Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27XXX

solution

Проблематика

Многие компании, как правило из частного сектора, работающие с международными партнерами, стремятся продемонстрировать выстроенную зрелую систему защиты информации, соответствующую международны Читать полностью

Многие компании, как правило из частного сектора, работающие с международными партнерами, стремятся продемонстрировать выстроенную зрелую систему защиты информации, соответствующую международным стандартам и лучшим практикам. Для целей подтверждения такого соответствия служит добровольная сертификация по международной серии стандартов ISO 27XXX. Данная серия стандартов представляет собой набор нормативных документов, охватывающих разные области обеспечения информационной безопасности, такие как построение и внедрение системы управления ИБ, риск-менеджмент в области ИБ, рекомендации по аудиту систем управления ИБ, рекомендации по обеспечению непрерывности бизнес-процессов, стандарты по обеспечению безопасности сетей и приложений, принципы и рекомендации по реагированию на инциденты. Большинство из стандартов данной серии были адаптированы в Российской Федерации и получили префикс ГОСТ Р ИСО/МЭК.

Итак, основными процессами обеспечения информационной безопасности в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования» являются:

·       процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры);

·       процесс управления учетными записями пользователей и администраторов информационных систем;

·       процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий;

·       процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы;

·       процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными);

·       процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности;

·       процесс криптографической защиты информации при хранении и передаче, где применимо;

·       процесс обеспечения физической безопасности и контроля физического доступа к объектам информационных систем;

·       операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем;

·       процесс защиты от вредоносного программного обеспечения;

·       процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев;

·       процесс аудита и мониторинга событий информационной безопасности;

·       процесс управления инцидентами информационной безопасности;

·       процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты);

·       процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании "облачных" сервисов;

·       процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения;

·       процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками;

·       процесс управления соответствием нормативным требованиям, предъявляемым к компании;

·       процесс проведения независимых аудитов и тестов информационной безопасности.

Таким образом, у компании, которая решила сертифицировать свой процесс управления информационной безопасностью по стандарту ISO 27XXX, возникает большое количество направлений деятельности. Решением поставленных задач может стать частичная или полная автоматизация некоторых процессов обеспечения информационной безопасности из числа перечисленных выше. Например, процесс управления активами можно автоматизировать, регулярно делая «обход» сети сканером или централизованно получая информацию с агентов, установленных на конечных точках. Процесс управления уязвимостями можно также упростить, агрегируя и анализируя результаты сканирования, с последующим устранением наиболее критичных уязвимостей на важных активах.

Далее, процесс классификации можно облегчить, ведя электронный реестр всех активов (документов, узлов сети, бизнес-процессов, баз данных, серверов и рабочих станций), присваивая каждому из активов метку конфиденциальности в зависимости от хранящихся на нём данных, установленных программ, нахождения его в том или ином сегменте сети, залогиненного пользователя.

Кроме того, контроль внесения изменений в конфигурацию информационных систем можно также упростить, ведя реестр внесенных изменений в виде заявок на изменения, которые проходят заранее созданные и согласованные маршруты (рабочие процессы) на стадиях своего жизненного цикла, позволяя сотрудникам подразделений ИБ своевременно согласовывать или отзывать вносимые изменения.

Процесс аудита и мониторинга событий информационной безопасности является также явным кандидатом на автоматизацию, поскольку ручная обработка большого потока информации как правило не является эффективной. С помощью средств управления и анализа событиями и инцидентами ИБ у сотрудников подразделения информационной безопасности появляется высокоэффективный инструмент по реагированию на инциденты любой сложности, при этом они получают полную информацию и аналитику в любой момент времени.

Процесс реагирования на инциденты информационной безопасности является одним из ключевых в работе сотрудников, отвечающих за защиту информации. Необходимо обрабатывать инциденты на всех этапах их жизненного цикла:

·       подготовка к инциденту, которая включает в себя выстраивание процессов реагирования, создание шаблонов и сценариев применения ответных мер, а также настройку и эксплуатацию средств защиты информации,

·       обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,

·       анализ инцидента, классификация,

·       сдерживание угрозы для минимизации ущерба от атаки,

·       устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,

·       восстановление после инцидента,

·       улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.

В условиях быстроразвивающейся масштабной угрозы особенно важно эффективно распределять временные ресурсы сотрудников подразделения информационной безопасности, передавая все шаблонные действия в систему автоматизированного реагирования на инцидент. Кроме того, система такого класса сможет автоматически отреагировать на событие или инцидент даже в отсутствие оператора, если заранее были заданы условия ответной реакции и сами ответные действия.

Решение

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидента Читать полностью

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.

Например, продукт «Security Vision» в комплектации «Security Operation Center [SOC]» предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.

В дополнение к функционалу комплектации «Security Operation Center [SOC]», следует обратить внимание на комплектацию «Incident Response Platform [IRP]» – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.

