произошло ни одного инцидента. Как в этих условиях обосновать топменеджменту заказчика целесообразность дальнейшего использования SOC? Как доказать, что недопустимое для заказчика на самом деле невозможно? На помощь приходят регулярные киберучения, в рамках которых привлекаются независимые команды атакующих. Таким способом демонстрируется, что SOC действительно способен обнаруживать потенциальные атаки, а также блокировать действия атакующих до того, как они

дошли до целевой системы и смогли реализовать неприемлемое. Но мы пошли еще дальше, предусмотрев опцию в контракте на обслуживание, активирующуюся в случае, если за период не произошло атак. Дело в том, что часть стоимости сервиса закладывается как раз на активную фазу противодействия, в которой наши аналитики занимаются разбором и реагированием в усиленном режиме. Если подобных атак за время оказания сервиса не зафиксировано, мы можем вернуть часть стоимости сервиса либо в виде снижения суммы счета, либо в форме зачета оплаты за будущие периоды. Это честно и всегда прекрасно воспринимается топменеджментом.

Заключение К сожалению, часто в конкурсах заказчики, исходя из сложившейся практики, начинают требовать те параметры, которые на самом деле им не нужны: реакцию на инцидент в течение 20–30 мин., поток в 10 тыс. событий в секунду, предоставления 97% доступности сервиса. Да, конечно, все это в конечном счете имеет значение, но это лишь технические параметры, которые не отвечают на главный вопрос: а зачем, собственно, SOC нужен? Рынок ждет следующий шаг в развитии концепции SOC, когда сервис станут выбирать не по численным характеристикам, а по понятной пользе – защите собственных объектов от недопустимых событий. Мы преследуем цель исключить реализацию недопустимых событий и киберрисков за счет создания центра предотвращения киберугроз, под который мы трансформируем наш SOC. Он решает главную потребность заказчиков – недопущение рисков и бесперебойную работу бизнеса. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 25

Kondrashin 12/2/21 17:05 Page 26

СПЕЦПРОЕКТ

Автоматизация реагирования: как защитить команды SecOps от перегрузок и выгорания Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии

Глобальные организации используют в среднем 29 решений для мониторинга, а представители организаций, насчитывающих более 10 тыс. сотрудников, имеют дело в среднем с 46 такими инструментами.

С одной стороны, организации вынуждены платить за лицензии и обслуживание инструментария, с другой – команды SOC все чаще подвергаются стрессу, пытаясь управлять несколькими решениями одновременно.

26 •

каждым годом меняется представление о том, как обеспечить эффективную защиту компании. Давно прошли те времена, когда все ресурсы направлялись на периметр корпоративной сети. Переход на облачную инфраструктуру, BYOD, а теперь и массовая удаленная работа привели к тому, что периметр стал гораздо более размытым, гибким и проницаемым. Результатом стали регулярные взломы корпоративных сетей с помощью украденных учетных данных или непропатченных уязвимостей.

Это означает, что ИБруководители (CISO) и топ-менеджмент компаний должны признать, что их организация с большой вероятностью станет или уже стала жертвой киберинцидента. Ключевым моментом здесь является поиск злоумышленников до того, как они успеют нанести серьезный ущерб. И главный участник этого поиска – операционный центр безопасности, SOC (Security Operations Center). SOC собирает все данные для мониторинга, обнаружения и реагирования на киберугрозы. По замыслу он должен был стать эффективным способом управления растущими киберрисками. Однако в реальности многие команды с трудом справляются с огромным перечнем задач, решения которых ожидают от них CISO. Это сказывается не только на работе, но и на личной жизни сотрудников.

Проблема 1. Избыток инструментов Как показал наш опрос, проведенный в 21 стране среди 2,3 тыс. лиц, принимающих решения в области ИТ-безопасности, глобальные организации используют в среднем 29 решений для мониторинга, а представители организаций, насчитывающих более 10 тыс. сотрудников, имеют дело в среднем с 46 такими инструментами. При этом 51% респондентов заявили, что они фактически не используют многие из имеющихся в наличии инструментов по следующим причинам:

l отсутствие интеграции (42%); l нехватка квалифицированных специалистов (39%); l сложности в управлении инструментами (38%); l устаревание инструментов (37%); l отсутствие доверия к ним (20%). Налицо проблема, которая требует безотлагательного решения: с одной стороны, организации вынуждены платить за лицензии и обслуживание инструментария, с другой – команды SOC все чаще подвергаются стрессу, пытаясь управлять несколькими решениями одновременно. Из-за невозможности обрабатывать множество предупреждений, поступающих из различных источников, они не могут не только приоритизировать их, но и обнаружить корреляцию с различными индикаторами компрометации. Другими словами, несмотря на избыток инструментария, качество защиты не только не улучшается, но даже становится хуже.

Проблема 2. Перегрузка оповещениями Быстрый рост киберпреступности и появление новых инструментов для атак, а также отсутствие технологий автоматизации реагирования, выявления корреляций и приоритизации оповещений привели к тому, что команды SecOps чувствуют себя перегруженными. Более половины опрошенных (51%) заявили, что они тонут в оповещениях, причем этот показатель увеличился до 54% для команд SOC и оказался еще выше в таких секторах, как недвижимость (70%),

юриспруденция (69%), гостиничный бизнес (65%) и розничная торговля (61%). Более половины (55%) респондентов признались, что не уверены в своей способности определять приоритеты и реагировать на оповещения. Поэтому неудивительно, что ИБ-специалисты тратят в среднем более четверти своего времени (27%) на борьбу с ложными срабатываниями. Не меньшей проблемой, вытекающей из этой ситуации, являются оповещения от использования легитимных, но потенциально опасных инструментов штатными сотрудниками компании.

Решение: XDR + автоматизация Очевидно, что такое напряжение не только подвергает организации повышенному риску, но и угрожает психическому здоровью и благополучию сотрудников службы безопасности. Для решения этих проблем необходима технологическая платформа, которая позволит снять нагрузку с команд SecOps за счет автоматизации обнаружения угроз и реагирования на них. Такая платформа должна обладать всеми возможностями XDR, но при этом в идеале обеспечивать комплексную автоматизацию реагирования на всех участках инфраструктуры, включая задачи в контейнерах и облачные сервисы, в том числе бессерверные (AWS Lambda и подобные). Платформа должна автоматически расставлять приоритеты для всех угроз и обеспечивать ускорен-

Kondrashin 12/2/21 17:05 Page 27

www.itsec.ru

IRP, SOAR, SOC

ное реагирование на них в масштабах всего предприятия. От такой платформы разумно ожидать следующие возможности: l уменьшение времени обнаружения и реагирования благодаря меньшему количеству приоритетных предупреждений; l комплексная видимость и защита конечных точек, сетей, электронной почты, центров обработки данных и облачных сред для автоматического блокирования атак; l автоматизированное устранение последствий удаления вредоносного ПО и освобождение времени аналитиков; l централизованный источник предупреждений, расследований и локализации для поддержки более быстрого реагирования с меньшими ресурсами; l повышение производительности аналитиков SOC; l снижение финансовых и репутационных рисков; l улучшение настроения команды SecOps. Имея в распоряжении такую платформу, организации смогут быстрее реагировать на инциденты, блокируя угрозы в самом начале их распространения и до того, как они смогут нанести какой-либо долгосрочный ущерб. Единая платформа позволит командам безопасности реагировать на угрозы быстрее и с меньшими трудозатратами, поскольку они получают в распоряжение: l единый источник приоритетных оповещений для корреляции и анализа данных в наглядной форме; l единый центр для проведения расследований, позволяющий быстро визуализировать цепочку событий на всех уровнях безопасности, детализировать элементы атаки и проанализировать сетевой трафик; l единый центр для реагирования с возможностью реализации контрмер в электронной почте, на конечных точках и в облачных/серверных рабочих нагрузках и сетях.

Заключение Очевидно, что лучшим способом максимально автоматизировать реагирование на киберугрозы является внедрение в организации комплексной системы защиты класса XDR. Это обеспечит высокий уровень безопасности в долгосрочной перспективе и создаст следующие преимущества:

Более половины (55%) респондентов признались, что не уверены в своей способности определять приоритеты и реагировать на оповещения. ИБ-специалисты тратят в среднем более четверти своего времени (27%) на борьбу с ложными срабатываниями.

Рис. Объем оповещений доставляет сотрудникам SOC психологические проблемы. Источник: Trend Micro 1. Более четкое представление об угрозах. Благодаря просмотру предупреждений, снабженных контекстом по большему количеству векторов угроз, события, которые сами по себе кажутся безобидными, внезапно становятся значимыми индикаторами компрометации. Это позволяет соединить больше разрозненных сведений в единую картину и сформировать целостное представление о событиях на всех уровнях безопасности. Результатом станут более глубокие расследования и обнаружение угроз на ранних стадиях. 2. Быстрая блокировка атак. По данным ESG, компании, использующие XDR, в 2,2 раза чаще обнаруживают утечку данных или успешную атаку в течение нескольких дней, по сравнению с неделями или месяцами у тех, кто не использует XDR. 3. Повышение эффективности и результативности расследования угроз. Благодаря автоматической корреляции данных об

угрозах из нескольких источников, XDR ускоряет и устраняет ручные действия, связанные с расследованием, и позволяет аналитикам безопасности быстро развернуть историю атаки. Организации, использующие подход XDR, заявили, что для замены возможностей XDR по корреляции данных потребуется восемь штатных сотрудников, а также в 2,6 раза реже сообщают, что их команда перегружена. 4. Интеграция со сторонними системами. Добиться максимального уровня автоматизации позволяет широкий ассортимент открытых API и интеграций со сторонними системами SIEM и SOAR. Платформа XDR должна гибко интегрироваться в эти экосистемы, получая значимые данные из инфраструктуры для дальнейшего обогащения и реализации возможностей XDR. l

По данным ESG, компании, использующие XDR, в 2,2 раза чаще обнаруживают утечку данных или успешную атаку в течение нескольких дней, по сравнению с неделями или месяцами у тех, кто не использует XDR.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 27

28 • ООО "Маквес групп"

ООО "КИТ.Р"

Да

Нет

Сертификат ФСТЭК России по 6 уровню доверия, реестр отечественного ПО

Бесшовная интеграция с облаками. Гибкость за счет low-code разработки. Автоматическая реакция за счет методов ИИ

Компания, предоставившая информацию

Поддержка интерфейса на русском языке

Поддержка интерфейса на других языках

Сертификаты, патенты и лицензии

Позиционирование

Нет

Да

ООО "ОМС СОЛЮШН"

NextSTage IRP

Да

Да Да Да

Да REST API

Нет Да Да

Объенинение информации об Да активах из разных источников

Да

API, XML, e-mail, СУБД

Да

Нет

Да

Конструктор инцидентов

Настраиваемый Workflow по инцидентам

Типовые настраиваемые Playbook для реагирования

Настройка Playbook в визуальном конструкторе

Запуск атомарных действий по инциденту вне Playbook

Способы подключения к источникам данных

Прием данных из SIEM

Режим мультиарендности

Обмен информацией с ФинЦЕРТ

Обмен информацией с ГосСОПКА

Возможность синхронизации Да двух экземпляров системы

Автоматическое реагирование на инциденты

Да

Нет

Да

Нет

Да

API, e-mail, СУБД, XML и др.

Да

Нет

Да

API, e-mail, СУБД, Syslog, коробочные интеграции, закрытые протоколы

Да

Автоматическая инвентаризация активов

Да

Нет

Ведение единой базы инцидентов

Да

Платформа автоматизации мониторинга и реагирования на инциденты информационной безопасности

Нет

IPR-система с расширенными возможностями кастомизации no-code и гибкими архитектурными возможностями

Да, загрузка любых языков

Да

Интеллектуальная безопасность

Security Vision IRP/SOAR

Да

API, e-mail, СУБД, Syslog, закрытые протоколы, коробочные интеграции, коннекторы Low-code

Да

Нет

Платформа автоматизации и роботизации действий по реагированию на инциденты кибербезопасности

Сертификат ФСТЭК России Сертификат ФСТЭК России по 4 уровню доверия, реестр по 4 уровню доверия, реестр отечественного ПО отечественного ПО

Да, английский

Да

R-Vision

R-Vision Incident Response Platform

Необходимость приобретения Нет лицензий сторонних вендоров

Простой и удобный инструмент для управления инцидентами безопасности и создания типовых сценариев реагирования

Не подлежит обязательной Не подлежит обязательной сертификации. В процессе сертификации сертификации в ФСТЭК России

Нет

Да

ООО "Маквес групп"

Makves IRP

ООО "КИТ.Р"

ePlat4m Orchestra

Компания-разработчик

Название решения

IRP 12/2/21 17:37 Page 28

СПЕЦПРОЕКТ

Таблица "Обзор решений класса IRP / SOAR"

Нет Нет Да

Да Да Нет Да Да Да

Да Да

Да Да Да Да

Предустановленные скрипты Да для технических действий

Отображение на схеме связей Нет инцидента с ИТ-активами

Изоляция зараженных Да систем, вредоносных файлов

Да

e-mail, SSH, API , СУБД, SNMP, закрытые протоколы

e-mail, Telegram, СМС, RSS, закрытые протоколы

Python, PowerShell

Да

Нет

Автоматическая эскалация профильным специалистам

Блокировка доступа и учетных данных

Ролевая модель доступа к инцидентам

Способы подключения к реагирующим системам

Способы оповещения об инциденте

Поддержка языков описания скриптов реагирования

Визуализация сценария реагирования

Визуализация статусов действий из Playbook

Поддержка Playbook с логическими операторами

Запуск нескольких сценариев для инцидента

Возможность запуска сценариев из сценариев

Автоматическое объединение инцидентов в группы

Анализ атак для криминалисти- Да ки в реальном времени

Планирование и автоматизация Да восстановительных работ

Да Да Да

Нет

Да

База знаний нормативных актов и Best Practice

Готовые отчеты и дашборды

API для выгрузки

Конструктор отчетов

Экспорт информации по активам и инцидентам

Да

Нет

Ретроспективный анализ

Да

Нет

Да

IRP, SOAR, SOC

Управление уязвимостями

Нет

Да Да

Нет

Да

Python, PowerShell, Bash, другие скриптовые языки

e-mail, Telegram, IM, СМС, RSS, закрытые протоколы, механизм коннекторов и др.

e-mail, SSH, API, СУБД, SNMP, закрытые протоколы, коннекторы Low-code и др.

Да

Python, PowerShell, Bash, другие скриптовые языки

e-mail, Telegram, СМС, RSS, закрытые протоколы и др.

e-mail, SSH, API, СУБД, SNMP, закрытые протоколы и др.

SSH, API , СУБД, SNMP, закрытые протоколы и др. e-mail

Да

Да Да

Да

Нет

Да

Python, Powershell, JavaScript Python, другие скриптовые языки программирования

e-mail

REST API

Да

Поддержка SLA

Да

Приоритизация инцидентов

Да

Поддержка командной работы над инцидентом

IRP 12/2/21 17:37 Page 29

www.itsec.ru

Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных, но не проводила работу по их проверке на соответствие действительности.

• 29

KruglyStol 12/2/21 17:06 Page 30

СПЕЦПРОЕКТ

Автоматическое реагирование на инциденты. Круглый стол

ростом ИТ- и ИБ-инфраструктуры предприятия естественным образом возникает потребность в мониторинге ее защищенности, управлении инцидентами с помощью специализированных систем класса IRP/SOAR, а также развертывании на их базе полноценного SOC. Как понять, что настал момент для системного управления инцидентами? Как сократить расходы на комплексный мониторинг ИБ? Как проактивно защитить всю организацию и снизить вероятности ошибок первого и второго рода? Об этом в рамках круглого стола рассказали эксперты журнала “Информационная безопасность".

Валерий Горбачев, руководитель направления внедрения средств защиты информации, “ДиалогНаука” Алексей Горелкин, генеральный директор Phishman Александр Ковалев, заместитель генерального директора Zecurion Александр Носарев, руководитель отдела систем мониторинга и реагирования ГК Angara Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage Дмитрий Поливанов, старший специалист отдела технических решений, “ДиалогНаука” Руслан Рахметов, CEO Security Vision Михаил Савин, директор по продукту Eplat4m Orchestra, ООО “КИТ.Р” Всеслав Соленик, директор Центра экспертизы R-Vision

Когда пора внедрять IRP/SOAR? Каковы минимальные требования для начала внедрения?

Михаил Савин, КИТ.Р: В упрощенном виде IRP есть в любой организации, например в виде ITSM и Service Desk. А предпосылками внедрения специализированной платформы является необходимость автоматизации ручного труда (обогащения, быстрая реакция), появление команды аналитиков и наличие SLA.

Алексей Горелкин, Phishman: IRP/SOAR пора внедрять, как только появляются процессы обработки киберинцидентов. Но многое зависит от специфики бизнеса. Одной организации с 50 сотрудниками может быть крайне необходима автоматизированная работа с инцидентами, а другой компании с 5 тыс. сотрудников вполне хватает и ручной обработки. Поэтому, хотя вопрос и кажется простым, ответ зависит от конкретной ситуации.

