Центр кибербезопасности. От проектирования до эксплуатации. Часть 2. Создание

В прошлом посте мы поделились опытом проектирования Центра кибербезопасности (далее – ЦКБ), сегодня подробно остановимся на этапе создания ЦКБ. Этот этап является одним из самых трудоемких и продолжительных на пути к аттестации ЦКБ.

Этап создания ЦКБ включает несколько подэтапов:

• создание информационной системы (далее – ИС) ЦКБ;
• проектирование, создание и аттестация системы защиты информации (далее – СЗИ) ИС ЦКБ;
• аттестация ЦКБ.

Сразу оговоримся, что речь идет о нашей услуге, которая на договорных условиях оказывается организации, принявшей решение создать ЦКБ.

Мы специально акцентируем внимание на данном обстоятельстве, поскольку создание ЦКБ с привлечением сторонней компании привносит одну важную особенность – размытость ответственности. С одной стороны, задачу создания ЦКБ должен решить владелец, с другой – компания, являющаяся исполнителем по договору.

При этом создание ЦКБ – это не столько внедрение необходимого оборудования и требуемого программного обеспечения, сколько подготовка персонала ЦКБ к выполнению задач, стоящих перед ЦКБ. Таким образом, первое, о чем должен задуматься исполнитель, — как создать единую команду внедрения, состоящую из персонала ЦКБ, специалистов исполнителя, и мотивированную на решение поставленной задачи.

Создание ИС ЦКБ включает целый ряд работ, а именно:

• создание и настройка ИТ-инфраструктуры (включая серверную, сетевую, автоматизированных рабочих мест (далее – АРМ)) и обеспечение мониторинга;
• внедрение и настройка компонентов ИС ЦКБ согласно пункту 1.1 Приложения 2 к приказу Оперативно-аналитического центра при Президенте Республики Беларусь от 25.07.2023 № 130 (далее – Приказ № 130);
• автоматизация процессов ЦКБ;
• настройка резервного копирования информации в ИС;
• доработка и отладка организационно-распорядительных документов, положений, регламентов, инструкций;
• обучение персонала.

Вторая, не менее важная, задача, которую должен решить исполнитель, — как максимально эффективно уложиться в отведенное на создание ЦКБ время. Дело в том, что для выполнения указанных выше работ требуется не менее 10 месяцев – примерно 4 месяца, чтобы создать ЦКБ «на живую нитку», еще 6 – на донастройку компонентов, выработку необходимых навыков персонала и тренировку слаженных действий.

Для этого мы начинаем создание ЦКБ с построения прототипа ИС ЦКБ. Прототип представляет собой модель ЦКБ, включающую только необходимые компоненты с ограниченным набором параметров настройки. При таком подходе от заказчика требуется выделение относительно небольших вычислительных ресурсов, и создание прототипа можно осуществлять на тестовых лицензиях программных компонентов.

Таким образом, команда внедрения работает над созданием прототипа, а параллельно заказчик проводит процедуры закупки предусмотренных проектом программного обеспечения и оборудования, необходимых для создания ИС ЦКБ.

В соответствии с нашей методикой создание прототипа начинается с построения технологического ядра ИС ЦКБ – связки решений класса SIEM и SOAR. При настройке указанных компонентов создаются необходимые правила корреляции, разрабатываются сценарии реагирования, внедряются и автоматизируются соответствующие процессы ЦКБ.

Уже на стадии создания прототипа начинается обучение персонала ЦКБ  (о наборе персонала см. в прошлом посте). В процессе настройки компонентов ЦКБ проводятся как практические, так и теоретические занятия, после которых мы тестируем знания и готовность персонала к работе. Обучение проводится в ходе выполнения всех работ по созданию ИС ЦКБ. При этом упор делается на постепенное вырабатывание практических навыков, освоение смежных функций (для обеспечения возможностей резервирования ролей персонала), боевое слаживание.

После создания технологического ядра в состав прототипа включаются сканер, «песочница», TI-платформа и ведется отладка процессов ЦКБ, автоматизированных посредством данных компонентов.

