Принципы реагирования на компьютерные инциденты sans nist

Обновлено: 04.07.2024

ГОСТ Р ИСО/МЭК ТО 18044-2007

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология. Методы и средства обеспечения безопасности

МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Information security incident management

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004* "Информационные технологии. Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management", IDT).

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.

Введение

Типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - возможными. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме того, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка конкретной организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к информационной безопасности, важно применять структурный и плановый подход к:

- обнаружению, оповещению об инцидентах информационной безопасности и их оценке;

- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);

- извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.

Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.

Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.

1 Область применения

В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISО/IEC 13335-1:2004, IT Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий

ISО/IEC 17799:2000, Information technology - Code of practice for information security management (Информационная технология. Практические правила управления информационной безопасностью)

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.

3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.

Примечание - Данный процесс должен также обеспечивать восстановление бизнеса с учетом заданных очередностей и интервалов времени и дальнейшее восстановление всех функций бизнеса в рабочее состояние. Ключевые элементы этого процесса должны обеспечивать применение и тестирование необходимых планов и средств и включение в них информации, бизнес-процессов, информационных систем и сервисов, речевой связи и передачи данных, персонала и физических устройств.

3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Примечание - Примеры инцидентов ИБ приведены в разделе 6.

3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) [Information Security Incident Response Team (ISIRT)]: Группа обученных и доверенных членов организации.

Примечание - Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда может дополняться внешними экспертами, например из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).

4 Общие положения

4.1 Цели

В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

- события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ;

События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.

- идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;

- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.

4.2 Этапы

Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:

1) планирование и подготовка;

Примечание - Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 [4] и ИСО 14000 [5].

Основное содержание этих этапов показано на рисунке 1.

Рисунок 1 - Этапы менеджмента инцидентов ИБ

4.2.1 Планирование и подготовка

Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке. Для обеспечения эффективности реакции на инциденты ИБ необходимо:

- разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и в особенности высшего руководства;

- разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы серьезности инцидентов должны быть отражены в документации на конкретную систему (следует отметить, что в некоторых организациях такая система может называться "Планом

реагирования на инциденты ИБ");

Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: "значительные" и "незначительные". Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.

- обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;

- создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;

- тщательно тестировать систему менеджмента инцидентов ИБ.

Этап "Планирование и подготовка" - в соответствии с разделом 7.

4.2.2 Использование системы менеджмента инцидентов информационной безопасности

При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:

- обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);

- сбор информации, связанной с событиями ИБ, и оценку этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;

- реагирование на инциденты ИБ:

- немедленно, в реальном или почти реальном масштабе времени;

- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);

- если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);

- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций [что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений];

Новый ГОСТ по обнаружению КА и реагированию на инциденты

Получить ссылку
Facebook
Twitter
Pinterest
Электронная почта
Другие приложения

Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.

Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.

Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).

Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0 day и т.п.

Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.

Подраздел - управление компьютерным инцидентом

В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России.

Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ.

Тема организации реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектами с ЗОКИИ комплексная и довольно сложная в реализации. Важность таких процессов не подвергается сомнению. Для дополнительной мотивации в июня 2021 года в КоАП внесли существенные штрафы «за не реагирование в установленном законодательством порядке»

В итоге, субъект КИИ должен выстроить свои процессы реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак таким образом, что бы не только обеспечит «реальную» безопасность ЗОКИИ, но и снизит риски по привлечению к административной ответственности. (Примеры последствий здесь и здесь ).

Требование ФСТЭК (только ЗОКИИ)

Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции .

Для всех ЗОКИИ обязательны базовые меры :

ИНЦ.1 Выявление компьютерных инцидентов

ИНЦ.2 Информирование о компьютерных инцидентах

ИНЦ.3 Анализ компьютерных инцидентов

ИНЦ.4 Устранение последствий компьютерных инцидентов

ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

2 5. Организационно-распорядительные документы по безопасности значимых объектов должны определять:

б) ……. порядок реагирования на компьютерные инциденты, …..порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

Требования ФСБ (только ЗОКИИ)

Приказ ФСБ России от 19.06.2019 N 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

6. Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ, в срок до 90 календарных дней со дня включения данного объекта в реестр ЗОКИИ разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, содержащий:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

10. Субъект КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. Объем и содержание тренировки определяются субъектом КИИ с учетом мероприятий, содержащихся в Плане.

Организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

11. Субъект КИИ, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:

- анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;

- проведение мероприятий в соответствии с Планом;

12. Перед принятием мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяет:

- состав подразделений и должностных лиц субъекта критической информационной инфраструктуры, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак, и их задачи в рамках принимаемых мер;

- перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак;

- очередность ЗОКИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;

- перечень мер по восстановлению функционирования ЗОКИИ.