Руслан Рахметов, Security Vision: Минимальным требованием начала внедрения IRP/SOAR является только уровень зрелости ИТ- и ИБ-подразделений. При классическом подходе предпосылками для использования IRP/SOAR являются желание автоматизировать рутинные операции в сценарии, нехватка персонала, потребность в скорости реагирования на инциденты. В последнее время стал популярным подход Security

30 •

by Design, когда IRP/SOAR включается уже на этапе проектирования.

Дмитрий Поливанов, ДиалогНаука: Наступает момент, когда ИБ-специалисты начинают захлебываться в ручном разборе потока событий и реагировании, возрастает вероятность ошибок. В этой ситуации на помощь и должны прийти решения IRP/SOAR. Для применения решений данного класса заказчик должен иметь подразделение, отвечающее за развитие, реализацию и поддержание процессов и систем ИБ как на бумаге, так и в инфраструктуре, а также базовый набор средств защиты информации. Желательно также наличие SIEM, которая возьмет на себя обработку и подготовку событий, направляемых в IRP/SOAR.

Александр Носарев, Angara: Основываясь только на экономической эффективности, можно выделить шесть критериев: 1. Определены перечень анализируемых источников, событий, механизмы и возможность сбора. 2. Инфраструктура приведена в соответствие с действующими политиками и регламентами. 3. Определены критичные инциденты, и для них созданы ранбуки, исполняемые вручную. 4. Внедрена SIEM. 5. Создано подразделение, осуществляющее мониторинг в режиме 24 х 7. 6. Есть необходимость автоматизации действий или журналирования расследования.

Илья Петров, Innostage: IRP-/SOAR-систему рекомендуется внедрять в крупных компаниях с определенным уровнем зрелости. Для этого должен быть реализован базовый набор средств защиты информации, внедрена SIEM-система и укомплектован штат специалистов, которые будут выстраивать процесс работы с инцидентами на базе IRP/SOAR.

Всеслав Соленик, R-Vision: Считаю, что внедрение IRP зависит не от зрелости компании, а только от ее потребности в реагировании на инциденты ИБ. Для зрелого или крупного заказчика IRP даст автоматизацию ручного труда, качественный процесс реагирования, интеграции, метрики и прозрачность. Для начинающего или небольшого IRP послужит базой для построения процесса с нуля с использованием преднастроенных лучших практик и инструментов. Для внедрения IRP нужны ресурсы, команда хотя бы из двух-трех специалистов и мотивация.

Александр Ковалев, Zecurion: Известны кейсы, когда системы IRP внедрялись на энтузиазме для единственного активного специалиста по ИБ, но больше для упорядочивания своих процессов. Действительно полезным инструментом IRP становится уже для двух-трех занимающихся расследованиями специалистов. С SOAR ситуация интереснее: требуется определенная зрелость компании, заметное количество защищаемых систем и задач для замены их плейбуками с автоматическим реагированием. Обычно к этому приходят с уже большим штатом и ресурсами для поддержки плейбуков.

KruglyStol 12/2/21 17:06 Page 31

www.itsec.ru

IRP, SOAR, SOC

Как можно снизить затраты на интеграцию IRP/SOAR в уже развернутую масштабную мультиспецифическую ИТ- и ИБ-инфраструктуру?

пании, ландшафт и особенности ее ИТинфраструктры. Сама IRP-/SOAR-система должна обладать вариативностью внедрения, гибкой настройкой функционала и набором коннекторов – готовых инструментов для интеграции с внешними системами.

Что необходимо для совершенствования сценариев анализа инцидентов в решениях класса IRP/SOAR?

Всеслав Соленик, R-Vision: Дмитрий Поливанов, ДиалогНаука: Во-первых, снизить затраты можно благодаря разумной минимизации количества систем, с которыми будет интегрироваться IRP/SOAR. Понять, что будет полезно автоматизировать, поможет графический или текстовый план действий, выполняемый сотрудниками при наступлении различного рода инцидентов до внедрения IRP/SOAR. Второй фактор экономии – наличие у ИБ-специалистов базовых навыков программирования, что снизит зависимость от платных сервисов интеграции, оказываемых сторонними организациями. Многие вендоры предоставляют готовые интеграции, но и их зачастую необходимо приспосабливать под свои цели.

Руслан Рахметов, Security Vision: Система IRP/SOAR работает практически со всеми ИТ- и ИБ-системами компании. Интеграции IRP/SOAR с другими системами образуют транспортную сеть ИБ компании, на которую далее наслаиваются ИТ- и ИБ-сервисы, от рутинных сценариев до работы с BigData. От качества транспортной сети зависит дальнейшее качество работы ИБ в целом. Промышленные IRP/SOAR имеют коннекторы ко всем системам, а к новым системам позволяют подключаться с помощью универсальных коннекторов, тем самым снижая затраты на интеграцию.

Александр Носарев, Angara: 1. Система IRP/SOAR должна соответствовать имеющейся инфраструктуре (готовые интеграции) и процессам (возможности плейбуков), важно смотреть на это в некоторой временной перспективе. Например, локальные производители обычно поддерживают продукты других локальных производителей. 2. Должна быть простота разработки пользовательского контента, а интеграция с редкими или самописными системами не должна становиться проблемой. 3. Важна экосистема, и производители обычно предлагают дополнить решение модулем SGRC, модулем взаимодействия с ГосСОПКА и т.д.

Нужно выбрать подходящий продукт уровня Enterprise с большим количеством готовых интеграций, а также партнера или вендора с опытом проектов в аналогичных компаниях. Окончательный выбор возможен только по итогам пилотирования решений в вашей инфраструктуре. Проектировать процессы и архитектуру следует с учетом выбранных продуктов, а внедрять – в несколько этапов. Дополнительный функционал IRP можно тестировать на пробных лицензиях и закупать, только если он оказался действительно полезен.

Алексей Горелкин, Phishman:

Александр Ковалев, Zecurion:

Всеслав Соленик, R-Vision:

Самый простой способ – проводить постепенное внедрение, правильно сформировать техзадание, отказаться от объективно лишних требований, где это возможно. И стоит помнить, что поддержка любых интеграций в дальнейшем требует их содержания и на масштабных инфраструктурах это стоит дороже условных DLP или NGFW.

Для начала нужно хорошо проработать процесс реагирования на инциденты: источники данных, рубрикатор, карточки и поля, сценарии, рабочие группы, интеграции, метрики и пр. Полезно использовать лучшие практики – ISO, NIST, MITRE и др. Далее важно начать пользоваться системой и несколькими сценариями в боевом режиме. Постепенно найдутся точки совершенствования сценариев, и можно будет развивать их покрытие, глубину обогащения и автоматизации, удобство, гибкость и отказоустойчивость.

Михаил Савин, КИТ.Р: Самая сложная часть внедрения – заставить купленную "коробку" работать. Это зависит от того, можете ли вы описать сценарии автоматизации на бумаге с тем, чтобы переложить их на язык плейбуков. В большой организации можно запустить систему только в одном подразделении, а если требуются сквозные процессы и интеграции, то важным аспектом станут возможности адаптации. Так как процессы реагирования на инциденты ИБ меняются и совершенствуются, важна возможность адаптации системы без участия вендора.

Необходимы квалифицированные кадры. Немаловажно также, чтобы в отделе ИБ был человек, способный "продать" бизнесу потребность в приобретении дополнительных средств защиты, которые помогут делать сценарии более полноценными и максимально автоматизировать процесс обнаружения, расследования и ликвидации последствий киберинцидента. Именно "продать", так как в большинстве случаев ИБ не способна донести до бизнеса пользу приобретения того или иного решения.

Дмитрий Поливанов, ДиалогНаука: Совершенствование сценариев анализа инцидентов достигается в том числе за счет поддержания в актуальном состоянии экспертизы сотрудников, отвечающих за информационную безопасность как в части знаний о реализации современных угроз, так и в части их выявления и предотвращения.

Михаил Савин, КИТ.Р: Нужна система поддержки принятия решений – экспертная система, предоставляющая аналитикам знания о том, что они могут сделать на очередном шаге проведения расследования. Например, к каким внешним источникам данных обратиться, проследить связи определенного события с другими сущностями, проверить гипотезу о применении конкретной техники атаки. Результат работы такой системы – готовый плейбук, автоматизированно разработанный аналитиком для решения конкретной задачи обнаружения и реагирования.

Илья Петров, Innostage: Для снижения затрат на внедрение IRP/SOAR необходимо детально проработать архитектуру внедряемой системы, которая в первую очередь должна учитывать организационную структуру ком-

Александр Носарев, Angara: Есть три основные составляющие: 1. Совершенствование самих процессов. Если при расследовании нужен внешний ресурс (система, специалист), кото-

• 31

KruglyStol 12/2/21 17:06 Page 32

СПЕЦПРОЕКТ рого сейчас нет или к которому нет полномочий обратиться, – это проблема. 2. Автоматизация. Не всегда ограничения носят технический характер, иногда бизнес не готов на действия без ручного подтверждения. Нужно договариваться и искать обходные пути. 3. Измерение эффективности процесса. Многие решения для этого имеют встроенные средства.

стоит процесс погружения в специфику инфраструктуры организации и применяемых средств защиты. Зато уже работающий в организации сотрудник обладает необходимой осведомленностью об инфраструктуре и, хотя не имеет навыков работы в новой системе, может получить базовое понимание на этапе внедрения, а более специфичные навыки – по мере использования IRP/SOAR.

Илья Петров, Innostage:

Руслан Рахметов, Security Vision:

В первую очередь нужно повышать уровень понимания ИТ-инфраструктуры компании. Речь идет не только о техническом понимании актива, но и описании его роли, наличия в нем сервисов, знания, кто и через какие системы может работать с ним. В таком случае возможно в короткие сроки спрогнозировать потенциальные векторы развития атак. Важно также иметь возможность построения связей между инцидентами, объединения связанных инцидентов в одну сущность, что значительно облегчает жизнь аналитику.

Подход должен отвечать кадровой политике компании в целом: у одних для этого используется стажировка, у других применяется классическая модель хантинга кадров. Может также применяться переподготовка, она вполне оправданна, если сотрудник работал с различными СЗИ, понимает сетевой и прикладной уровни безопасности, необходимые при обеспечении безопасных интеграций. С тематикой IRP/SOAR отлично справляются специалисты, владеющие направлениями DLP и SIEM.

Во-вторых, для большинства компаний направление ИБ не является центром дохода, а значит, бюджета сильно выше рынка для найма или постоянного потока уникальных задач попросту не будет. Поэтому сама ситуация может диктовать различные варианты. Оптимальным может быть получение системы как сервиса с возможным постепенным переходом к модели in-house.

Михаил Савин, КИТ.Р: Нужно идти в университеты, открывать свои лаборатории, организовывать совместные магистерские программы. Например, я сейчас прохожу обучение по магистерской программе, разработанной совместно с ИРИТ-РТФ УрФУ и компанией УЦСБ. Помимо непосредственно процесса обучения, это также отличная возможность для хантинга перспективных специалистов. Бакалаврам же можно предлагать оплачиваемые стажировки в SOC.

Александр Ковалев, Zecurion: Александр Ковалев, Zecurion: При наличии ресурсов желательно изначально проводить правильное внедрение, чтобы потом меньше тестировать SOAR в боевых условиях. Для совершенствования процесса необходимо накопить достаточный опыт и компетенции для анализа и оптимизации срабатывания сценариев, и это должно стать постоянным процессом.

Руслан Рахметов, Security Vision: Для начала необходимо в IRP/SOAR формализовать сценарии as-is и начать с ними работать. Команда сразу увидит, что необходимо улучшать в процессе анализа инцидентов. Дело в том, что процесс обработки сценариев существует в головах, на листочках, в файлах. И когда формализованный процесс начинает работать как система, слабые места обнаруживаются и улучшаются автоматически. Кроме того, современные IRP/SOAR имеют базы знаний, справочники, механизмы выбора лучших решений и подсказок, в том числе с использованием ИИ.

Как организации "куют" кадры для работы и анализа данных в IRP/SOAR – ищут, готовят, переманивают?

Дмитрий Поливанов, ДиалогНаука: Нанятый на рынке специалист не будет сразу готов к выполнению задач в рамках работы с IRP/SOAR. Как бы ни был высок класс, ему в любом случае пред-

32 •

Это напрямую зависит от бюджета, так как специалистов мало и они достаточно дороги. Поэтому универсальным ответом будет учить своих сотрудников и мотивировать их остаться в организации в первую очередь интересными задачами.

Как понять, что организация созрела для использования SOC?

Илья Петров, Innostage:

Алексей Горелкин, Phishman:

Оптимальным вариантом является использование смешанного подхода, включающего в себя задействование в работе собственных специалистов, знающих ИТ-инфраструктуру компании, а также привлечение сторонней экспертизы со стороны SOC. Данное взаимодействие повысит навыки специалистов компании и позволит на практике перенять опыт и навыки для возможности самостоятельного мониторинга и анализа инцидентов ИБ в IRP/SOAR.

В целом SOC – это набор процессов, и если организация созрела для внедрения IRP/SOAR, главного инструмента для специалистов центра реагирования, то появление SOC становится лишь вопросом времени.

Михаил Савин, КИТ.Р: SOC – это знания, люди, процессы и инструменты. Неважно, используете вы термин SOC или нет, если у вас есть эти компоненты, значит, вы уже строите SOC.

Всеслав Соленик, R-Vision: Поиск готовых специалистов на рынке не покрывает потребностей в кадрах современных SOC, поэтому все же придется растить собственные кадры. Как правило, всегда есть подходящие базовые задачи для молодых специалистов, а выстроенная система обучения и наставничества позволит быстро готовить из них профессионалов. Хорошее партнерское или вендорское обучение также является важным подспорьем, хотя внедрение IRP на практике и анализ реальных инцидентов ничем не заменить.

Александр Носарев, Angara: Потребность в SOC возникает при достижении компанией и ее ИБ-службой определенного уровня развития. Его использование в виде услуги не предполагает, в частности, формирования подразделения, внедрения систем. Но при этом к моменту принятия решения о SOC уже должны быть внедрены блокирующие средства (AV, HIPS/NIPS, FW и др.), имеющие приоритет над детектирующими. Далее следует провести расчет: если стоимость реализации рисков, которые может закрыть SOC, выше стоимости его услуг – надо брать.

Александр Носарев, Angara: Во-первых, необходимо определить искомые компетенции. Специалиста первой линии найти или обучить проще, чем администратора или специалиста третьей линии.

Илья Петров, Innostage: Если в компании реализован базовый уровень ИБ, установлена SIEM, а также возникают задачи контроля общего состояния ИБ на системной основе,

KruglyStol 12/2/21 17:06 Page 33

www.itsec.ru

IRP, SOAR, SOC

предотвращения инцидентов и компьютерных атак, это является индикатором достаточной зрелости для использования SOC. Остается выбрать для себя подход: создание собственно SOC, передача этих задач на сервис либо применение гибридного подхода.

Всеслав Соленик, R-Vision: SOC – понятие относительное как по размеру, так и по зрелости. Это и ситуационный центр на сотню аналитиков, и внутренний отдел из пяти человек; главное – построить эффективные процессы выявления и реагирования на инциденты, а также применять качественный инструментарий. Если есть потребность реагировать на инциденты ИБ, есть желание и ресурсы снижать риски информационной безопасности, значит, организация созрела и нужно начинать пробовать строить свой или использовать внешний SOC.

терий: наступление момента, когда хочется выделить реагирование в постоянную и развивающуюся функциональность.

Руслан Рахметов, Security Vision: Когда формализовался процесс управления инцидентами кибербезопасности, можно считать, что компания созрела для SOC и для выхода на управляемый сервис. Множественность ручных операций, связанных с ИБ, является безусловной предпосылкой к построению SOC. Готовность к использованию SOC – это прежде всего зрелость отдела ИБ, его стремление к автоматизации рутины, к повышению скорости реагирования и к безопасности компании в целом.

Михаил Савин, КИТ.Р: Идеально, если вы можете позволить себе оба варианта. То есть внутренний SOC решает задачи первой-второй линии, а сложные случаи вы отдаете во внешний SOC с экспертизой, и он же проводит перформанс-ревью внутреннего SOC. Либо, например, внешний SOC занимается определенным типом событий/инцидентов, например из сегмента АСУ ТП.

Валерий Горбачев, ДиалогНаука: Что лучше, свой SOC или внешний?

Александр Ковалев, Zecurion: Очень многим организациям помогла созреть нормативно-правовая база, поэтому в первую очередь стоит убедиться в наличии или отсутствии регуляторных требований. Понимание необходимости SOС приходит примерно так же, как и в случае с управленческой отчетностью: в какой-то момент становится понятно, что данных стало слишком много и пора менять угол зрения (дашборды, отчеты, показатели). Второй кри-

использовать гибридную модель, сочетая навыки собственной команды с сервисами кибербезопасности, дополняющими внутренний SOC экспертизой, которую нецелесообразно содержать внутри компании.

