Центр кибербезопасности. От проектирования до эксплуатации. Часть 1. Проектирование
Этот пост является первым из трех, посвященных созданию центра кибербезопасности (далее – ЦКБ). Все, чем мы поделимся, основано на нашем практическом опыте оказания услуги по созданию ЦКБ.
Но сначала о том, почему мы были уверены, что справимся с задачей создания ЦКБ.
Дело в том, что программные компоненты ЦКБ, требуемые Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 25.0.2023 № 130 (далее – Приказ № 130), внедрялись нами у разных заказчиков в течение четырех лет. В ходе внедрения каждого компонента разрабатывались документы технического проекта (пояснительная записка с описанием основных параметров создаваемой системы, программа и методика испытаний), эксплуатационная документация, проводилось обучение персонала эксплуатации.
Внедрение велось в соответствии с канонами дизайн-мышления: создавался и совершенствовался прототип системы, затем внедрялась продуктивная система, в ходе эксплуатации с нашей технической поддержкой система совершенствовалась и, в соответствии с разработанной дорожной картой, масштабировалась.
И всякий раз мы ставили перед собой задачу обеспечить баланс между ожиданиями заказчика, технической осуществимостью задуманного и эффективностью создаваемой системы.
Нам представляется, что накопленный опыт будет полезен специалистам и руководителям подразделений безопасности организаций, которые планируют пойти по пути создания ЦКБ.
Все начинается с проектирования, затем следуют этапы создания и эксплуатации ЦКБ.
От этапа проектирования в значительной степени зависит объем (и эффективность использования) денежных средств, времени и усилий, которые потребуются на создание ЦКБ. Скажем больше – если в ходе создания или последующей эксплуатации ЦКБ что-то пойдет не так, причины следует искать в недостаточно проработанных проектных решениях.
В этом посте мы затронем несколько важных, на наш взгляд, моментов, на которые необходимо обратить внимание при проектировании ЦКБ.
Проект ЦКБ должен содержать описание целей и задач создания ЦКБ (для чего?), описание модели ЦКБ (что мы хотим создать?), решений по организационной структуре и персоналу, процессам, выбору программных и технических компонентов, требований к составу и содержанию документации, дорожной карты создания (как?), описание возможностей масштабирования (куда?).
Исходя из нашего опыта, в ходе проектирования необходимо тщательно проработать следующие вопросы:
- создание ЦКБ как организационной единицы;
- формирование команды ЦКБ, распределение ролей между членами команды, планирование их обучения;
- разработка организационно-распорядительных документов ЦКБ;
- разработка процессов ЦКБ, порядок их внедрения;
- выбор программного обеспечения и аппаратных компонентов;
- проектирование и создание информационной системы (далее — ИС) ЦКБ, автоматизация процессов;
- разработка эксплуатационной документации;
- обучение персонала эксплуатации;
- календарный план работ по созданию ЦКБ.
Приказ № 130 содержит требования к типовой структуре ЦКБ, функциям подразделений ЦКБ, функциям персонала и его квалификации. В ходе проектирования организационной структуры ЦКБ необходимо определить место ЦКБ в структуре организации, наименования структурных подразделений (отдел, сектор, группа и т.д.) ЦКБ и должностей персонала в соответствии с принятой в организации системе наименований.
Организационная структура и штатное расписание ЦКБ должны разрабатываться с учетом того, что ЦКБ должен выполнять свои функции в режиме 24х7.
Почему вопросы, связанные с персоналом ЦКБ, необходимо на этапе проектирования решать в первую очередь? Дело в том, что чем раньше мы наберем персонал (а этот процесс в условиях недостатка кадров в области защиты информации может занять значительное время), тем быстрее он включится в работу по созданию ЦКБ и в ходе этой работы получит возможность повышать свои компетенции и совершенствовать слаженность действий. Кроме того, персоналу необходимо пройти в установленном порядке переподготовку или повышение квалификации по вопросам кибербезопасности.
К задачам, в решении которых может и должен принимать участие персонал ЦКБ, относятся следующие: разработка документации, процессов, приобретение навыков работы с компонентами ИС ЦКБ. При этом задачи подразделений ЦКБ, описанные в проекте, должны быть учтены при разработке должностных инструкций персонала.
Что касается проектирования процессов ЦКБ, то необходимо придерживаться правила «Лучше меньше, но лучше». В соответствии с этим правилом мы рекомендуем ограничиться в проекте не более десятью тщательно разработанными процессами. Остальные процессы (а их по разным источникам несколько десятков) можно будет разрабатывать и внедрять по мере необходимости в ходе эксплуатации ЦКБ.
При проектировании архитектуры программного обеспечения (далее – ПО) и комплекса технических средств (далее – КТС) ИС ЦКБ необходимо руководствоваться требованиями Приказа № 130 и учитывать тип ЦКБ (корпоративный, отраслевой, коммерческий).
Автоматизация процессов ЦКБ должна производиться с использованием обязательных средств, определенных в Приказе № 130. Для каждого требуемого средства в проекте выбирается конкретное решение. Выбор решения осуществляется на основании обоснованных критериев. Например, при выборе решения для реализации такого ключевого компонента ИС ЦКБ, как система сбора и обработки событий информационной безопасности (SIEM), мы руководствуемся девятью критериями.
Кроме того, для автоматизации процессов ЦКБ потребуются (и поэтому должны быть предусмотрены проектом) компоненты, позволяющие обеспечить взаимодействие ЦКБ с объектами информационной инфраструктуры, Национальным центром кибербезопасности и реагирования на киберинциденты и др.
Для каждого программного решения должны быть определены требования к вычислительным ресурсам, а для лицензионного ПО дополнительно — вид и количество лицензий, срок действия технической поддержки.
При проектировании архитектуры КТС мы, по возможности, стремимся логически и физически отделить его от ИТ-инфраструктуры организации. В проекте КТС определяется состав, спецификация и места размещения технических средств, порядок обеспечения отказоустойчивости, способы и методы резервирования, объем и номенклатура ЗИП и др.
В проекте должны быть определены требования к составу и содержанию эксплуатационной документации, обучению персонала эксплуатации. Кроме того, разрабатывается подробный план создания прототипа ИС ЦКБ и его расширения до целевой модели, проектирования, создания и аттестации системы защиты информации ИС ЦКБ, масштабирования ИС ЦКБ. План должен содержать не только наименование и сроки выполнения этапов и работ, но и краткое содержание этапов и работ, а также описание их измеримых результатов и способов проверки.
Этап проектирования ЦКБ занимает 45-50 рабочих дней.
Разумеется, в коротком посте невозможно уделить внимание всем аспектам проектирования ЦКБ, которые отражены в нашей корпоративной методике. Здесь же мы ставили перед собой цель обратить внимание на необходимость и важность этапа проектирования.
После утверждения проекта можно переходить к этапу создания ЦКБ, которому мы посвятим следующий пост.