13. В ходе ликвидации последствий компьютерных атак субъектом КИИ принимаются меры по восстановлению функционирования и проверке работоспособности ЗОКИИ.

14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий.

Проект национального стандарта ГОСТ Р "Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты" (для всех субъектов КИИ)

Политика управления компьютерными инцидентами - определяет общий порядок осуществления деятельности по управлению компьютерными инцидентами в организации, а также лиц, которые будут принимать участие в деятельности по управлению компьютерными инцидентами, их роли и обязанности.

Для реализации деятельности по управлению компьютерными инцидентами потребуется наличие плана реагирования на компьютерные инциденты, определяющего, что в организации будет классифицироваться как компьютерные инциденты, какие меры реагирования требуются и какими полномочиями будет обладать подразделение по управлению компьютерными инцидентами и сам процесс реагирования.

12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты.

В ходе деятельности по управлению компьютерными инцидентами должны планироваться и проводиться на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Такие тренировки могут проводиться путем моделирования различных сценариев, которые могут варьироваться от серьезных, сложных компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атаках, сбоев или неисправностей, до проведения теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. Тренировки могут проводиться не только в отношении подразделения по управлению компьютерными инцидентами, но и в отношении иных подразделений организаций, также задействованных в деятельности по управлению компьютерными инцидентами.

Итог для ЗОКИИ

Должны быть разработаны, утверждены и доведены до сведений ответственных лиц субъекта КИИ следующие документы:

1. Политика управления компьютерными инцидентами

2. Регламент проведения анализа компьютерных инцидентов

3. Регламент реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак

4. План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

5. Регламент проведения тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

6. План тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак

7. Порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (организация взаимодействия с НКЦКИ разобрана в заметках канала здесь и здесь ).

И задача по реагированию на компьютерные инциденты у субъекта с ЗОКИИ возлагается на подразделение безопасности/специалиста безопасности. Вопросы назначения специалиста по безопасности разобраны в этой заметке канала .

В следующей заметке разберем кто должен участвовать в процессах реагирования на компьютерные инциденты с ЗОКИИ и какие требования к ним предъявляются регуляторами.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности» содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.

· Построение центров мониторинга информационной безопасности

· Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61

Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6

Агент доступности

Агент сбора

Контроль за изменениями в ИТ-инфраструктуре

Агент инвентаризации

Осуществление корреляции событий: п. 3.6

Поддержка и использование базы знаний: п. 3.6

Комплектация Incident Response Platform [IRP]: База знаний

Сбор и хранение данных об инциденте в неизменном виде: п. 3.6

Автоматизация обмена данными об инцидентах: п. 4.2.2

Комплектация Incident Response Platform [IRP]: Оповещение и эскалация

Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)

Оценка рисков как результатов комбинации угроз и уязвимостей:

п. 3.1.2

Устранение угрозы и восстановление после инцидента: п. 3.3.4

· Построение центров мониторинга информационной безопасности

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61

Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6

Агент доступности

Агент сбора

Контроль за изменениями в ИТ-инфраструктуре

Агент инвентаризации

Осуществление корреляции событий: п. 3.6

Поддержка и использование базы знаний: п. 3.6

Комплектация Incident Response Platform [IRP]: База знаний

Сбор и хранение данных об инциденте в неизменном виде: п. 3.6

Автоматизация обмена данными об инцидентах: п. 4.2.2

Комплектация Incident Response Platform [IRP]: Оповещение и эскалация

Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)

Оценка рисков как результатов комбинации угроз и уязвимостей:

п. 3.1.2

Устранение угрозы и восстановление после инцидента: п. 3.3.4

Национальный институт стандартов и технологий (англ. National Institute of Standards and Technology, NIST) – подразделение Управления по технологиям США, одного из агентств Министерства торговли США. Данное учреждение участвует в разработке стандартов и спецификаций к программным решениям для государственного и частного секторов США. Документы, выпускаемые данным институтом, отличаются глубиной проработки и логической связностью. Из множества выпущенных данной организацией стандартов можно отметить документы NIST 800-53 (Меры по обеспечению безопасности и конфиденциальности в федеральных информационных системах и организациях), NIST 800-61 (Руководство по обработке инцидентов компьютерной безопасности).