Илья Петров, Innostage: Для принятия правильного решения необходимо определиться, какие функции обеспечения ИБ компания хочет и может реализовать внутри, а в каких случаях будут привлекаться внешние ресурсы. Это сильно зависит от ИТинфраструктуры и количества специалистов по ИБ. Зачастую выгоднее

Выбор напрямую зависит от возможности поддерживать необходимую инфраструктуру – круглосуточную первую линию, высококвалифицированных админов СЗИ и т.д. По мере развития зрелости ИБ хорошим ориентиром будет следующий путь развития: 1. Полностью внешний SOC с экспертизой вендоров и провайдера в части контента, выявления инцидентов, подключения источников. 2. Перенос части функций к компании по мере готовности. 3. Внутренний SOC, использующий, возможно, внешнюю первую линию.

• 33

KruglyStol 12/2/21 17:06 Page 34

СПЕЦПРОЕКТ Александр Носарев, Angara: Каждый вариант имеет свои преимущества. Свой SOC – это полная согласованность с инфраструктурой, бизнеспроцессами и высокая скорость реагирования на их изменения. Минусы решения in-house заключаются в том, что для обеспечения квалифицированного мониторинга 24 х 7 необходимы такие вложения (CAPEX и OPEX) во внедрение систем, поиск, развитие и удержание персонала, что направление может оказаться нецелесообразным. Есть и третий, гибридный, вариант с признаками каждого из первых двух.

Руслан Рахметов, Security Vision: Вопрос имеет заметный управленческий оттенок, и ответ зависит от выбора модели бизнеса компании, от того, как компания работает с рисками. В случае своего SOC все понятно: своя инфраструктура, свои СЗИ, свой персонал и свои риски. В случае внешнего SOC компания должна довериться и фактически переложить риски ИБ на внешний SOC. Каждый делает выбор, исходя из целей бизнеса и бюджета. Свой SOC – это больше CAPEX, внешний SOC – это больше OPEX

Всеслав Соленик, R-Vision: Выбор внешнего или внутреннего SOC сводится к потребностям, опыту и контексту того, кто отвечает на этот вопрос. На практике внутренний SOC требует компетенций, времени и ресурсов. Если чего-то из этого нет, можно начать с внешнего сервиса и со временем перейти к гибридной модели либо построить свой. Гибридность может подразумевать получение извне части сервисов, компетенций, систем или персонала.

Руслан Рахметов, Security Vision: Реальна ли возможность внедрения технологий искусственного интеллекта в управление инцидентами ИБ?

Валерий Горбачев, ДиалогНаука: Нужно реалистично подходить к оценке возможностей ИИ. Как и в любой другой сфере, в ИБ действует принцип приемлемой точности. То есть ИИ никогда не сможет обработать все инциденты самостоятельно, и в любом случае часть действий придется выполнять человеку, включая работу с неочевидными False Positive, доработку правил корреляции и т.д. Практика показывает, что планка приемлемой точности неизменно сдвигается в сторону увеличения трудозатрат персонала.

Михаил Савин, КИТ.Р: Технологии ИИ – уже реальность, и они шире, чем просто машинное обучение. Например, мы разработали технологию автоматизированного (в перспективе – полностью автоматического) расследования атак для ряда популярных техник из матрицы MITRE ATT&CK на основе компьютерной онтологии MITRE D3FEND, связывающей техники защиты и нападения.

Система реагирования на основе ИИ Security Vision IRP/SOAR используется в банках из топ-10 и структурах государственной власти. Модуль анализа содержит модели машинного обучения с возможностью автоматического определения и выполнения команд реагирования на инциденты кибербезопасности. Сервис используется в качестве инструмента обогащения данных при получении инцидентов ИБ от других источников с целью выстраивания полной информации об атаке или нарушениях ИБ, предложения лучших решений и выявления аномалий с использованием ИИ.

Александр Носарев, Angara: Многие производители уже сейчас пытаются добавить своим потребителям ценность за счет использования ИИ. Но правда заключается в том, что только незначительный процент организаций достиг того уровня, когда исчерпаны более простые методы выявления, расследования и реагирования на инциденты ИБ.

Илья Петров, Innostage: Направления, где технологии ИИ наиболее востребованы: частичная автоматизация анализа инцидента на предмет его ложности, обучение IRP в части автоматической классификации инцидентов, внедрение инструментов прогнозирования развития сложных компьютерных атак и инцидентов. Общая цель данных технологий – повышение автоматизации работы аналитиков и специалистов, обеспечивающих противодействие компьютерным атакам. Применение технологий ИИ в этой части будет находить все более широкое применение.

Всеслав Соленик, R-Vision: Несмотря на скепсис многих коллег, технологии ИИ неизбежно проникают во все процессы, в том числе в сфере ИБ. Есть задачи в недетерминированной логике, которые ИИ решает лучше других подходов. Наша компания, например, использует машинное обучение в своих продуктах для выявления инцидентов, адаптации и параметризации правил даже для аналитики по Threat Intelligence. Однако автоматическое реагирование в инфраструктуре или управление инцидентами большинство коллег пока не готовы отдать в руки ИИ.

Алексей Горелкин, Phishman: Выбор зависит от специфики бизнеса. Тут нет "лучше" или "хуже", все зависит от того, какие задачи решаются. Если важен вопрос соотношения цены и качества, то внешний SOC выглядит более привлекательным. Если в бизнесе много специфических особенностей, а также нет сложностей с бюджетом, то собственный SOC будет более качественно и оперативно обрабатывать события. Промежуточный вариант – импланты для SOC внутри организации.

Алексей Горелкин, Phishman: Александр Ковалев, Zecurion: Если речь о полноценном SOC, то для небольших и средних организаций оптимальным видится сторонний SOС – это в общем случае дешевле, проще и эффективнее. Для крупных организаций эффективны как собственные, так и гибридные модели по аналогии с большинством других бизнес-функций: ключевая компетенция сохраняется внутри, но регулярно привлекаются внешние "мозги" и "руки".

34 •

Все, что имеет закономерности (даже если человек с первого раза их не видит), может быть автоматизировано на базе машинного обучения. Сначала, конечно, это будут рекомендации для оператора, который сам станет выбирать, как поступить, но впоследствии многие повторяющиеся действия будут автоматизированы. Единственная проблема, которую я вижу, – это составление датасета для обучения.

Александр Ковалев, Zecurion: В широком понимании ИИ в управлении инцидентами навряд ли скоро заменит человека в части расследований, но в плане автоматизации постоянно делаются большие шаги, одной из точек приложения которых является SOAR. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Slobodchikov 12/2/21 17:06 Page 35

www.itsec.ru

УПРАВЛЕНИЕ

Защита ПДн – есть или нет Андрей Слободчиков, эксперт по информационной безопасности Лиги Цифровой Экономики

ороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования.

Малый бизнес в зоне риска Размеры компании не влияют на степень сложности взлома, но зачастую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую очередь нацелен на получение прибыли. В крупном бизнесе к информационной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д. Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасности с помощью встроенных механизмов защиты в ИТ-устройствах или использованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты. Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнестребования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов.

В чем заключается проблема? Основные проблемы защиты персональных данных в России заключаются в том, что нет точного определения информации, которая относится к персональным данным, а также отсутствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение требований по техническим и организационным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты информации и запрашивает определенный

перечень документов, которые зачастую создаются по шаблонам с единственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью. Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф составляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами оповестить Роскомнадзор, когда сталкиваются с нарушениями. Ответственные пользователи, имеющиеся административные и технологические инструменты в совокупности могли бы сформировать эффективную систему борьбы с подобными сайтами.

Европейский стандарт Для эффективного регулирования необходимо задать определение, которое будет трактоваться однозначно. Нужно ввести административные штрафы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продолжительности нарушения, а также от способа оповещения о нем (непосредственно самой организацией или другими источниками). Одним из успешных примеров регулирования защиты персональных данных является GDPR. В отличие от отечественного аналога – 152-ФЗ в GDPR явно определено, что относится к пер-

сональным данным, а также обозначена ответственность за их защиту как для оператора, так и для непосредственного обработчика персональных данных. Кроме того, в GDPR установлены большие штрафы за недостаточные технические и организационные меры по обеспечению безопасности, они могут доходить до сотен миллионов евро для юридических лиц. В российском же законодательстве таких штрафов не предусмотрено вовсе. Таким образом, в GDPR одним из мотиваторов обеспечения сохранности персональных данных являются большие штрафы, в то же время в данном документе предусмотрены четкие требования по обеспечению безопасности, при выполнении которых организации не грозят штрафы.

Что делать пользователям? Чтобы свести к минимуму риск утечки персональных данных, необходимо минимизировать свой цифровой след в сети. При регистрации на сайтах, в социальных сетях и мессенджерах не публиковать (не указывать) дату рождения, адрес, номер телефона, сведения о родственниках и другую личную информацию. Лучше завести отдельный ящик электронной почты для приватных переписок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д. В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензированного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 35

Mustafaev 12/2/21 17:06 Page 36

УПРАВЛЕНИЕ

Обязательные технологические компоненты современной инфраструктуры ИБ Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” (группа ЛАНИТ)

П Физические компоненты Важнейшим физическим компонентом современной инфраструктуры ИБ любой компании, помимо видеонаблюдения, является система контроля и управления доступом (СКУД). Ее внедрение обеспечивает доступ только для авторизованных сотрудников или других лиц с помощью средств аутентификации. Система может быть интегрирована с инфраструктурой контрольно-пропускных пунктов, сторонними информационными системами, а также ИИ-решениями, такими как FaceID. Внедрив СКУД, бизнес может быть уверен в четком контроле доступа в любое время суток.

Аппаратные компоненты Многие компании убеждены, что вполне достаточно использования сложного пароля, чтобы защитить корпоративную учетную запись. Однако при входе в некоторые системы пароль можно сбросить по электронной почте – таким образом, используя скомпрометированный ящик электронной почты, злоумышленник может получить доступ к нескольким системам. Внедрение многофакторной аутентификации – это простой способ дополнительно защитить конфиденциальные данные компании и обеспечить доступ к ресурсам только легитимным пользователям. Многофакторная аутентификация может быть реализована как через одноразовые кодпароли, которые приходят пользователю по СМС и обычно действительны только на протяжении 30–60 с, так и через аппаратные токены, которые представ-

36 •

роактивный подход и своевременное внедрение инструментов защиты – путь к успешной практике ИБ. Если компания использует собственные мощности и виртуальную инфраструктуру, то эффективные инструменты защиты должны быть внедрены на всех уровнях. Важно рассматривать не каждую отдельную угрозу по мере ее возникновения, а внедрить комплекс технологических инструментов ИБ, которые обеспечат защиту всего цифрового периметра. Компоненты информационной безопасности можно разделить на физические, аппаратные и программные.

ляют собой физический носитель, подключаемый к устройству, а также и через более сложный способ – биометрическое решение. К аппаратным ИБ-компонентам относится криптография, которая обеспечивает защиту информации путем шифрования данных. Криптография преобразовывает передаваемое сообщение в форму, которая будет нечитабельна без ключа шифрования. Даже в случае, если злоумышленник перехватит информацию, она будет ему доступна только в зашифрованном виде и не будет представлять для него никакой ценности. Среди аппаратных компонентов выделяют те решения, которые через электромагнитные каналы ограничивают доступ к информации с помощью экранизирующих и поглощающих устройств и материалов. К этой категории относятся сетевые фильтры и другие устройства, перекрывающие потенциальные каналы утечки информации.

Программные компоненты Решения для мониторинга информационной безопасности Инструменты мониторинга собирают и анализируют журналы безопасности из различных источников. Популярные инструменты мониторинга сети и ИТинфраструктуры включают в себя системы управления инцидентами и событиями безопасности (SIEM), системы обнаружения вторжений (IDS) и поведенческой аналитики. Технологии безопасности конечных точек обеспечивают видимость безопасности на уровне хоста, предоставляя возможность группам кибербезопасности обнаруживать угрозы на более ранних

стадиях. Такие инструменты мониторинга безопасности включают в себя обнаружение и реагирование (EDR) и платформы защиты конечных точек (EPP).

SIEM SIEM-система представляет собой комплекс программного обеспечения для управления событиями информационной безопасности. Система собирает и анализирует данные из нескольких источников, включая сетевые устройства и серверы для выявления аномального поведения и возможных кибератак. Как только система обнаружит эти аномалии, она сможет определить нарушение безопасности и упростить последующее расследование для ИБ-специалистов.

WAF WAF-комплекс – межсетевой экран для веб-приложений, направленный на выявление и блокировку современных кибератак на веб-ресурсы. Внедрение такого решения дает возможность не только выявить вредоносный трафик, но и определить, какие атаки были направлены на критические уязвимости. WAF-коплексы могут работать на базе искусственного интеллекта и использовать машинное обучение, а также встраиваться в современные облачные инфраструктуры и стек DevOps.

VPN VPN позволяет установить безопасное зашифрованное подключение между несколькими сетями или между отдельным пользователем и сетью. При использовании VPN весь трафик направляется через зашифрованный виртуальный туннель, маскируется IP-адрес, что делает его местоположение невидимым. VPN-

Mustafaev 12/2/21 17:06 Page 37

www.itsec.ru

УПРАВЛЕНИЕ

соединение обеспечивает защиту от внешних атак, поскольку только сам пользователь может получить доступ к данным в зашифрованном туннеле.

Антивирусное ПО Антивирусное ПО предназначено для поиска известных вирусов и других вредоносных программ, таких как программы-вымогатели, трояны, сетевые черви, рекламное ПО и др. При обнаружении совпадения вредоносная программа будет либо удалена, либо перемещена в зону карантина.

DLP-системы Data Leak Prevention (DLP) – программный продукт, основной функцией которого является защита организации от утечек конфиденциальных корпоративных данных. DLP-система является своего рода куполом, который закрывает цифровой периметр компании, анализируя всю исходящую, а в некоторых случаях и входящую информацию.

Межсетевые экраны Межсетевой экран – устройство сетевой безопасности, которое отслеживает и фильтрует входящий и исходящий сетевой трафик на основе ранее установленных политик безопасности организации. Основная цель межсетевого экрана – разрешить безопасный трафик и предотвратить проникновение нелегитимного. По сути, межсетевой экран – это барьер между частной внутренней сетью и общедоступным Интернетом. К обязательным программным компонентам современной инфраструктуры ИБ также стоит отнести облачные антивирусы, средства защиты информации (СЗИ), системы защиты корпоративной почты и средства защиты виртуализации, которые позволяют обеспечить высокую степень защиты как на уровне локальной инфраструктуры, так и на уровне виртуальной среды.

IDS/IPS Внедрение надежной системы IDS (системы обнаружения сетевых вторжений) и IPS (системы предотвращения вторжений) является важным инструментом обеспечения полной безопасности сети. Эти системы гарантируют, что любые потенциальные угрозы, проникающие через брандмауэр, будут устранены сразу после атаки. Вот почему IDS/IPS жизненно важны для защиты сети компании. Они работают вместе, чтобы отслеживать трафик и сообщать об атаках. Хорошая стратегия безопасности – обеспечить их одновременную работу.

Основные тренды в сфере ИБ XDR-решения – новый подход к обнаружению угроз, реагированию на них и защите бизнеса от несанкционированного доступа. XDR является своего рода

панацеей от киберинцидентов и объединяет в себе функционал SOAR-, SIEM-, EDR- и UBA-/UEBA-систем. XDRрешения собирают и автоматически сопоставляют данные на нескольких уровнях безопасности: электронная почта, конечные точки, серверы, облачная среда и сеть. Автоматический анализ этого расширенного набора данных позволяет быстрее обнаруживать угрозы и сократить время расследования и реагирования на кибератаки. Модель Zero Trust (нулевого доверия) как приоритетное направление – стратегия кибербезопасности, согласно которой ни одному субъекту, системе, сети или службе, работающим за пределами или в пределах периметра безопасности, нельзя доверять. Этот принцип можно описать как "никому не верь, подозревай всех". На практике такая модель может выглядеть следующим образом: сотруднику финансового отдела может быть предоставлен доступ к основным финансовым системам SAP, но не к CRMсистеме. Однако доступы для сотрудника отдела продаж будут реализованы наоборот. Искусственный интеллект для выявления угроз ИБ. Искусственный интеллект и машинное обучение стали критически важными технологиями в вопросах обеспечения информационной безопасности, поскольку позволяют быстро анализировать миллионы событий и выявлять различные типы угроз, от вредоносных программ до обнаружения недостаточной компетентности сотрудников в части ИБ. Используя сложные алгоритмы, системы искусственного интеллекта обучаются обнаружению киберугроз, запуску распознавания образов и идентификации даже мельчайших проявлений вредоносных программ или атак вымогателей до того, как они попадут в систему. Развитие блокчейн-технологии. Тонны конфиденциальных данных сегодня находятся в распоряжении бизнеса. Данные поступают через устройства IoT, облачные хранилища и многие другие ресурсы. Технология блокчейн гарантирует, что ни один массив данных не будет размещен без шифрования. Аналитика пока-

зывает, что 90% кибератак происходят из-за зараженных устройств, подключенных к Интернету вещей. Технология блокчейн обеспечивает своевременную связь между удаленными устройствами для передачи сообщения об угрозе и создает децентрализованный поток данных, который хакеру становится очень сложно взломать. Практически невозможно нарушить такой высокий уровень безопасности, который может блокировать узлы и не давать разрешения на обмен данными.

В заключение Выбор средств и инструментов защиты во многом зависит от сферы деятельности компании и множества других факторов, таких как: l является ли компания субъектом КИИ – так, особые требования безопасности регулирующие органы предъявляют к банковской сфере (стандарт СТО БР ИББС, сфере здравоохранения, связи, энергетики и других); l является ли компания оператором связи и обрабатывает ли персональные данные – это также накладывает обязательства по соблюдению требований регуляторов, в частности 152-ФЗ "О персональных данных"; l наличие удаленных команд и особенности обеспечения информационной безопасности для территориально распределенного бизнеса; l для госучреждений или коммерческих организаций – требуется ли импортозамещение, использование отечественных средств защиты информации. Пример – требования для госсектора по минимальному набору СЗИ. Обеспечение комплексной информационной безопасности – одна из важнейших задач любого современного бизнеса. Внедрение высокоэффективных инструментов ИБ позволит компаниям своевременно обнаружить угрозы, предотвратить утечку данных или взлом инфраструктуры. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 37

Phishman 12/2/21 17:06 Page 38

УПРАВЛЕНИЕ

Если есть процессы, то зачем нужен антивирус? Алексей Горелкин, генеральный директор Phishman

нение о том, что антивирус бесполезен, – не самое популярное, но бытует довольно давно. От ИТ-специалистов часто можно услышать, что, мол, им антивирус не нужен, ведь через них (специалистов) зловреды не проникнут. Однако практика расследования компьютерных инцидентов показывает, что нередко именно такие люди и попадаются. На первый взгляд, дело тут в самоуверенности, а антивирус действительно спасает. Но суть вопроса кроется все-таки в людях, а не в антивирусах.

В более развернутом виде это мнение можно сформулировать так: антивирус не нужен, потому что при достаточно высоком уровне киберсознательности нет необходимости использовать какие-либо средства обнаружения вирусов.

Антивирусы против атак

Корректный перевод термина Security Awareness должен звучать так: повышение осознанности поведения пользователей в киберсреде.

Идея антивируса зародилась в конце 80-х гг. XX века, ее успешно продвигал восхитительный Джон Макафи. Без преувеличения можно сказать, что именно он смог доходчиво рассказать людям об опасностях вирусов и придумал антивирус, чем сильно опередил свое время. Конечно, в в ту пору зловреды и атаки были заметно проще, чем в наши дни, но факт остается фактом: идея антивирусов существует уже давно. За десятки лет антивирусы сильно видоизменились, они прошли этап от простого сравнения подозрительного кода с сигнатурными базами до эвристики и автоматиче-

ского обнаружения признаков, не указанных в антивирусной базе. Технология проверена временем, но на практике оказываются нередкими случаи серьезных атак, при которых антивирусы оказываются не у дел. Нет антивируса, который невозможно отключить или обойти, не говоря уж об атаках, которые не используют нелегитимное ПО, – проводящие пентест специалисты лучше других об этом знают. Существуют разнообразные методики обхода антивируса. Поскольку антивирусы существуют давно и свободно доступны на рынке, у злоумышленников целые лаборатории имеют возможность исследовать работу антивирусов и проводить эксперименты по тонкостям обнаружения своих зловредов. В Даркнете даже предлагаются услуги по пересборке вредоносного кода таким образом, чтобы он не детектировался большинством антивирусов и песочниц. Поэтому, если атака хорошо подготовлена, ни один антивирус от нее не спасет. А если атака неподготовленная, то нужен ли антивирус? И мой ответ: не нужен. Если пользователь понимает, как вести себя в киберсреде, и соблюдает хотя бы минимальные правила безопасности, его крайне сложно обмануть и вынудить сделать то, что требуется злоумышленникам.

38 •

Осознанность важнее осведомленности Термин Security Awareness в свое время не совсем корректно был переведен на русский язык: его трактовали как повышение осведомленности пользователей в области информационной безопасности. На мой взгляд, это в корне неверно и корректный перевод должен звучать так: повышение осознанности поведения пользователей в киберсреде. Другими словами, важно, чтобы пользователь понимал, что он делает и зачем, а также предвидел последствия своих действий. Для этого он не просто должен знать о существовании вирусов, но понимать, что делает вирус и как действовать при заражении. И если пользователь осознанно ведет себя в киберсреде, его очень сложно обмануть или ввести в заблуждение. Конечно, можно спросить: зачем Security Awareness, предположим, бухгалтеру? Для ответа на этот вопрос мысленно вернемся в конец 90-х и начало 2000-х, когда информационные технологии были еще в диковинку. Компьютеры тогда были не у всех, в основном у ИТи ИБ-специалистов. Но всего за пару десятилетий цифровизация стала неотъемлемой частью нашей повседневной жизни. Человека, который никак не связан с цифровым миром, можно найти разве что вдали от больших городов, но таковых меньшинство, а мобильный телефон имеется у подавляющего большинства людей. Цифровой мир стал очень близок,

Phishman 12/2/21 17:06 Page 39

www.itsec.ru

УПРАВЛЕНИЕ

и умение вести себя в нем так же важно, как знание правил дорожного движения для пешеходов: переходить дорогу необходимо на зеленый свет, а на красный – стоять. Если правильно преподнести сотрудникам информацию о киберосознанности, правильно мотивировать, проверять их знания и постоянно совершенствовать их киберкультуру соответственно меняющейся реальности, то они перестанут допускать ошибки, а также начнут правильно реагировать на события кибербезопасности. И антивирус станет не нужным.

Казнить нельзя помиловать В среде безопасников существуют два больших заблуждения: l пользователи не хотят разбираться в ИТ-технологиях; l пользователей надо наказывать за ошибки. Эти два тезиса находятся в прямом противоречии друг с другом, ведь если исходить из того, что пользователи не хотят учиться киберосознанности, выходит, что их нужно заставлять это делать. Кроме того, раз пользователей постоянно наказывают за ошибки, это влечет за собой и другие серьезные последствия – пользователи начинают замалчивать проблемы. Вместо того чтобы сказать специалистам по информационной безопасности о подозрении, что на компьютере завелся вирус, запуганный пользователь промолчит: вдруг за этим последует выговор, штраф или на него просто повысят голос. Все это неприятно психологически, а иногда и финансово, и люди будут избегать подобных ситуаций. Таким образом, пользователь начинает видеть в сотрудниках отдела информационной безопасности карательный орган, от которого надо скрываться. Кроме молчунов появляется и второй тип сопротивления – бунтари. В ответ на давление они начинают сознательно обходить правила безопасности. Такое часто бывает у выходцев из ИТ, так сложилось, что ИТ-специалисты недо-

любливают ИБ-отдел и наоборот. Хотя не стоит забывать, что согласно ITIL (IT Infrastructure Library) информационная безопасность должна поддерживать ИТ, а ИТ, в свою очередь, – поддерживать бизнес. Безопасность – важная часть корпоративной жизни, но всего лишь ее часть, и специалисты по информационной безопасности всегда живут в инфраструктуре, которую подготовили ИТ-специалисты. Поэтому если безопасность начинает действовать жестоко и ее начинают бояться, то появляются бунтари со стороны ИТ, которые постараются в знак протеста обойти все заведенные правила в угоду удобству повседневной работы. Да, специалисты по ИБ, с одной стороны, должны обнаруживать таких бунтарей, но повторю, что безопасность работает в среде, которую подготовили ИТ-специалисты, и кое-что можно скрыть. Я знаю компании, где люди с очень высоким уровнем доступа прямо на серверах компании держали гигантские торрентобменники и это никем не обнаруживалось годами, да и до сих пор не обнаружено, я уверен. Поэтому антивирус не нужен, если у сотрудников есть высокая киберосознанность, они не видят опасности в ИБ, идут навстречу, не боятся лишний раз проконсультироваться, пообщаться, и ИБ в ответ станет другом и товарищем. Все это создаст обстановку, которая даст возможность предотвращать атаки на максимально ранних этапах.

Влияние SOC Важно понимать, что при наличии SOC (Security Operations Center) или хотя бы простого процесса расследования инцидентов антивирус уже окажется не нужен. Штатными средствами, которые обнаружат недопустимые активности, должны стать системы, контролирующие сетевой и почтовый трафик, а также агенты неантивирусного характера, установленные на рабочих станциях, например DLP- и EDR-агенты. В результате, если пользова-

тель будет действовать осознанно, соблюдая правила информационной безопасности, системы контроля развернуты грамотно, а процесс реагирования на инциденты налажен, необходимость в антивирусе отпадает.

Вместо того чтобы сказать специалистам по

Да, антивирус не нужен, можно работать без него. Но при этом обязательно должны присутствовать грамотные ИБ-специалисты и процесс расследования инцидентов, но самое главное – высокая осознанность поведения сотрудников в киберсреде.

информационной безопасности о подозрении, что на компьютере завелся вирус, запуганный пользователь промолчит: вдруг за этим последует выговор, штраф или на него просто повысят голос.

Заключение Подход к информационной безопасности сейчас сильно меняется, и люди уже сегодня важнее любой системы безопасности. Примером может служить перевод большей части сотрудников в домашние офисы, при этом далеко не всем выдали корпоративные ноутбуки и люди вынужденно работали с домашних устройств. И в такой ситуации сохранность информации компании напрямую зависит от осознанности действий каждого сотрудника. l

В Даркнете успешно предлагаются услуги по пересборке вредоносного кода таким образом, чтобы он не детектировался большинством антивирусов и песочниц.

АДРЕСА И ТЕЛЕФОНЫ "ФИШМАН" см. стр. 56

• 39

Gaz-is 12/2/21 17:06 Page 40

УПРАВЛЕНИЕ

"Осторожно: инсайдеры!" Четыре эффективных способа предотвратить раскрытие коммерческой тайны Иван Корешков, менеджер по продукту Ankey IDM, компания “Газинформсервис”

а первый взгляд может показаться, что борьба с утечками по вине инсайдеров является задачей только ИТ- и ИБподразделений. Однако стоит посмотреть на проблему шире. Рассмотрим четыре эффективные практики, как победить инсайдеров в отдельно взятой компании, и оценим ресурсы, которые для этого понадобятся.

Бороться с внешними угрозами информационной безопасности часто бывает проще, чем защитить информацию для служебного пользования от собственных сотрудников, желающих примерить на себя роль инсайдеров. За последние несколько лет реализация рисков умышленного "слива" информации и утечек по халатности сотрудников выросла в разы. По объективным оценкам компаний из сферы информационной безПрактически всем инсайдерским рискам предшествуют изменения в поведении людей, которые нужно вовремя заметить.

Наряду с систематической работой с коллективом и разработкой документационной базы обязательно стоит внедрять современные технические решения класса IGA (Identity Governance and Administration).

опасности, в 2019 г. доля умышленных утечек в России составляла 44%, а в 2020 г. – уже 80%.

Настраиваем контакт с сотрудниками Особую трудность в борьбе с внутренними нарушителями представляет то, что они знают внутренние регламенты безопасности, осведомлены о том, какое ПО применяется в компании, часто знают даже алгоритмы противодействия киберпреступникам. Противостоять

инсайдерам только техническими средствами недостаточно, поэтому важно обращать внимание на поведенческие индикаторы, а именно личные предрасположенности людей, модель их поведения в стрессовых ситуациях, личные, профессиональные и финансовые факторы, которым подвержены сотрудники. Практически всем инсайдерским рискам предшествуют изменения в поведении людей, которые нужно вовремя заметить. Важную роль при внедрении такого подхода играют сотрудники отдела HR. Именно они будут проводить замеры в коллективе, общаться с сотрудниками, анкетировать, исследовать психологический климат.

Никому не доверяем, всех проверяем

Рис. 1. Схема работы комплекса Ankey IDM

40 •

Пока концепция нулевого доверия продолжает доказывать свою эффективность в условиях размытия периметра безопасности, специалисты напоминают, что подобного подхода стоит придерживаться не только в части технических мер, но и в вопросах организации работы с сотрудниками и подрядчиками. Поэтому в организации стоит разработать документационную базу и в соответствии с ней применять организационные меры, предусматривающие четкое разграничение прав доступа к служебной информации,

Gaz-is 12/2/21 17:06 Page 41

www.itsec.ru

УПРАВЛЕНИЕ

Оперативно следить вручную за накоплением избыточных прав у сотрудников, проверять работоспособность учетных записей уволившихся работников – даже в компании среднего размера – попросту, не получится. Но есть возможность автоматизировать эти процессы.

исходя из производственной необходимости и должности. Важно следить за накоплением избыточных прав у сотрудников, проверять работоспособность учетных записей уволившихся работников. Оперативно делать все это вручную даже в компании среднего размера, скорее всего, не получится, но есть возможность автоматизировать эти процессы.

Развиваем уровень корпоративной культуры Важно объяснить сотрудникам, что является информацией для служебного пользования, кто и как имеет право работать с персональными данными и какое наказание ждет тех, кто эти требования нарушает. Перечень минимальных правил, обучение которым нужно наладить в компании:

печить централизованное управление жизненным циклом учетных записей, ведь причиной утечек часто является именно эксплуатация избыточных прав доступа и использование учетных записей неработающих сотрудников. На рынке представлено много решений подобного рода, однако далеко не все из них являются полностью отечественными разработками и имеют сертификаты ФСТЭК. Продукт компании "Газинформсервис" – Ankey IDM 1 обладает всеми перечисленными достоинствами. Комплекс Ankey IDM автоматизирует процессы аутентификации пользователей, администрирования учетных записей и аудита и позволяет: l управлять учетными записями в популярном в России ПО;

Эффективный способ противодействовать инсайдерам – использование современных решений класса UEBA, которые способны своевременно проинформировать сотрудников службы безопасности о подозрительных действиях пользователей в сети.

l политики безопасности организации; l выбор, смена и использование паролей; l обращение с конфиденциальной информацией; l процедуры информирования об инцидентах, уязвимостях, ошибках и сбоях программного обеспечения. В компании должна присутствовать и развиваться культура обучения основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе.

Ankey IDM: усиливаем технические меры Наряду с систематической работой с коллективом и разработкой документационной базы обязательно стоит внедрять современные технические решения класса IGA (Identity Governance and Administration), позволяющие обес-

1 2

l самостоятельно менять пароль пользователю в информационных системах предприятия, в которых он авторизован; l управлять парольной политикой учетных записей, включая регламентную смену паролей и их уровень сложности; l разделять критические права доступа (Segregation of Duties, SoD), тем самым предотвращая накопление избыточных прав доступа; l управлять специфичными решениями, вроде систем доставки ПО – Git-совместимых, а также инфраструктурными решениями под управлением Ansible, созданием виртуальных машин, а также управлять доступом вплоть до сетевых протоколов и портов; l автоматизировать часть процесса, связанного с масштабным сбором данных и предложением по новым ролям, держать актуальный список ролей доступа предприятия в едином

https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-idm.html https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-asap.html

окне, при этом не раздувая их количество устаревающими данными, а также архивированием ролей, утративших актуальность; l создавать и анализировать ролевую модель. Главные преимущества Ankey IDM: 1. Гибкость настройки под особенности управления учетными записями корпоративных пользователей. 2. Масштабируемость и скорость: решение эффективно работает в географически распределенных структурах с большим количеством корпоративных пользователей и полномочий. В компании должна присутствовать и развиваться культура обучения основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе.

3. Простота для пользователя: интуитивно понятный интерфейс делает систему удобной и доступной для персонала. Применение комплекса Ankey IDM позволяет существенно снизить репутационные риски, связанные с несанкционированным доступом, а также сэкономить время, затрачиваемое на администрирование информационных систем, до 40%. Еще один эффективный способ противодействовать инсайдерам – мониторинг и анализ активности пользователей. Современные решения класса UEBA (User and Entity Behavior Analytics) способны своевременно проинформировать сотрудников службы безопасности о подозрительных действиях пользователей в сети, что, в свою очередь, может предотвратить неправомерные действия. Внедрение подобных решений доказало свою эффективность на практике. Среди продуктов, представленных на рынке, есть комплекс Ankey ASAP2 – совместная отечественная разработка компании "Газинформсервис" и лаборатории искусственного интеллекта и нейросетевых технологий Санкт-Петербургского политехнического университета Петра Великого. l

Настройка и управление комплексом Ankey IDM обычно выполняется в вебинтерфейсе. Вишенка на торте: поддерживается интерфейс RESTful API, который позволяет взаимодействовать с привычной системой заявок ИТ-службы (Service Desk). Также доступна работа с цепочками заявок через e-mail.

АДРЕСА И ТЕЛЕФОНЫ "ГАЗИНФОРМСЕРВИС" см. стр. 56

• 41

Makves 12/2/21 17:06 Page 42

УПРАВЛЕНИЕ

Makves: спонтанные файловые хранилища под контролем Роман Подкопаев, генеральный директор компании Makves

К Ни в одной организации сотрудники ИТ- и ИБ-подразделений не знают, где хранится конфиденциальная информация, и кто из сотрудников имеет к ней доступ.

Неконтролируемый доступ опасен тем, что файлы из папок с ограниченным доступом (с ограниченным кругом лиц, имеющим к ним доступ) становятся доступными всем сотрудникам компании.