Далее прототип переносится на закупленное и установленное оборудование. По нашему опыту, использование прототипирования позволяет сократить сроки создания ЦКБ, в том числе повысить эффективность персонала путем его раннего вовлечения в процессы ЦКБ.

При создании ЦКБ необходимо обратить внимание на настройку протоколирования (логирования) объектов ИС ЦКБ в точном соответствии с приложением «Перечень типов и записей событий информационной безопасности» к Положению о порядке информационного взаимодействия элементов национальной системы обеспечения кибербезопасности, утвержденному Приказом № 130.

При внедрении каждого компонента разрабатывается эксплуатационная документация, проводятся приемо-сдаточные испытания по программе и методике испытаний, разработанной при проектировании ЦКБ, обучение, тестирование знаний и навыков персонала эксплуатации, опытная эксплуатация созданной на базе компонента автоматизированной системы.

Параллельно с работами по внедрению компонентов ЦКБ ведутся работы по совершенствованию ЦКБ как организационной единицы, при необходимости уточняются должностные инструкции, отлаживаются процессы, решаются организационные вопросы, совершенствуются локальные правовые акты.

На стадии переноса прототипа в продуктивный контур параллельно начинаются работы по проектированию, созданию и аттестации СЗИ ИС ЦКБ (см.  «Наши подходы к проектированию системы защиты информации», «Наши подходы к созданию системы защиты информации»).

Для отладки процессов сбора событий информационной безопасности и выявления киберинцидентов необходимо настроить мониторинг ИС ЦКБ как ОИИ.

Хотел бы также обратить внимание на следующие важные моменты создания ИС ЦКБ:

• при создании инфраструктуры ЦКБ необходимо поддерживать в актуальном состоянии сетевые схемы ИС ЦКБ, а также выполнить маркировку физических линков серверного и сетевого оборудования;
• документ, содержащий порядок эксплуатации технических средств ИС ЦКБ, должен включать описание порядка внесения изменений в конфигурационные файлы, выполнения обновлений и резервирования;
• документ, описывающий порядок обеспечения отказоустойчивого и бесперебойного функционирования ЦКБ, должен содержать описание действий персонала при возникновении нештатных ситуаций;
• сценарии реагирования на киберинциденты высокого уровня должны содержать подробное описание порядка и набора команд, выполняемых на этапах расследования киберинцидента;
• резервные копии компонентов ИС ЦКБ должны быть проверены на предмет восстановления;
• необходимо настроить NTP для всех объектов ИС ЦКБ в соответствии со схемой;
• необходимо проверить работу ИС ЦКБ в отказоустойчивом режиме (в частности, провести тестирование каждого кластерного объекта, функционирующего в ИС; например, обесточить один из серверов, коммутаторов или межсетевого экрана, имитировать выход из строя блока питания или сетевой карты и т.д.).

Кроме того, на этапе создания ИС ЦКБ проверяются на практике проектные решения по ЦКБ и, при необходимости, корректируется проект ЦКБ.

После того, как выполнены все требования Приказа № 130, необходимо перейти к следующей стадии подготовки персонала ЦКБ, уделив внимание таким моментам, как:

• знание оборудования и программного обеспечения (принципы и режимы функционирования, порядок эксплуатации, виды и регламенты обслуживания, порядок контроля и восстановления работоспособности) в зоне обслуживания;
• работа в зоне обслуживания и в команде ЦКБ при реагировании на киберинциденты;
• точное выполнение требований эксплуатационной документации, локальных правовых актов, регламентирующих процессы ЦКБ, инструкций.

После создания ИС ЦКБ заказчик получает возможность в установленном порядке подать заявление на проведение аттестации ЦКБ.

После прохождения аттестации ЦКБ персонал должен продолжать работы по повышению эффективности ИС ЦКБ (разработка (доработка) правил корреляции, совершенствование регламентов, повышение квалификации и т.д.), а исполнитель переходит в режим оказания 1-й линии технической поддержки внедренных компонентов и консультирования по вопросам их функционирования. Но об этом в следующем посте.