Компаниям стоит обратить внимание на продукт Security Vision «Cyber Risk System [CRS]» – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Выполнение требований

Стандарты серии ISO 27XXX, включая ратифицированный стандарт ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования»устанавливают требования к системам управлени Читать полностью

Стандарты серии ISO 27XXX, включая ратифицированный стандарт ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования»устанавливают требования к системам управления информационной безопасностью и определяют основные области деятельности для комплексной защиты информации в организациях.

Применимость:

·       Частные компании, преследующие цели выхода на международные рынки и получения имиджевого конкурентного преимущества

Список требований Приложения «А» к Стандарту ГОСТ Р ИСО/МЭК 27001:2013

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Приложения «А» Стандарта ГОСТ Р ИСО/МЭК 27001:2013

Документирование информации (внутренние политики, регламенты, процедуры): п. А.5

Комплектация «Security Operation Center [SOC]»: Внутренние и внешние аудиты ИБ, Метрики и ключевые показатели эффективности, База документов, регламентирующих порядок обеспечения ИБ, Контроль за соответствием (Compliance) требованиям ИБ

Повышение осведомленности персонала в вопросах ИБ: п. А.7.2.2

Повышение осведомленности (Awareness) в области ИБ

Инвентаризация активов: п. А.8.1.1

Конструктор активов

Агент доступности

Управление съемными носителями: п. А.8.3.1

Контроль за носителями информации

Управление изменениями: п. А.12.1.2

Контроль за изменениями в ИТ-инфраструктуре

Регистрация событий: А.12.4.1

Ядро корреляции

Агент сбора

Контроль за установленным ПО: п. А.12.5.1

Агент инвентаризации

Управление уязвимостями: п. А.12.6.1

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Управление инцидентами информационной безопасности: п. А.16

Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Соответствие законодательным требованиям: п. А.18.1

Комплектация «Security Governance, Risk Management and Compliance [SGRC]»: Контроль за соответствием (Compliance) требованиям ИБ.

Оценка и обработка рисков информационной безопасности: п. 8.2, 8.3 Стандарта ГОСТ Р ИСО/МЭК 27001:2013

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

 

Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.

Применимость:

·       Построение центров мониторинга информационной безопасности

Список требований стандарта ISO/IEC 27035-1:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта

ISO/IEC 27035-1:2016

Сбор информации относительно событий ИБ или уязвимостей: п. 5.3 c)

Мониторинг и журналирование событий о действиях систем и сетей: п. 5.3 a)

Ядро корреляции

Агент сбора

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Детектирование и сообщение о произошедшем событии ИБ или о существовании уязвимости, в ручном или автоматическом режиме: п. 5.3 b)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Список требований стандарты ISO/IEC 27035-2:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта

ISO/IEC 27035-2:2016

Автоматизация передачи и обмена данных об инцидентах ИБ: п. 6.3, 8.3.

Детектирование и сообщение о произошедшем событии ИБ, в ручном или автоматическом режиме: п. 6.4 b) 4)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей, Управление жизненным циклом инцидентов

Комплектация «Security Operation Center [SOC]»: Оповещение и эскалация

Детектирование и сообщение об уязвимостях: п. 6.4 b) 7)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Использование средств криптографического контроля целостности для определения наличия внесенных в результате инцидента изменений в данных систем, сервисов и/или сетей: п. 9.1 e)

Агент контроля целостности

Внесение изменений (учет новых угроз и уязвимостей, внедрение новых средств защиты) в имеющуюся систему оценки рисков по результатам анализа инцидентов: п. 6.4f) 3), 12.4

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности

 

Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности»содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.

Применимость:

·       Построение центров мониторинга информационной безопасности

·       Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками

Список требований стандарта NISTSP 800-61

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61

Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6

Агент доступности

Агент сбора

Контроль за изменениями в ИТ-инфраструктуре

Агент инвентаризации

Осуществление корреляции событий: п. 3.6

Ядро корреляции

Поддержка и использование базы знаний: п. 3.6

Комплектация «Incident Response Platform [IRP]»: База знаний

Сбор и хранение данных об инциденте в неизменном виде: п. 3.6

Агент контроля целостности

Автоматизация обмена данными об инцидентах: п. 4.2.2

Комплектация «Incident Response Platform [IRP]»: Оповещение и эскалация

Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)

Оценка рисков как результатов комбинации угроз и уязвимостей:

п. 3.1.2

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Устранение угрозы и восстановление после инцидента: п. 3.3.4

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом инцидентов, Оповещение и эскалация, Конструктор сценариев реагирования

 


Ссылки

Продукты

SOC

Security Operation Center

8 модулей

IRP

Incident Response Platform

11 модулей

CRS

Cyber Risk System

7 модулей

SGRC

Security Governance, Risk Management and Compliance

11 модулей
Заказатьзвонок

Согласие на обработку персональных данных