В 100% случаев в любой организации, в которой больше 10 человек, есть проблемы с доступом.

Системы класса DCAP умеют читать файлы по их содержимому, сверять с определенными словарями, определять персональные данные и отличать банковскую тайну от коммерческой.

42 •

аждая организация ежедневно генерирует огромное количество данных, которые хранятся и перемещаются внутри периметра. Сотрудники непрерывно копируют и пересылают файлы, назначая новых владельцев, создавая уровни доступа. Некоторые из этих файлов могут оказаться критически важными – отсутствие полной картины прав доступа является серьезной угрозой информационной безопасности. Makves DCAP – эффективный инструмент автоматического мониторинга данных, с помощью которого можно оптимизировать работу ИТ-отдела и снизить финансовые и репутационные риски. Подробнее о нем – в интервью с Романом Подкопаевым, генеральным директором компании Makves.

– Роман, как понять, насколько остро в конкретной организации стоит проблема неструктурированных данных и неподконтрольных хранилищ файлов? И зачем вообще нужно эти данные структурировать? – Для начала необходимо выявить источники проблемы. В каждой организации создается огромное количество документов, которые впоследствии объединяются в хранилища. Со временем сотрудники, которые имеют доступ к этим документам, меняются, в том числе меняются и айтишники, управляющие правами пользователей. В итоге из скопившихся файлов образуется хаос. На самом деле ни в одной организации сотрудники ИТи ИБ-подразделений не знают, где хранится конфиденциальная информация и кто из сотрудников имеет к ней доступ. Они думают, что знают, но на самом деле – нет. Потому что в любой момент любой сотрудник легко может переместить файлы из одной папки в другую, в которой может быть иной вид доступа, и все: система хранения нарушена, безопасность нарушена. Неконтролируемый доступ опасен тем, что файлы из папок с ограниченным доступом (с ограниченным кругом лиц, имеющим к ним доступ) становятся доступными всем сотруд-

никам компании, – это проблема безопасности. Самым простым примером является нарушение хранения персональных данных. Приходит регулятор, проводит проверку. Выясняется, что персональные данные вместо того, чтобы храниться в нужном месте, хранятся в открытом доступе и видны всем сотрудникам компании. А это как минимум штрафы по ФЗ-152. Штрафы пока небольшие, но беда в том, что люди получают доступ к информации, которой владеть не должны. И как они эту информацию потом используют – неизвестно. Проблема достаточно серьезная, и чтобы понять, насколько она критична в конкретной компании, необходимо провести аудит с помощью автоматизированной системы. – Как часто выявляются подобные нарушения, связанные с хранением и доступом? – В 100% случаев в любой организации, в которой больше 10 человек, есть проблемы с доступом. Перед внедрением нашего решения мы проводим аудит рисков, связанных с хранением данных и доступом к ним. Когда мы приходим к заказчикам, то всегда спрашиваем их: "Вы правда думаете, что доступ у всех правильный?" И каждый раз по результатам аудита мы доказываем, что это далеко не так. Допустим, в орга-

низации 6 тыс. сотрудников и миллион файлов. Чтобы узнать, кто на самом деле имеет доступ к каждому из файлов, нужно открыть каждый файл, его свойства и посмотреть, какие пользователи добавлены конкретно к этому файлу. Даже если у нас есть настройки централизованной группы безопасности в Active Directory, то это не значит, что кто-то напрямую не дал доступ, а увидеть это можно только в свойствах файла. Поэтому без систем, которые могут совершать проверку автоматически, мы никоим образом не сможем выяснить масштаб проблемы. – Можно ли приоритизировать разные данные и по каким критериям? – Конечно, можно и нужно. Часто заказчики говорят: "А нам хотелось бы ставить метки" – чтобы пользователь сам ставил гриф "конфиденциально" на файл, который он создает. Но в этом случае пользователь может забыть поставить метку, специально или случайно. Системы класса DCAP умеют читать файлы по их содержимому, сверять с определенными словарями, определять персональные данные и отличать банковскую тайну от коммерческой. Например, на производственных предприятиях есть свои категории документов – чертежи и химические растворы – это конфиденциальная инфор-

Makves 12/2/21 17:06 Page 43

www.itsec.ru

УПРАВЛЕНИЕ

мация. И это критерий. Таким заказчикам важно знать, где эти файлы находятся, кто к ним имеет доступ. Система позволяет автоматически проанализировать все файлы и сообщает, какие из них находятся в общем доступе, а к каким имеет доступ ограниченный круг лиц и кто конкретно. – Расскажите о Makves DCAP. – DCAP – Data Centric Audit and Protection. Makves DCAP – система аудита так называемых неструктурированных данных. Неструктурированые данные – это все, что находится не в базах данных, то есть "файловые помойки" из экселей, вордов, пдф и вообще чего угодно. Системы класса DCAP занимаются тем, что анализируют все эти "файловые помойки". Наш продукт, с одной стороны, достаточно молодой, а с другой – ему скоро исполнится три года. Российский рынок только развивается в этом направлении. Существует пласт американских решений, которым уже более 10 лет, они создали некие правила игры на рынке. В нашей стране пока что присутствует 2–3 российских DCAP-решения. Makves DCAP собирает информацию из Active Directory, рабочих станций, файловых и почтовых серверов. Выявляет данные с чувствительной информацией и вносит их в список особо защищенных, формирует наглядную матрицу доступа пользователей к файлам, папкам и почтовым ящикам. Затем проводит аналитику и выдает выявленные нарушения. Допустим, система обнаружила неактивную учетную запись сотрудника, возможно он давно уволен, а запись до сих пор не заблокирована – ее надо отключать. Или, например, у одних пользователей нет автоматической смены пароля, а другие вообще без пароля заходят, что неприемлемо. Система выдает рекомендации проверить прямые права, файлы с персональными данными, находящиеся в общем доступе, и проинспектировать дубликаты. Дубликаты опасны тем, что на практике оказываются копиями конфиденциальных документов в открытом доступе.

Makves DCAP может анализировать изменения в динамике, например: открыли файл, событие зафиксировано; переместили файл – событие зафиксировано; дали новому пользователю доступ, добавили права к новой папке – система увидела нетипичное поведение и уведомила оператора. Более того, Makves DCAP позволяет активно реагировать на нарушения. Например, позволяет обнаружить и предотвратить одну из самых распространенных угроз – вирус-шифровальщик. Допустим, обычно сотрудник компании совершает 50 действий с файлами в день, но вдруг начинает выполнять 500 в минуту – система фиксирует такую активность как аномальную и сразу же уведомляет об этом специалиста по информационной безопасности. При определенных настройках можно блокировать действия таких учетных записей. Makves DCAP может перезагрузить машину или полностью заблокировать пользователя, таким образом предотвратив угрозу. – Чем грозит неконтролируемое хранилище данных в плане общей защищенности? – Все привыкли, что опасность возникает лишь при пересечении информационного периметра компании. Другими словами, если нас хакеры не атакуют, инсайдеры ничего наружу не отправляют, то с безопасностью полный порядок. Но это не совсем так. Однажды выясняется, что внутри компании у всех общий доступ к коммерческой тайне. Или, например, у кого-то есть доступ к почте директора и этот кто-то ее читает. Мы считаем, что утечка информации происходит не в момент пересечения данными периметра, а в момент получения человеком доступа к этой информации. По сути, если у всех сотрудников есть доступ ко всем файлам, то вся компания состоит из потенциальных инсайдеров. И конечно, повышается нагрузка на остальные системы защиты информации, которые контролируют периметр. – Можно ли воспринимать DCAP как замену DLP? – Я бы очень этого хотел, но это не так. Все-таки у каждого

решения должна быть узкая специализация. У нашего продукта – специализированная ниша и конкретная задача. Ситуация с подобными системами на американском рынке показывает, что это ниша с четко очерченными границами: в ее ведении все, что происходит внутри периметра с файлами и правами доступа. Наши заказчики отмечают, что DCAP видит то, что не видит DLP, таким образом решения дополняют друг–друга.

Система позволяет автоматически проанализировать все файлы и сообщает, какие из них находятся в общем доступе, а к каким имеет доступ ограниченный круг лиц, и кто конкретно.

Makves DCAP может анализировать изменения

– Можно ли сказать, что спрос на DCAP-системы уже сфомировался? – На российском рынке спрос на DCAP только начинает формироваться. Но как только мы показываем заказчикам результат пилотного развертывания в рамках "живой" ИТ-инфраструктуры и на их реальных данных, то сразу становится понятно, как обосновать необходимость внедрения такого решения. Когда, например, уволенный сотрудник полгода не только продолжает читать свою почту, но и к тому же имеет доступ к файлам внутри периметра, чего до установки нашей системы никто не замечал – это является серьезным аргументом.

в динамике и позволяет обнаружить и предотвратить одну из самых распространенных угроз – вирус-шифровальщик.

Makves DCAP может перезагрузить машину или полностью заблокировать пользователя, таким образом предотвратив угрозу.

Утечка информации происходит не в момент пересечения данными перимет-

– Кто ваши заказчики? – Нашими заказчиками являются представители среднего и крупного бизнеса. Основной маркер для нас – наличие в компании зрелого отдела информационной безопасности или ИТ-отдела с руководителем. Потому что если всё в руках администратора или приходящего администратора (у того, кто не принимает важных решений, у которого нет заинтересованности в эффективной работе), то у заказчика не будет понимания, зачем ему необходим наш продукт. Крупный бизнес понимает, что Makves DCAP находится на стыке безопасности и ИТ и может оптимизировать работу этих подразделений.

ра, а в момент получения человеком доступа к этой информации.

DCAP видит то, что не видит DLP, таким образом решения дополняют другдруга.

Makves DCAP находится на стыке безопасности и ИТ и может оптимизировать работу этих подразделений.

– Планируете ли сертифицировать продукт? – Да, получение сертификата ФСТЭК планируется в следующем году. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 43

Konovalov 12/2/21 17:06 Page 44

УПРАВЛЕНИЕ

DLP: один в поле не воин? Александр Коновалов, технический директор Varonis Systems в России

Н Методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям.

Подход, основанный на пофайловом анализе, который используют большинство DLP-систем, сдается под натиском петабайтов неструктурированной информации.

Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют.

44 •

а ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников.

Основным средством борьбы с этим типом угроз стали DLP-системы (Data Leak Prevention), главная задача которых – фильтрация всего исходящего из защищаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденциальных данных. Еще одна важная задача DLP – соответствие требованиям отраслевых стандартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA. Подобные системы нейтрализации внутренних угроз развиваются уже более 20 лет и достигли определенного совершенства. При этом методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям. Это выливается в постоянную гонку за контролем все большего числа каналов передачи информации и необходимость бесконечно совершенствовать правила фильтрации, что в конечном итоге приводит к дополнительной нагрузке для ИТбюджета компании. Кроме того, подход, основанный на пофайловом анализе, который используют большинство DLPсистем, сдается под натиском петабайтов неструктурированной информации: такая система начинает генерировать сотни оповещений, которые чрезвычайно сложно приоритизировать. Несмотря на все усилия, количество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы,

которую смогли разглядеть СМИ. Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфиденциальных файлов находятся в распоряжении любого работника. Все это указывает на необходимость внедрения дополнительных средств защиты, которые помогли бы кардинально повысить эффективность DLP-систем, а то и вовсе заменить их.

Найти данные Для организации эффективной защиты от утечек конфиденциальных данных прежде всего необходимо четко представлять, где они находятся. Для этого можно применить специальные системы классификации, которые проанализируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важности документа на основе правил и моделей, позволяющих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные. Кроме того, правильная классификация подразумевает использование набора регулярных выражений, минусслов, механизма сопоставления с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регистрации активностей в файловой системе.

Понять данные Качественно проведенный анализ информационного массива организации сам по себе не приведет к повышению уровня его защищенности. Результаты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных. Помимо этого, инструмент должен обеспечивать видимость прав доступа к данным (с учетом наследования), наличия учетных записей с широкими правами и нестойкими паролями, а также подозрительных соединений по VPN. Предпочтительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке.

Автоматизировать защиту Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые способны снижать риски в короткий срок благодаря массовой корректировке прав доступа к конфиденциальным данным. Для удобства предварительного моделирования вносимых изменений средства автоматизации должны иметь режим песочницы, помогающий заранее понять, как отзыв ненужных прав скажется на работе организации. Второй важной задачей, требующей автоматизации, являет-

Konovalov 12/2/21 17:06 Page 45

www.itsec.ru

УПРАВЛЕНИЕ

ся перенос, архивирование или удаление конфиденциальных данных для соответствия текущим политикам их безопасности. Надлежащие средства помогут быстро навести порядок в инфраструктуре и в короткие сроки внедрить принцип наименьших привилегий. Важно обеспечить пользователей в случае необходимости удобной формой запроса на выдачу прав к папкам, группам.

Защитить облака Такие облачные сервисы, как Microsoft 365, SalesForce, Zoom, GitHub, Google Workspace, нуждаются в контроле доступа к их содержимому и определении пользователей со слишком широкими правами. Чтобы решить эту задачу, применяются средства, оповещающие о передаче конфиденциальных файлов через ссылки с общим доступом, об открытии доступа к ним гостевым пользователям, о распознавании неактивных ссылок с внешним доступом. Эти инструменты, опираясь на полученный в ходе анализа контекст, приоритизируют собираемую информацию, визуализируют ее и оповещают адми1

нистратора о подозрительной активности.

Остановить злоумышленника Возвращаясь к слабым сторонам большинства DLPсистем, следует признать, что их функциональность не может обеспечить защиту от продвинутых угроз, например от детально проработанных кибератак, выполняемых квалифицированными хакерами. Сильно уменьшить "простор для творчества" злоумышленников помогают инструменты контроля конфиденциальных данных. Распознать комбинированные кибератаки, подозрительный доступ к данным, попытки несанкционированного входа в систему и кражу DNS можно с помощью средств анализа событий на конечных точках, определения геолокации и проверки репутации URL. Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов и вовремя изолировать скомпрометированный узел от

https://info.varonis.com/hubfs/Forrester%2525252520TEI%2525252520 Varonis%2525252520Data%2525252520Security%2525252520Platform%252 52525202020.pdf

защищаемых данных. Необходимо, чтобы эта задача решалась и за пределами локальной ИТ-инфраструктуры, распространяясь на облачные сервисы, так как их штатные меры защиты нельзя признать достаточными.

Следовать правилам Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных, которого так не хватает DLP-системам. Консалтинговая компания Forrester в своем недавнем отчете1 сообщила, что внедрение инструментов защиты позволяет снизить риск утечки чувствительной для компании информации на 75% по сравнению с результатами, демонстрируемыми DLP без дополнительных средств поддержки. Игнорировать этот факт – значит оставить компанию беззащитной перед реальной угрозой, пополнить список корпоративных утечек, который и без того выглядит весьма печально. l

Функциональность DLP не может обеспечить защиту от продвинутых угроз.

Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов.

Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных.

Внедрение инструментов защиты позволяет снизить риск утечки чувствительной

Ваше мнение и вопросы присылайте по адресу

для компании информации на 75%.

is@groteck.ru

• 45

Okbsapr 12/2/21 17:06 Page 46

ТЕХНОЛОГИИ

"Центр-Т": управление загрузкой терминалов в новой удобной форме Екатерина Маренникова, аналитик, ОКБ САПР

ПАК "Центр-Т" предназначен для централизованного администрирования, защищенного хранения и контролируемой загрузки образов программного обеспечения на клиентские рабочие станции в распределенных информационных системах. Работает в два этапа. Первый этап – с отчуждаемого USBносителя, который называется "Специальный носитель ПО "Клиент Центр-Т", загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только для чтения, – тем самым обеспечивается загрузка целостной и аутентифицированной ОС из аутентифицированного источника. Основное и единственное назначение ОНЗ – обеспечение защищенности второго этапа загрузки. Второй этап – сетевая загрузка того программного обеспечения (ПО), посредством которого производится подключение к терминальному серверу, или, например, к инфраструктуре виртуализации с виртуальными рабочими столами, или веб-серверу. ПО, которое загружается на клиентские рабочие места по сети, рассылается с сервера хранения и сетевой загрузки (СХСЗ). Это серверный элемент инфраструктуры "Центр-Т", ПО которого, включая операционную систему (ОС), в свою очередь, загружается на произвольное средство вычислительной техники со "Специального носителя ПО СХСЗ". Функциональность ПАК "Центр-Т" обширна – он один сможет заменить совокупность отдельных решений за счет следующих инструментов: l наличия собственной системы идентификации и аутентификации; l возможности организации доверенного сеанса связи (ДСС); 1

l централизованного управления и администрирования ПО рабочих станций (РС); l резервирования и восстановления данных; l контроля целостности ПО; l контроля периферийного оборудования; l организации удаленного доступа за счет наличия встроенных средств терминального и удаленного доступа других видов (терминальные клиенты rdp, ica; Horizon View и другие по требованиям конкретной системы); l протоколирования событий безопасности, которые связаны с функциональными возможностями комплекса; l загрузки ПО с защищенных носителей: ПО СХСЗ и ПО клиента (образ начальной загрузки) хранятся в защищенных разделах памяти специальных носителей, что исключает возможность несанкционированного изменения ПО "Центр-Т".