Центр Интернет-безопасности (англ. Center for Internet Security, CIS) – американская некоммерческая организация, чья миссия декларируется как «идентифицировать, создавать, проверять, продвигать и поддерживать лучшие практики в области кибер-защиты». Данная организация регулярно публикует стандарты и бенчмарки по информационной безопасности, в том числе и документ «Средства контроля и метрики» («CIS Controls Measures and Metrics» или т.н. «CISTOP-20 Controls»), который включает в себя 20 наиболее эффективных, с точки зрения данной организации, мер защиты от кибер-угроз.

В соответствии с документом NIST 800-53, список направлений деятельности по информационной безопасности выглядит следующим образом:

· Обучение и тренировки персонала

· Оценка безопасности и согласование внесения изменений в системы

· Планирование непрерывности бизнеса

· Идентификация и аутентификация

· Реагирование на инциденты

· Поддержка и техническое обслуживание оборудования

· Защита носителей с данными

· Планирование деятельности по информационной безопасности

· Приобретение систем и сервисов

· Защита систем и коммуникаций

· Целостность систем и информации

Документ «CIS Controls Measures and Metrics» приводит следующий список первоочередных мероприятий по обеспечению информационной безопасности:

· Инвентаризация и контроль аппаратных активов

· Инвентаризация и контроль программных активов

· Непрерывное управление уязвимостями

· Контроль за использованием административных полномочий

· Безопасные настройки для аппаратного и программного обеспечения на мобильных устройствах, ноутбуках, рабочих станциях и серверах

· Обслуживание, мониторинг и анализ журналов событий

· Защита электронной почты и веб-браузеров

· Защита от вредоносного программного обеспечения

· Ограничение и контроль за сетевыми портами, протоколами и сервисами

· Возможности восстановления данных

· Безопасная настройка сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы

· Защита сетевого периметра

· Контролируемый доступ к информации на основании наличия служебной необходимости

· Контроль беспроводных сетей

· Мониторинг и контроль учетных записей

· Внедрение программы повышения осведомленности и подготовки в области информационной безопасности

· Безопасность прикладного программного обеспечения

· Управление и реагирование на инциденты

· Тестирование на проникновение и кибер-учения

Документ NIST 800-61 предлагает рекомендации по реагированию на компьютерные инциденты, среди которых:

· Создание плана и процедур реагирования

· Структура команды реагирования на кибер-инциденты

· Выбор средств мониторинга, хранения, корреляции и анализа журналов событий и инцидентов

· Координация при и после обработки инцидента

· Реагирование на инцидент:

1. обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,

2. анализ инцидента, классификация,

3. сдерживание угрозы для минимизации ущерба от атаки,

4. устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,

5. восстановление после инцидента,

6. улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.

Все три вышеуказанных документа подчеркивают важность автоматизации процессов управления информационной безопасностью, таких как управление информационной безопасностью, активами, инцидентами, уязвимостями, реагирование на инциденты, взаимодействие членов команд реагирования.

· Обучение и тренировки персонала

· Оценка безопасности и согласование внесения изменений в системы

· Планирование непрерывности бизнеса

· Идентификация и аутентификация

· Реагирование на инциденты

· Поддержка и техническое обслуживание оборудования

· Защита носителей с данными

· Планирование деятельности по информационной безопасности

· Приобретение систем и сервисов

· Защита систем и коммуникаций

· Целостность систем и информации

· Инвентаризация и контроль аппаратных активов

· Инвентаризация и контроль программных активов

· Непрерывное управление уязвимостями

· Контроль за использованием административных полномочий

· Обслуживание, мониторинг и анализ журналов событий

· Защита электронной почты и веб-браузеров

· Защита от вредоносного программного обеспечения

· Ограничение и контроль за сетевыми портами, протоколами и сервисами

· Возможности восстановления данных

· Безопасная настройка сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы

· Защита сетевого периметра

· Контролируемый доступ к информации на основании наличия служебной необходимости

· Контроль беспроводных сетей

· Мониторинг и контроль учетных записей

· Внедрение программы повышения осведомленности и подготовки в области информационной безопасности

· Безопасность прикладного программного обеспечения

· Управление и реагирование на инциденты

· Тестирование на проникновение и кибер-учения

Документ NIST 800-61 предлагает рекомендации по реагированию на компьютерные инциденты, среди которых:

· Создание плана и процедур реагирования

· Структура команды реагирования на кибер-инциденты

· Выбор средств мониторинга, хранения, корреляции и анализа журналов событий и инцидентов

· Координация при и после обработки инцидента

· Реагирование на инцидент:

1. обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,

2. анализ инцидента, классификация,

3. сдерживание угрозы для минимизации ущерба от атаки,

4. устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,

5. восстановление после инцидента,

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.

Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.

В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.

Компаниям стоит обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Читайте также: