Центр кибербезопасности. От проектирования до эксплуатации. Часть 3. Эксплуатация

В прошлых постах (пост 1 и пост 2) мы поделились опытом проектирования и создания Центра кибербезопасности (далее – ЦКБ). Сегодня остановимся на этапе эксплуатации ЦКБ.

На этом этапе продолжаются работы по отладке существующих и внедрению новых процессов, масштабированию ЦКБ, выполняются работы по подготовке объектов информационной инфраструктуры (далее – ОИИ) для постановки на мониторинг и др.

При этом персонал ЦКБ работает самостоятельно, а интегратор, который проектировал и помогал создавать ЦБК, переходит в режим консультирования по вопросам функционирования ЦКБ и оказания 1-й линии технической поддержки внедренных компонентов.

Именно сейчас персонал должен раскрыть свой потенциал для качественного оказания услуг и дальнейшего развития ЦКБ.

Для достижения этой цели руководитель ЦКБ обеспечивает:

• регулярное обучение персонала, позволяющее быть в курсе актуальных угроз и технологий, совершенствовать навыки обнаружения и реагирования на инциденты;
• создание необходимого для непрерывной работы ЦКБ резерва специалистов;
• проведение регулярных учений, направленных на совершенствование боевого слаживания при различных сценариях развития атак;
• периодическую ротацию персонала, что позволит не только обеспечить постоянный интерес сотрудника к работе, но и предотвратит профессиональное выгорание.

Мы считаем, что на этапе эксплуатации особое место должно быть отведено процессам управления активами, управления уязвимостями и инцидент-менеджменту.

Именно эти процессы, в первую очередь, следует адаптировать под потребности ЦКБ, оказывающего услуги. Новые же процессы должны внедряться по мере необходимости и роста зрелости ЦКБ. При этом следует руководствоваться единственным критерием – эффективность работы ЦКБ.

Масштабирование ЦКБ является одним из таких процессов, поскольку напрямую влияет на эффективность работы ЦКБ. Важнейшие процедуры этого процесса: постоянный мониторинг загруженности оборудования, планирование и закрытие потребностей в расширении лицензий программного обеспечения и оборудования, планирование и закрытие потребностей в дополнительном персонале.

Одним из самых трудоемких этапов в процессе эксплуатации ЦКБ является подключение ОИИ на мониторинг (особенно, если этот этап выполнятся впервые).

Подключение можно разделить на следующие этапы:

• аудит (анализ готовности ОИИ к постановке на мониторинг);
• техническое подключение;
• мониторинг.

Для обеспечения качественного (и приемлемого по срокам) выполнения аудита, ЦКБ должен разработать подробную методику. При этом необходимо предусмотреть два варианта аудита: первый – для ОИИ, где не обрабатывается информация ограниченного распространения (аудит проводится на соответствие требованиям приложения 4 к приказу Оперативно-аналитического центра при Президенте Республики Беларусь от 25 июля 2023 № 130), второй – для ОИИ, где обрабатывается информация ограниченного распространения (аудит проводится на соответствие требованиям, отраженным в приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 № 66). Методика затрагивает как организационные, так и технические вопросы.

На основании проведенного аудита готовится заключение о готовности ОИИ для постановки на мониторинг или замечания, которые необходимо устранить, а также рекомендации по их устранению.

Этап технического подключения включает следующие работы:

• разработка схемы сетевого взаимодействия ОИИ с ЦКБ;
• разработка инструкций по настройке источников событий информационной безопасности (далее – ИБ);
• подключение источников событий ИБ;
• разработка правил нормализации;
• разработка правил корреляции для детектирования киберинцидентов;
• разработка регламента обеспечения кибербезопасности ОИИ;
• разработка плана мероприятий по реагированию на киберинциденты с привлечением администраторов ОИИ;
• разработка сценариев реагирования на киберинциденты;
• выстраивание взаимоотношений между специалистами ЦКБ и администраторами ОИИ.

Далее, собственно, сам мониторинг кибербезопасности ОИИ, который помимо выявления и реагирования на киберинциденты подразумевает подготовку ежегодных отчетов о состоянии кибербезопасности, а также практическую помощь в организации и проведении учений по действиям при возникновении киберинцидентов на ОИИ и проведения работ по оценке степени защищенности.

В процессе мониторинга необходимо поддерживать в актуальном состоянии и при необходимости проводить регулярное обновление планов реагирования на киберинциденты с учетом новых угроз и уязвимостей, которые присущи каждому конкретному ОИИ.

В завершение хотели бы остановиться на еще одном процессе, который должен быть внедрен в ЦКБ – это процесс оценки эффективности.

Метрики эффективности ЦКБ помогают оценить, насколько успешно он справляется с задачами по выявлению и реагированию на угрозы. Исходя из нашего опыта, полезно установить (и обеспечить мониторинг) следующие ключевые показатели эффективности (KPI) для оценки работы ЦКБ и выявления областей для улучшения:|

• среднее время, необходимое для обнаружения инцидента с момента его возникновения (сокращение этого времени позволяет быстрее реагировать на угрозы и минимизировать ущерб);
• время реагирования (служит для оптимизации процессов реагирования для быстрого устранения угроз);
• количество инцидентов на единицу пользователей (показатель, который помогает оценить общее количество инцидентов в зависимости от числа пользователей);
• процент ложных срабатываний (снижение этого показателя свидетельствует о повышении качества настройки мониторинга киберинцидентов).

Вышеприведенный перечень метрик не исчерпывающий, но в нем, на наш взгляд, обозначены важные метрики.

Путь от проектирования до эксплуатации ЦКБ достаточно сложный и трудоемкий, требует немало финансовых, временных и человеческих ресурсов. Но качественное выполнение этой работы позволит не только повысить киберустойчивость организации (предприятия), выбравшей этот путь, но и внести свой вклад в обеспечение защиты национальной информационной инфраструктуры от внешних и внутренних угроз.

Мы уверены, что каждая организация, которая пошла по пути построения ЦКБ и действовала при этом системно и целеустремленно, достойно пройдет этот путь и в качестве награды получит эффективный ЦКБ.