Преимущества "Центр-Т" 1. Применение в информационных системах (ИС) различных по назначению средств сопряжено с проблемой стабильности совместного функционирования, в то время как использование "Центр-Т" не требует ни приобретения дополнительных СВТ, ни трудоемких работ по развертыванию инфраструктуры – ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса. 2. При применении "Центр-Т" архитектура исходной ИС практически не меняется. А внедрение совокупности решений меняет систему кардинально: вводятся новые единицы технических средств, внедряется много нового ПО, что способствует росту нагрузки на сеть, а это, в свою очередь, может привести к нехватке мощности и перебоям в работе ИС (возможен выход из строя объектов ИС).

https://www.okbsapr.ru/products/management/PAKTSENTRT

46 •

3. Различные решения, которые комбинируются и предлагаются интеграторами, как правило, имеют повторяющиеся блоки функциональности (ведь разрабатываются они все по требованиям регуляторов, предопределяющих наличие обязательных функций). В результате многие функции в ИС многократно дублируются, что нецелесообразно и даже вредно, так как может вызывать конфликты. 4. Совокупность решений интеграторов в несколько раз дороже, чем комплект "Центр-Т". Применение "Центр-Т" блокирует имманентные системам удаленного доступа уязвимости, такие как: l возможность получения доступа к ПО со стороны незарегистрированных пользователей; l возможность получения доступа к запрещенным сетевым ресурсам; l несанкционированное копирование и перенос информации на съемных носителях; l возможность несанкционированной установки пользователями неразрешенного ПО. Путем применения комплекса в ИС реализуются большинство мер из приказов ФСТЭК России №17 и 21, направленных на реализацию управления и администрирования ПО клиентских РС (группы ОПС, УПД, АНЗ и ИАФ): 82%. Остаются только организационные меры и меры, реализуемые не на РС. Комплекс "Центр-Т": l прост – не требует сложной настройки и прозрачен в эксплуатации; l экономичен – заметно сокращаются расходы на обслуживание и администрирование ИС; l рационален – при относительно невысокой стоимости обеспечивает надежную защиту ИС и делает ее более управляемой и простой в обслуживании и эксплуатации. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

На правах рекламы

развитием техники все более сложные вещи необходимо упрощать. И на современном уровне уже никто не склонен недооценивать важность управляемости системы, а не только наличия в ней тех или иных защитных функций. К категории систем, повышающих управляемость ИС, принадлежит и программно-аппаратный комплекс (ПАК) средств защиты информации “Центр-Т” компании ОКБ САПР 1 .

Buravtsov 12/2/21 17:06 Page 47

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

МойОфис совмещает функциональность и безопасность Александр Буравцов, директор по безопасности МойОфис

лександр Буравцов, директор по безопасности МойОфис, рассказал о том, как успешно организовать безопасную разработку, как сформировать эффективную команду, о сложностях сертификации облачного продукта, о фаззинге и многом другом.

– Александр, насколько критичен вопрос безопасности программного продукта?

– Практически с самого начала существования компании мы уделяем большое внимание вопросам безопасности при разработке приложений. Приложения МойОфис используются на широком спектре устройств, и зачастую корпоративные пользователи работают со служебной и конфиденциальной информацией, а также обрабатывают персональные данные. Поэтому наши продукты не только соответствуют требованиям, которые определены регуляторами, но и разрабатываются в соответствии с высокими отраслевыми стандартами и критериями качества в области информационной безопасности. – Какую методологию безопасной разработки вы используете? – МойОфис использует обязательные требования текущей версии государственного стандарта по безопасной разработке, поскольку является компанией-лицензиатом в российских системах сертификации, как Федеральной службы безопасности, так и Федеральной службы по техническому и экспортному контролю. Мы выстроили процессы и регламентировали процедуры проверки на наличие уязвимостей, отработки замечаний, тестирования и т.д. В то же время мы понимаем, что для работы на глобальном рынке недостаточно ограничиваться одними лишь требованиями российских регуляторов. Например, в рамках программы предустановки наших приложений на компьютеры и смартфоны, которая стартовала в России в апреле 2021 г., мы

столкнулись с наличием собственных требований к безопасности разработки у всех крупных иностранных производителей аппаратного обеспечения, которые часто более серьезные, чем национальные стандарты. В своей деятельности мы стараемся не ориентироваться на какой-то один набор требований, а смотрим на различные существующие на рынке практики и постоянно проводим работу над совершенствованием внутренних процессов обеспечения безопасности с целью их оптимизации под изменяющийся ландшафт угроз. – Вы используете внутреннюю компетенцию для настройки процесса безопасной разработки или привлекаете внешнюю экспертизу? – При разработке решений МойОфис мы придерживаемся комбинированного варианта. В нашей команде есть специалисты, которые не только владеют методологией процессов безопасной разработки программного обеспечения в целом, но и понимают особенности наших приложений. Очевидно, что только лишь штатными сотрудниками невозможно полностью покрыть все потребности, возникающие в рамках работы с фреймворками и различным инструментарием обеспечения безопасности, с учетом активного роста данного направления. Поэтому мы привлекаем внешних специалистов, они помогают внедрить передовые мировые практики в существующие процессы разработки. Такую работу МойОфис поручает только наиболее экспертным командам, которые сегодня есть на рынке.

– Как вы приоритизируете работы по устранению обнаруженных уязвимостей в продуктах? – У нас есть внутреннее соглашение об уровне оказания услуг (SLA), оно соответствует мировым практикам и требованиям российского законодательства. Соглашением жестко определены сроки для устранения уязвимостей и дефектов, связанных с информационной безопасностью. Наши процессы выстроены таким образом, чтобы полностью выдерживать заявленные временные интервалы. – Как вы поддерживаете сертифицированную версию пакета МойОфис – выделяете отдельный центр разработки? – Выпуск сертифицированных версий продуктов МойОфис был начат нами еще в 2016 г. Тогда мы думали, что нам удастся совместить работы по сертификации и подготовке сертифицированных версий наших продуктов в тех же производственных центрах, что ведут разработку основных версий продуктов. Эта гипотеза, к сожалению, оказалась ошибочной, в первую очередь из-за особенностей технологического стека, который пока не в полной мере позволяет выдерживать сроки подготовки сертифицированных редакций из-за среды функционирования таких продуктов. Не секрет, что в текущих сборках сертифицированных операционных систем некоторые компоненты (в силу особенностей организации процесса сертификации) достаточно сильно отстают от используемых в аппстриме.

МойОфис использует обязательные требования текущей версии государственного стандарта по безопасной разработке.

В своей деятельности мы стараемся не ориентироваться на какой-то один набор требований, а смотрим на различные существующие на рынке практики.

Мы привлекаем внешних специалистов, они помогают внедрить передовые мировые практики в существующие процессы разработки.

• 47

Buravtsov 12/2/21 17:06 Page 48

ТЕХНОЛОГИИ

Коммерческие версии МойОфис активно используют контейнеризацию. Применение данной технологии позволяет нам создавать современные, масштабируемые, высоконагруженные системы.

Отличительной особенностью продуктов МойОфис является возможность работать в изолированном контуре без подключения к сетям

Так мы пришли к процессу, который успешно функционирует более четырех лет: в МойОфис сформирована отдельная инженерная команда, которая, используя кодовую базу основного центра разработки, формирует дистрибутивы сертифицированных версий продуктов и выполняет сопровождение процессов сертификации. Нам удалось наладить горизонтальное взаимодействие между инженерами по выпуску сертифицированных редакций продуктов и основными разработчиками приложений. Таким образом, мы не только повысили экспертизу и понимание тех процессов, которые существуют на рынке сертифицированного ПО у наших разработчиков, но и достаточно серьезно сократили сроки проведения инспекционного контроля сертифицированных редакций. Для части продуктов такой срок составляет меньше одного релизного цикла, что является очень хорошим показателем на российском рынке сертифицированного программного обеспечения и средств защиты информации.

общего доступа.

Фаззинг стал мейнстримом после выхода новых требований ФСТЭК. Однако мы еще четыре года назад начали применять фаззинг для анализа наших приложений.

48 •

– В чем сложность сертификации комплексного облачного продукта? Почему МойОфис можно считать защищенным приложением? – В первую очередь сложность сертификации комплексного облачного продукта заключается в программной базе, на которой предстоит эксплуатировать наши приложения. Коммерческие версии МойОфис активно используют контейнеризацию. Применение данной технологии позволяет нам создавать современные, масштабируемые, высоконагруженные системы. В то же время в сертифицированных операционных системах поддержка контейнеризации до сих пор

официально не реализована. Вероятно, это связано с отсутствием однозначной позиции регуляторов по корректной реализации и проверке механизмов безопасности. Поэтому нам приходится изменять продукты, которые используют контейнеризацию, и осуществлять условный "даунгрейд" для сертифицированных решений. С одной стороны, это некоторое упрощение и уменьшение возможностей создания сверхбольших и нагруженных систем. С другой стороны, это позволяет создать приложения, удовлетворяющие всем требованиям текущего законодательства в области информационной безопасности. Наши процессы не ограничиваются только compliance-проверками на соответствие требованиям, мы также инвестируем ресурсы в независимые аудиты и проводим тесты на проникновение, которые интегрированы в производственный цикл. Кроме того, мы проводим интеграции с различными СЗИ, представленными сегодня на рынке РФ. Отличительной особенностью продуктов МойОфис является возможность работать в изолированном контуре без подключения к сетям общего доступа. Этим мы значительно отличаемся от конкурентов: большинство крупных мировых компаний, которые делают прикладное и офисное ПО для работы с документами, стремятся сейчас переводить инфраструктуру заказчика в собственные публичные облака. Это не только привязывает пользователя к конкретному решению и значительно снижает гибкость использования инструментов, но и увеличивает риски информационной безопасности в части раскрытия и утраты конфиденциальных данных. – Расскажите про жизненный цикл сертифицированных продуктов. Как вы оцениваете динамику требования по сертификации? – С одной стороны, жизненный цикл сертифицированных продуктов сильно зависит от производственных процессов выпуска обычных коммерческих версий, а с другой – в рамках его поддержки появляются дополнительные участники процесса в лице органа по сертификации и испытательной лабо-

ратории. Выстроенные процессы взаимодействия команды по сертификации и основных производственных подразделений позволяют существенным образом сократить тот временной разрыв, который необходим для получения положительного решения по инспекционному контролю (сертификации) на новую версию продукта. Затрачиваемое на сертификацию (инспекционный контроль) время, безусловно, является не только организационными "накладными расходами". В дополнение к применяемым при разработке инструментам безопасности мы проводим и дополнительные исследования в соответствии с правилами сертификации средств защиты информации. Для таких исследований мы используем одобренные регулятором сертифицированные продукты. Затем мы вносим изменения в эксплуатационную документацию, которую готовим на основе документов обычных коммерческих версий. После этого проводим дополнительную сборку приложений в том окружении, которое соответствует требованиям регулятора и текущим подходам к сертификации. – У фаззинга особая роль? – Можно сказать, что фаззинг стал мейнстримом после выхода новых требований ФСТЭК. Однако мы еще четыре года назад начали применять фаззинг для анализа наших приложений. Мы уже тогда понимали, что для продуктов такого класса фаззинг с целью поиска уязвимостей просто необходим, ведь сертифицированное офисное ПО используется для обработки крайне чувствительных данных. Фаззинг – это крайне важный процесс, но, к сожалению, в нашей стране экспертов в этой области практически нет. Фаззинг сложно внедрить как с технологической точки зрения, так и с ресурсной. Например, чтобы обеспечить необходимое для нас покрытие, компании потребовалось создать собственные кастомизированные решения, которые используют и разные фаззеры, и различные подходы к фаззингу. Когда мы начинали эту работу, то и не предполагали, насколько тяжело будет ее выполнить. С другой стороны, мы получили серьезную экспертизу, что будет хорошим подспорьем в дальнейших работах.

Buravtsov 12/2/21 17:06 Page 49

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

– Как совместить прикладную функциональность и безопасность? – Правильный ответ может быть лишь один: только инвестируя деньги и время в безопасность. Многим кажется, что уклон в сторону безопасности негативно сказывается на эффективности решений и удобстве пользователей. По нашему опыту, это совсем не так. Мы создаем приложения, которые дают разумный компромисс между функциональностью и безопасностью. Этого можно добиться, если своевременно получать обратную связь от команд UX-/UI-дизайнеров, менеджеров продукта и разработчиков. Поиск разумных компромиссов позволяет реализовывать механизмы безопасности, способные предотвращать все основные варианты целевых атак без ущерба для комфортной работы пользователей. – Каким образом вы собираете и приоритизируете требования по развитию механизмов обеспечения безопасности информации? – Мы применяем четыре основных подхода, которые позволяют создавать безопасные решения и предлагать их нашим пользователям: l требования, которые нам предъявляет рынок и регуляторы; l потребности наших заказчиков; l анализ современного ландшафта угроз безопасности; l моделирование угроз и вероятного нарушителя. Наши продукты эксплуатируются в информационных системах с повышенными требованиями по безопасности, поэтому мы также внимательно изучаем потребности наших заказчиков, как действующих, так и потенциальных. Этот фактор оказывает наибольшее влияние на приоритет тех или иных работ по развитию функциональности технологий безопасности. Например, нам часто требуется обеспечить интеграцию наших подсистем с учетом особых требований заказчиков в части обеспечения ИБ. Мы также понимаем, что злоумышленники развиваются и постоянно совершенствуют свои навыки. Они стремятся находить и изобретать все более сложные способы компрометации программного обеспечения и

информационных систем. Проведение анализа современного ландшафта угроз безопасности позволяет эффективнее противодействовать существующим и потенциальным вызовам. – Как сделать разработчиков союзниками в следовании принципам безопасной разработки? Какие меры для этой цели лучше работают – организационные, финансовые или технологические? – Если посмотреть на успешные технологические компании, то можно заметить, что каждая из них пытается найти свой путь. Для МойОфис наиболее эффективным стало повышение осведомленности разработчиков и людей, которые причастны к созданию продуктов. Мы также серьезно занимаемся формированием института security-чемпионов в производственных командах. Благодаря этому мы не только решаем формальные задачи, но и помогаем сотрудникам с дальнейшим развитием в области информационной безопасности. – Можно ли вырастить security-чемпиона в команде или лучше искать его на рынке труда? – На этот вопрос нет однозначного ответа. С одной стороны, security-чемпионов необходимо растить именно внутри своей организации. Мой опыт показывает, что в командах достаточно сложно приживаются люди с иными задачами, отличающимися от основной ветки разработки. Например, если команда нацелена на максимально быстрый выпуск релизов, то внешнему человеку с экспертизой в области информационной безопасности будет тяжело адаптироваться в ней. Такой сотрудник будет испытывать трудности с приоритизацией задач, в результате чего станет хуже восприниматься командой. Другое дело, когда такой человек растет внутри команды и уже обладает некоторым уровнем доверия со стороны коллег: он понимает, как устроен продукт, и стремится сделать его более безопасным. Человек с таким путем развития очень корректно и эффективно воспринимает все новое, что предлагает компания. Поэтому командами с такими сотрудни-

ками проще управлять, они работают эффективнее и способны быстрее реализовывать нужные функции безопасности. – При каких условиях процесс разработки можно считать гарантией безопасного продукта? – Наличие DevSecOps-практик и инструментов в рамках производства значительно снижает количество ошибок, которые связаны с информационной безопасностью. Но и при этом исключить их полностью не получится. Точно так же, как проведение пентестов и аудитов в рамках выходного тестирования не снижает до нуля количество возможных инцидентов и угроз. Чтобы сделать продукт понастоящему безопасным, потребуется перестроить процесс производства. Необходимо добиться ситуации, когда все участники процесса, владельцы бизнеса, менеджеры продукта и разработчики тех или иных функций будут одинаково хорошо понимать конкретную задачу информационной безопасности. Это поможет каждому из них лучше выполнять свою работу и, таким образом, улучшать параметры безопасности того продукта, который они делают совместно. Очевидно, что потребуются дополнительные инвестиции времени и усилий в выстраивание подобных процессов. Если компании удается добиться слаженного взаимодействия подразделений в вопросах проектирования функций безопасности, то постановка задач значительно упрощается, особенно если необходимо проектировать интерфейсы с учетом возможных нарушений требований информационной безопасности. Отдельную роль в этом процессе играют подразделения информационной безопасности, которые должны стать в компании звеном, связывающим все процессы в единую, сквозную историю. Только в таком случае можно будет говорить, что продукт соответствует самым высоким критериям качества с точки зрения информационной безопасности. l

Мы создаем приложения, которые дают разумный компромисс между функциональностью и безопасностью.

Наличие DevSecOpsпрактик и инструментов в рамках производства значительно снижает количество ошибок, которые связаны с информационной безопасностью.

Необходимо добиться ситуации, когда все участники процесса, владельцы бизнеса, менеджеры продукта и разработчики тех или иных функций будут одинаково хорошо понимать конкретную задачу информационной безопасности.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 49

Web-control 12/2/21 17:06 Page 50

ТЕХНОЛОГИИ

Flexible SCA – это про переиспользование кода Дарья Орешкина, директор по развитию бизнеса компании Web Control

П Open Source обладает особыми характеристиками. Во-первых, порядок использования каждого компонента регулируется лицензией, под которой он выпускается. Несоблюдение условий и включение в проект Open Source с неприемлемыми лицензиями могут привести к юридическим проблемам, вплоть до невозможности распоряжаться собственным продуктом. Во-вторых, сообщества разработчиков и исследователей безопасности постоянно обнаруживают уязвимости в компонентах и выкладывают в открытый доступ. В-третьих, некорректное включение открытого кода в проект или же, наоборот, публикация корпоративных наработок в Open Source без согласования с юридическим отделом несет в себе целую группу рисков как в правовом поле, так и в техническом. Тем не менее переиспользование кода – де-факто мейнстрим для разработки ПО как для коммерческих, так и для госкомпаний. Выбирать и включать в проекты подходящие компоненты помогают качественные инструменты класса Software Composition Analysis (SCA), при этом наиболее глубоко анализировать переиспользование могут SCA с функцией поиска и анализа дубликатов. Наверное, многие слышали про такие решения для композиционного анализа на российском рынке, как Checkmarx, JFrog, Snyk, Sonatype, Synopsys, Veracode, WhiteSource, а в начале 2021 г. этот список пополнился отечественным решением CodeScoring, которое расширяет функциональность SCA с анализа Open Source до анализа и контроля всех видов переиспользования кода, включая проприетарный код. CodeScoring использует алгоритмы машинного обучения, обра1

о данным аналитиков Forrester 1 , доля компонентов с открытым кодом (Open Source Software) в кодовой базе программных продуктов в 2020 г. составляла в среднем 75%, другие эксперты дают более смелые оценки – до 90%. Стремительно нарастающий объем мирового Open Source вовлекает все новых игроков не только из коммерческого сектора, но и из государственного: переиспользование кода и включение отечественных разработок Open Source в международные проекты стратегически важны на государственном уровне.

ботки искусственных и естественных языков для углубленного анализа переиспользования кода и контроля авторства, то есть идентификации непосредственно того разработчика, который включил код в проект. Для корпоративного фонда алгоритмов и программ CodeScoring незаменим ввиду расширенного функционала контроля авторства, обнаружения дубликатов и заимствований, определения направления копирования. За счет этих функций проще понять, кто может эффективнее дорабатывать проект и устранять дефекты, прогнозировать объемы требуемых исправлений, контролировать юридическую чистоту.

Петербургская команда Profiscope уже много лет специализируется на услугах в области технического аудита программных продуктов, который критически необходим при масштабировании продуктов и в процессе слияний и поглощений. Для автоматизации такого аудита в части лицензионного комплаенса, поиска и анализа дубликатов кода, анализа качества и авторства был создан специализированный тулкит. В его основе – лингвистические модели, методики оценки качества ПО и специализированные модели машинного обучения, обеспечивающие высокий уровень точности проводимого анализа. Задуманный как инструмент для внутреннего пользования, тулкит обрастал полезными функциями: l идентификацией известных уязвимостей в Open Source; l пользовательским интерфейсом; l интерфейсами для связи с внешними базами и многими другими.

Наступил момент, когда стало очевидно, что получился целостный продукт, по ряду характеристик уже на старте превосходящий ряд известных зарубежных аналогов из класса SCA. Продукт получил название CodeScoring и в начале 2021 г. был представлен на рынке как самостоятельное решение. Продукт позиционируется как Flexible SCA, работает не только с Open Source, но и с проприетарным кодом и позволяет проводить ретроспективный анализ с анализом истории появления проблем. CodeScoring – это комплексное решение для классификации корпоративного фонда алгоритмов и программ, которое в дополнение к традиционному SCAфункционалу для ИБ и юристов покрывает вопросы качества кода и приносит ценность на всем цикле разработки ПО, от контроля собственной или подрядной разработки до сопровождения. CodeScoring разбирает код на открытый и проприетарный, обнаруживает заимствования как открытого, так и собственного кода (утечка интеллектуальной собственности в другие проекты или дубликаты внутри одного проекта). Для открытого кода формируется список Software Bill of Materials (SBoM), включающий информацию по известным уязвимостям и лицензионным соглашениям используемого Open Source, отслеживает соблюдение лицензионной политики компании и выявляет несовместимые лицензии. CodeScoring определяет не только факт, но и направление заимствований. Кроме кода система анализирует авторский состав и профилирует техническую экспертизу исполнителей, что помогает в подборе специалистов с нужными техническими навыками на основе подтвержденной компетенции в проект. Рассмотрим, что получают от использования CodeScoring различные участники процесса разработки.

Отчет The Forrester Wave™: Software Composition Analysis, Q3 2021, https://www.forrester.com/report/the-forrester-wave-tmsoftware-composition-analysis-q3-2021/RES176091

50 •

Web-control 12/2/21 17:06 Page 51

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

Сопровождение реестра алгоритмов и программ В ходе разработки или приемки кода от подрядчиков необходимо знать, откуда поступил код, каков он, где и как был переиспользован. CodeScoring обнаруживает заимствования кода как внутри одного проекта, так и между проектами, ведет историю, кто у кого скопировал, анализирует качество по ряду параметров, включая цикломатическую сложность, которая является объективным критерием сложности поддержки и оценки близости рефакторинга.

Source компонентах с учетом транзитивных зависимостей (когда зависимые компоненты, в свою очередь, зависят от других компонентов). В дополнение к этому решение анализирует работу команд, показывает, кто приносит наибольшую пользу при развитии проекта, кто и какие артефакты вносит в проект (для поиска исполнителей при дальнейших работах с ними), оценивает основные критерии технического долга, помогает определить трудоемкость устранения дефектов и близость рефакторинга продукта.

CodeScoring для приемки кода от внешних подрядчиков

Обеспечение юридической чистоты

Привлечение внешних подрядчиков может принести в проект не только экспертизу, но и ряд проблем, связанных с юридической и информационной безопасностью. И вопрос не только в используемых лицензиях и уязвимостях, особого внимания при приемке требует оценка цикломатической сложности – количество вложенных ветвлений и циклов. От этой характеристики напрямую зависит трудоемкость поддержки или даже наличие принципиальной возможности доработки и исправлений. Исследования показывают, что если цикломатическая сложность приближается к 50, то вероятность внесения ошибки в программный код при его изменении стремится к единице. А это значит, что если этот код важен с точки зрения работы с данными, сетью, то его можно считать неподдерживаемым. Проекты от подрядчиков зачастую представляют из себя черный ящик, и CodeScoring помогает разобраться с ним и "просветить" его.

Еще несколько лет назад вопросы юридической чистоты в разработке ограничивались в основном договорной работой с подрядчиками. Однако в последние три года кроме судебных тяжб за закрытыми дверями появились и громкие судебные дела, связанные с авторскими правами: "Лаборатория Касперского" против "Киберсекьюрити Солюшнс", иск разработчика к Veeam Software AG, иск Рамблера к Nginx. При этом суды часто встают на сторону авторов изобретений. Важно понимать, насколько ваш продукт принадлежит вам. CodeScoring может в этом значительно помочь. Решение обнаруживает заимствования и направление копирования, кто у кого скопировал код. И конечно же, будучи SCA-решением, CodeScoring автоматически распознает используемые в проекте Open Source лицензии, их совместимость и пригодность для применения в коммерческом продукте.

CodeScoring для HR Безопасная разработка CodeScoring идентифицирует лицензионные нарушения и заимствования кода, предупреждает об известных уязвимостях в используемых Open

HR-подразделения в ИТ-компаниях выполняют огромный объем работ в самых разных областях, куда входит и рекрутинг (внешний и внутренний), и мотивация, и трудовое право, и разви-

тие персонала, и эффективность работы команд, при этом инструментов на рынке для них не так много, как, скажем, для разработчиков. CodeScoring позволяет частично автоматизировать внутренний рекрутинг, анализируя схожесть экспертизы разработчиков в команде, предлагая подходящих кандидатов на замену уходящим на основании следующих факторов, подтверждающих компетенцию: опыт в проекте, в освоенных технологиях, совместная работа в проектах, схожесть технической базы, подходов к разработке и качеству исполнения. CodeScoring также отслеживает код разработчиков и предоставляет аналитику по следующим показателям: длительность работы, активность авторов, применяемые технологии, отслеживание проектов, базовые параметры качества, техническая схожесть разработчиков.

Заключение Переиспользование кода – стратегически важная задача для коммерческих и государственных предприятий. Учет и адекватная информация об имеющихся кодах и артефактах дает возможность взрывного роста скорости безопасной и эффективной разработки информационных систем. Недостаточно просто присвоить классификационный номер исходникам проекта, необходимо четко понимать, где какой код переиспользован и в какой степени. Вручную это отследить невозможно ввиду огромных размеров кодовой базы даже на небольшом предприятии. CodeScoring – это ядро классификатора кодов в фонде алгоритмов и программ со всеми сопутствующими функциями SCA. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 51

Humyakova 12/2/21 17:06 Page 52

ТЕХНОЛОГИИ

Патентование программного обеспечения: зачем вам пригодится и как осуществить? Елена Хомякова, директор правового департамента RTM Group

рактически каждый успешный интернет-проект на определенном этапе сталкивается с проблемой заимствования тех или иных элементов программного обеспечения, текстов и т.п. Жертвой мошенничества может стать как крупнейшая интернет-платформа, маркетплейс, так и физлицо – разработчик программы. В этой статье мы рассмотрим, какое программное обеспечение можно патентовать, и разберем процесс, варианты и плюсы регистрации прав в Роспатенте и российском реестре Минцифры.

Чаще всего в нашей практике приходится сталкиваться с заимствованием программного кода, захватом доменов, нелегальным копированием продукции и плагиатом материалов. Основными целями регистрации ПО являются защита авторских прав и получение дохода. Зарегистрировать можно программу для ЭВМ целиком или ее часть.

Право на программу можно приобрести по гражданско-правовому договору (договор отчуждения прав, лицензионный договор, договор авторского заказа, договор на разработку ПО и т.п.) или получить от сотрудника в рамках выполнения служебного задания по трудовому договору.

При заключении сделки нужно обращать внимание не только на предмет договора (описание программы должно быть изложено максимально подробно, например, в техническом задании), но и делать акцент на объеме передаваемых прав, гарантии, ответственности.

52 •

Как составить договор по авторскому праву на программное обеспечение? От любых интернет-преступлений защититься достаточно сложно. Но заранее подготовить доказательную базу, которая поможет в судебных разбирательствах, – вполне реально. В случае с программным обеспечением (далее – ПО) главное доказательство – свидетельство о регистрации в Роспатенте или договор о передаче/предоставлении прав. Основными целями регистрации ПО являются защита авторских прав и получение дохода. Зарегистрировать можно программу для ЭВМ целиком или ее часть. Если вы создали базу данных, то можете зарегистрировать и ее – правовая защита предоставляется в равной степени. Программы для ЭВМ относятся к объектам авторских прав и охраняются как произведения (ст. 1225, 1255, 1259 ГК РФ) – право собственности на ПО принадлежит его автору. Способы передачи прав – отчуждение и предоставление. Право на программу можно приобрести по гражданско-правовому договору (договор отчуждения прав, лицензионный договор, договор авторского заказа, договор на разработку ПО и т.п.) или получить от сотрудника в рамках выполнения служебного задания по трудовому договору. Договор

отчуждения предусматривает передачу исключительного права на ПО в полном объеме на весь срок его защиты и территории всех стран мира одновременно. Лицензионный договор подразумевает предоставление (а не передачу) права пользования программным обеспечением в определенных пределах, то есть с возможными ограничениями по способам, срокам и территории использования. Право пользования ПО может передаваться на условиях простой (неисключительной) лицензии или исключительной лицензии, которая, в свою очередь, подразумевает сохранение за владельцем (лицензиаром) права выдачи лицензий на ПО другим лицам. Исключительная лицензия предполагает предоставление покупателю (лицензиату) права использования программного обеспечения без сохранения за лицензиаром права выдачи лицензий другим лицам. По договору на разработку ПО исключительное право на программу принадлежит заказчику. Однако запрет исполнителю пользоваться программой для собственных нужд лучше зафиксировать. В договоре необходимо учесть, каким путем будет предоставлен готовый продукт и какие документы при этом будут подписаны. Акт приема-передачи программного обеспечения – это подтверждение своевременного и полного исполнения обязательств и защита от обмана для обеих сторон. При заключении сделки нужно обращать внимание не только на предмет договора (описание программы должно быть изложено максимально подробно, например, в техническом задании), но и делать акцент на

объеме передаваемых прав, гарантии, ответственности. Отсутствие в трудовом договоре условия о том, что работник выполняет разработку ПО в рамках должностных обязанностей, равно как и отсутствие служебного задания на определенную разработку, может привести к тому, что работодатель не получит никаких прав на эту программу. Если в договоре на разработку ПО не будет определен предмет и порядок приемки работ, то могут пострадать как заказчик, так и исполнитель: заказчик не сможет доказать, что программа не отвечает его потребностям, и заплатит за то, что совсем ему не нужно. У исполнителя, конечно, рисков всегда больше: заказчик может уклоняться от приемки работ, находить не всегда обоснованные недостатки и требовать их устранить, а в итоге вообще отказаться от договора, не заплатив. Рассмотрим пример. В споре по незаконному использованию и деинсталляции программного обеспечения "Медицинский помощник" исполнитель проиграл, не сумев доказать, что разработал качественный продукт, а заказчик не только уклонился от его оплаты, но еще и незаконно использует. В этом случае спасти положение исполнителя в суде могла бы компьютерно-техническая экспертиза, но она не всем по карману. Именно поэтому самый простой способ защитить свои интересы – превентивный, то есть описание четких условий и критериев качества в договоре. В случае приобретения программы по лицензионному договору важно учитывать, идет ли речь об исключительной лицен-

Humyakova 12/2/21 17:06 Page 53

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

зии или нет. В обоих видах договора необходимо обратить внимание на условия техподдержки, обновления ПО, возможности доработки, возможности внесения изменений и территории использования. Все эти моменты впоследствии могут стать предметом спора.

Регистрация в реестре Роспатента Теперь поговорим о процессе регистрации программного обеспечения в Роспатенте. Для начала необходимо максимально подробное описание разработки, чтобы в дальнейшем можно было однозначно определить, что именно было создано. Срок регистрации программ для ЭВМ в Роспатенте до момента выдачи свидетельства – 62 рабочих дня (п. 13 Административного регламента предоставления государственной услуги по государственной регистрации программ для ЭВМ и баз данных). Процедура и перечень документов для подачи заявки на регистрацию программы есть на сайте Роспатента. Заявление, реферат-описание программного обеспечения, уплата пошлины – вот необходимый минимум для регистрации прав на ПО. Нередко возникает вопрос: существуют ли альтернативные способы защиты интеллектуальной собственности на программное обеспечение? Эффективных – не существует. Если хотите избежать негативных последствий в виде незаконного присвоения вашей программы третьими лицами, потери дохода от реализации программы, то обязательно зарегистрируйте свою программу. Другие способы не защищают от плагиата.

Регистрация в реестре Минцифры Наряду с регистрацией программного обеспечения в реестре Роспатента актуальной стала его регистрация в реестре Минцифры. Единый реестр российского ПО для электронных вычислительных машин и баз данных из государств – членов ЕАЭС создан в соответствии со ст. 12.1 Федерального закона "Об информации, информацион1

ных технологиях и о защите информации" в целях расширения использования российских программ для электронных вычислительных машин и баз данных, подтверждения их происхождения из Российской Федерации, а также в целях оказания мер государственной поддержки правообладателям программ для электронных вычислительных машин или баз данных. Если в Роспатенте автор или иной правообладатель фиксирует принадлежность ему прав на ПО, то регистрация в Минцифры проводится компаниями, как правило, для получения льгот, участия в тендерах организаций по 223-ФЗ и 44-ФЗ, так как они приоритетно закупают только отечественное ПО, учтенное в реестре Минцифры. Для получения льгот необходимо выполнить одновременно ряд условий: l пройти государственную аккредитацию в качестве организации в области ИТ; l обеспечить штатную численность работников не менее семи человек; l не менее 90% всех доходов должно приходиться на реализацию программ для ЭВМ, баз данных и услуг по их разработке, адаптации и модификации и т.п. Какие льготы получит ИТкомпания – законный владелец программного обеспечения? Прежде всего по налогами и по страховым взносам. Налог на прибыль снизится с 20 до 3%, по страховым взносам платежи уменьшатся в среднем вполовину – с 14 до 7,6%. То, что правительство отменило нулевую ставку НДС при реализации незарегистрированных программ, – повод активнее регистрироваться в реестре Минцифры. Но не все программы могут быть внесены в реестр. В список не могут попасть компании, в которых доля иностранного участия больше 50% или иностранные граждане получают более 30% от выручки с продаж ПО. Программы не должны быть ограничены относительно использования в субъектах РФ, а информация о них не должна являться гостайной. Компания должна обладать исключительным правом на ПО во всем

Судебная практика по спорам о программном обеспечении: дело № А03-2403/2020, № А56-10049/2019, А40-161684/18-110-1209, А40-188731/2018 и т.п.

мире. Другими словами, если предприниматель купил франшизу в США и пытается зарегистрировать ПО в отечественном реестре, то получит отказ. Обновления, гарантийное обслуживание, техподдержка, модернизация не должны зависеть от иностранного участия. Это только основные ограничения. Получить заветные льготы не так-то просто. Если все-таки потратить немного времени, сил и денежных средств, то, безусловно, вложения окупятся. С включением в реестр Минцифры у законного владельца ПО появится ликвидный актив, который будет приносить стабильную прибыль годами. А в случае необходимости он сможет его продать, включив в его стоимость все расходы на разработку и оформление – именно так рассчитывается первоначальная стоимость интеллектуального права.

Самый простой способ защитить свои интересы – превентивный, то есть описание четких условий и критериев качества в договоре.

Для регистрации ПО в Роспатенте необходимо максимально подробное описание разработки, чтобы в дальнейшем можно было однозначно определить, что именно было создано.

Если хотите избежать негативных последствий

Авторское право на ПО в судебной практике Об актуальности темы с регистрацией прав на ПО свидетельствует общая сумма исков, рассмотренных судами по спорам о незаконном использовании программ для ЭВМ. В 2020 г. сумма исков достигла 76 471 855 руб., что на 29,4% больше, чем в 2019 г., когда сумма составила 41 647 449 руб.1. Как правило, при наличии правоустанавливающих документов на программное обеспечение суды удовлетворяют иски о незаконном использовании программ для ЭВМ и взыскании компенсации. Но зачастую, чтобы идентифицировать программу и доказать, что именно ваше ПО незаконно используют, необходимо ходатайствовать перед судом о назначении компьютерно-технической экспертизы. Может быть, сегодня сама по себе программа и не представляет особенной ценности, но завтра, когда она начнет приносить доход, велика вероятность столкнуться с проблемой воровства или плагиата, потерей доходов и судебными тяжбами. И только патентование программного обеспечения сможет защитить от любых посягательств. l

в виде незаконного присвоения вашей программы третьими лицами, потери дохода от реализации программы, то обязательно зарегистрируйте свою программу. Другие способы не защищают от плагиата.

Регистрация в Минцифры проводится компаниями, как правило, для получения льгот, участия в тендерах организаций по 223-ФЗ и 44-ФЗ.

Зачастую, чтобы идентифицировать программу и доказать, что именно ваше ПО незаконно используют, необходимо ходатайствовать перед судом о назначении компьютернотехнической экспертизы.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 53

NEW_PROD 12/2/21 17:10 Page 54

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

НОВЫЕ ПРОДУКТЫ Innostage IRP

Производитель: ООО "ОМС Солюшн" Сертификат: не подлежит обязательной сертификации Назначение: решение класса IRP (Incident Response Platform), позволяющее автоматизировать мониторинг и реагирование на инциденты кибербезопасности и управление уязвимостями ИБ Особенности: Innostage IRP встраивается в ИТ-инфраструктуру компании и за счет интеграции с существующими системами и средствами защиты информации позволяет автоматизировать ряд процессов. Решение может использоваться в качестве ядра для создания SOC, центров ГосСОПКА. l Поддержка иерархической архитектуры системы с инсталляцией в центральном аппарате и подчиненными полнофункциональными инсталляциями на уровне крупных ДО/филиалов l Для автоматизации реагирования на инциденты и выполнения блокирующих операций используется отдельный компонент – система оркестрации (отсутствует необходимость хранения внутри IRP-системы административных учетных записей) l Поддержка "сквозных" сценариев реагирования на инциденты ИБ, с возможностью разделения сценария реагирования на отдельные блоки, часть из которых выполняется в режиме одного окна сотрудниками SOC, а часть – сотрудниками филиала/ДО (либо иным структурным подразделением/организацией) l Гибкие возможности задания плановых сроков реагирования (SLA) как на инцидент в целом, так и на отдельную задачу l Расширение функционала IRP в части автоматизации категорирования объектов КИИ, выгрузки по данным объектам отчетной документации по требованиям ФСТЭК России и учет категории значимости объектов КИИ в работе по управлению инцидентами ИБ l Единая среда визуализации и графических представлений по ключевым показателям процесса управления инцидентами ИБ в масштабах всей компании Возможности: l Управление ИТ-активами: сбор, обработка, хранение, актуализация l Оперативное реагирование на выявленные инциденты ИБ и оповещение ответственных лиц о критических событиях ИБ

54 •

l Создание автоматизированных сце-

нариев реагирования на инциденты ИБ (Рlaybook) l Управление уязвимостями ИБ l Консолидация и передача в ГосСОПКА информации о компьютерных инцидентах l Визуализация ключевых показателей эффективности управления инцидентами ИБ Ориентировочная цена: по запросу Время появления на российском рынке: доступно Подробная информация: https://innostage-group.ru/solutions/ infosecurity/innostage-ns-irp/ Фирма, предоставившая информацию: Группа компаний Innostage См. стр. 24–25

ИТ-платформа Security Vision 5

Производитель: Интеллектуальная безопасность Сертификат: сертификат № 4194 от 19.12.2019 г., выдан ФСТЭК России (по 4-му уровню доверия) Назначение: автоматизация и роботизация процессов обеспечения информационной безопасности Особенности: единственная российская ИТ-платформа, позволяющая роботизировать до 95% программно-технических функций оператора информационной безопасности. Является полностью российской разработкой и включена в Единый реестр российских программ для ЭВМ и баз данных Минкомсвязи России. Имеет все необходимые для работы разрешительные лицензии ФСБ и ФСТЭК Возможности: l Создание единого ситуационного центра кибербезопасности l Выявление атак и инцидентов кибербезопасности на ранних стадиях за счет анализа событий, поступающих от различных средств защиты информации l Консолидация оперативной информации и ее анализ в реальном времени для расследования инцидентов кибербезопасности и принятия управленческих решений l Сокращение времени реагирования за счет автоматизации ключевых процедур и сценариев реагирования, роботизации функций оператора информационной безопасности l Автоматическое обеспечение контроля соответствия требованиям регуляторов, национальным и международным стандартам

Программная платформа позволяет сэкономить тысячи человеко-часов ежегодно за счет автоматизации рутинных и повторяющихся действий при выполнении профильными подразделениями своих обязанностей и направлять сэкономленные ресурсы на совершенствование их профессиональных компетенций и развитие обеспечения информационной безопасности Характеристики: вне зависимости от выбранных функциональных модулей (IRP/SOAR, SGRC) продукт меняет парадигму зонтичных решений, открывая огромное пространство возможностей. Любая комплектация платформы Security Vision включает в себя следующие конструкторы: l Карточки и объекты l Процессы l Интеграции l Аналитика l Отчеты и дашборды l Меню и роли Ориентировочная цена: зависит от количества пользователей системы Время появления на российском рынке: 2021 г. Подробная информация: www.securityvision.ru Фирма, предоставившая информацию: Интеллектуальная безопасность См. стр. 18–19, 33

Специальный носитель ПО "Центр-Т" объемом 8/32/64 Гбит

Производитель: ОКБ САПР Сертификат: не подлежит сертификации Назначение: загрузочный носитель ПО комплекса защищенной загрузки клиентских рабочих станций "Центр-Т" Особенности: увеличенный объем памяти (8 /32/64 Гбит) позволяет использовать специальный носитель для хранения и загрузки как ПО "Клиент Центр-Т", так и ПО сервера хранения и сетевой загрузки ("ПО СХСЗ"), в том числе при использовании загружаемых образов с включенными в состав средствами защиты канала (ощутимо увеличивающими объем образа) Возможности: защищенное хранение и загрузка на СВТ ПО "Клиент Центр-Т" или ПО "СХСЗ" Характеристики: размеры в пластиковом корпусе вместе с петелькой – 6 х 1,7 х 0,8 см; может поставляться в металлическом корпусе; объем диска 8/32/64 Гбит

NEW_PROD 12/2/21 17:10 Page 55

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

Ориентировочная цена: по запросу Время появления на российском рынке: 2021 г. Подробная информация: https://www.okbsapr.ru/products/storage/ compute/center-t/ Фирма, предоставившая информацию: ОКБ САПР См. стр. 46

Phishman

Производитель: ООО "ФИШМАН" Сертификат: запись № 6076 от 19.11.2019 г. в реестре Минкомсвязи России, государственная регистрация программы для ЭВМ № 2016618764 Назначение: система повышения осведомленности пользователей Особенности: автоматизированное выявление пользователей с недостатком знаний при помощи провокационных фишинговых атак и сбора данных из внешних систем безопасности для дальнейшего обучения пользователей недостающим навыкам с последующим их контролем Возможности: l Полностью автономная работа l Создание провокационных фишинговых атак l Создание провокационных фишинговых сайтов l Интеграция с системами безопасности l Обучение пользователей l Автоматизация работы всех модулей системы l Портал обучения Ориентировочная цена: от 100 тыс. руб. Время появления на российском рынке: июль 2016 г. Подробная информация: phishman.ru Фирма, предоставившая информацию: ООО "ФИШМАН" См. стр. 38–39

Назначение: простой и удобный инструмент для регистрации инцидентов экономической и информационной безопасности, управления их жизненным циклом и создания типовых сценариев реагирования на события Особенности: инциденты могут быть получены из внешних систем – SIEM, IDM, DLP и др., а также открыты вручную. Позволяет создать единую базу данных для всех значимых событий безопасности, быстро распределять их среди ответственных сотрудников, контролировать и анализировать процесс обработки инцидентов Возможности: l Сбор, хранение, управление инцидентами l Классификация и ранжирование угроз l Анализ и выявление связей между инцидентами l Постановка задач и контроль исполнения l Автоматические сценарии реагирования на угрозы l Система отчетности l База знаний инцидентов и сценариев реагирования Характеристики: l Учет инцидентов информационной и экономической безопасности: – СКУД – использование чужого пропуска и др.; – инциденты и события из SIEM, DLP; – профили и досье на пользователей; – любые инциденты со свободной классификацией l База знаний: – регистрация и учет инцидентов; – обнаружение и исправление слабых мест; – ввод в штат нового сотрудника; – введение прецедентной системы. l Статистика и отчетность: – быстрые отчеты по запросам; – контекстный поиск; – отчет по инциденту и группе инцидентов; – сложные составные запросы Ориентировочная цена: зависит от количества пользователей системы Время появления на российском рынке: декабрь 2019 г. Подробная информация: makves.ru/irp Фирма, предоставившая информацию: MAKVES См. стр. 43–43

Makves IRP R-Vision IRP 4.7

Производитель: ООО "Маквес групп" Сертификат: не подлежит обязательной сертификации (в процессе сертификации ФСТЭК), запись № 6298 от 07.04.2020 г. в реестре ПО Минкомсвязи России

Производитель: R-Vision Сертификат: сертификат № 4346 от 22.12.2020 г., выдан ФСТЭК России (по 4-му уровню доверия)

www.itsec.ru

Назначение: платформы автоматизации мониторинга и реагирования на инциденты информационной безопасности Особенности: в новой версии продукта появилась возможность работать с группами инцидентов, реализовано взаимодействие с ГосСОПКА, переработана визуализация сценариев реагирования и опции их запуска Возможности: l Автоматизация реагирования l Контроль ИТ-инфраструктуры l Интеграция с внешними источниками l Единая база инцидентов l Адаптируемая логика l Обмен информацией по инцидентам l Совместная работа l Визуализация и отчетность Характеристики: l Гибкая адаптация под текущую ИТинфраструктуру и процессы l Уникальный механизм интеграции с любыми сторонними системами l Готовые скрипты автоматизации l Приоритизация инцидентов по уровню критичности l Динамические сценарии реагирования и удобный графический редактор l Готовые коннекторы к ГосСОПКА, ФинЦЕРТ, взаимодействие с другими внешними центрами реагирования l Поддержка мультиарендной архитектуры Ориентировочная цена: по запросу Время появления на российском рынке: 2021 г. Подробная информация: www.r-vision.ru Фирма, предоставившая информацию: R-Vision См. стр. 22–23

КодСкоринг (CodeScoring)

Производитель: ООО "Профископ" Сертификат: изделие не подлежит сертификации Назначение: управление интеллектуальной собственностью компании через автоматическое отслеживание использования программных компонент и оценку качества кода в разрезе команды Особенности: КодСкоринг (CodeScoring) – программное обеспечение, созданное российскими разработчиками. Решение распространяется по SaaS-модели и в виде инсталляции on-premise Возможности: продукт обеспечивает функции компонентного анализа программного обеспечения (Software Com-

• 55

NEW_PROD 12/2/21 17:10 Page 56

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

position Analysis, SCA), контроль совместимости лицензий, расширенный анализ для юристов и оценку качества исполнения в разрезе команд Характеристики: l Обнаружение и анализ зависимостей: – по исходному коду; – по файлам конфигураций (манифесты и метафайлы менеджеров пакетов); – по метаданным: по классическим и "нечетким" хешам. l Выявление и оценка совместимости лицензий – идентификация лицензионной информации, добавленной напрямую в исходный код приложений. Отслеживание наличия несовместимости по общим правилам и на основе сформированных политик l Поиск уязвимостей и формирование рекомендаций по исправлению найденных проблем, отображение классификации уязвимостей (CVSS v2, CVSS v3.1, CWE) l Управление политиками лицензий и оповещениями – КодСкоринг обладает предустановленным набором готовых политик, связанных с совместимостью лицензий, безопасностью и качеством ПО. Формирование регулярных отчетов по отслеживаемым событиям с возможностью их отправки на почту

или в систему управления задачами

l Поиск дубликатов, оценка качества

кода – поиск с учетом направления копирования и по кодовой базе внутри проектов, между проектами и по известным компонентам Open Source. Анализ учитывает не только простой copy-paste, но и переименования переменных l Раскрытие авторского состава, истории, технологий, похожести авторов, в том числе с учетом выявленных характеристик качества Время появления на российском рынке: январь 2021 г. Подробная информация: codescoring.com/ru Фирма, предоставившая информацию: WEB CONTROL См. стр. 50–51

УСЛУГИ Безопасность эксплуатации микросервисных приложений (SecOps)

Отрасль: информационная безопасность Регион: РФ Описание: процессы обеспечения безопасности эксплуатации микросервисных приложений не должны влиять на качество и эффективность конвейера DevOps, но при этом должны обеспечивать высокий уровень защиты от киберугроз. Команда группы компаний Angara обладает экспертизой обеспечения защиты микросервисов, безопасной конфигурации инфраструктуры DevOps, защиты контейнеризации, интеграции хранилища секретов и выполняет работы без влияния на CI/CD Pipeline с учетом имеющихся процессов и инструментов автоматизации Фирма, предоставившая информацию: Группа компаний Angara См. стр. 20–21

НЬЮС МЕЙКЕРЫ ГАЗИНФОРМСЕРВИС 198096, Санкт-Петербург, ул. Кронштадтская, 10, литера А Тел.: +7 (812) 677-2050 E-mail: resp@gaz-is.ru gaz-is.ru См. стр. 40–41 ДИАЛОГНАУКА, АО 117105, Москва, ул. Нагатинская, 1 Тел.: +7 (495) 980-6776 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. стр. 11, 18–19 ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ 115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4 Тел.: +7 (495) 803-3660 E-mail: sales@securityvision.ru securityvision.ru См. cтр. 18–19, 33 ОКБ САПР 115114, Москва, 2-й Кожевнический пер., 12 Тел.: +7 (495) 994-7262 E-mail: okbsapr@okbsapr.ru www.okbsapr.ru См. cтр. 46 56 •

СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 9

MAKVES 129629, Москва, ул. Староалексеевская, 5 Тел.: +7 (495) 150-5406 E-mail: sales@makves.ru www.makves.ru См. стр. 42–43

ФИШМАН, ООО (PHISHMAN) 129343, Москва, пр. Серебрякова, 14, стр. 23, этаж 2, пом. 18А Тел.: +7 (495) 795-7657 E-mail: info@phishman.ru phishman.ru См. стр. 38–39

R-VISION 109544, Москва, бульвар Энтузиастов, 2 Тел.: +7 (499) 322-8040 E-mail: sales@rvision.pro www.rvision.pro См. стр. 22–23

ANGARA (ГРУППА КОМПАНИЙ) 121096, Москва, ул. Василисы Кожиной, 1, корп. 1 (БЦ "Парк Победы") Тел.: +7 (495) 269-2606 E-mail: info@angaratech.ru www.angaratech.ru См. стр. 20–21

WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru www.web-control.ru См. стр. 50–51

INNOSTAGE, ГРУППА КОМПАНИЙ 420015, Казань, ул. Подлужная, 60 Тел.: +7 (843) 567-4290 E-mail: info@innostage-group.ru www.innostage-group.ru См. стр. 24–25

ZECURION 129164, Москва, Ракетный б-р, 16 Тел.: +7 (495) 221-2160 E-mail: info@zecurion.com www.zecurion.ru См. стр. 14–17

—

15—17