Центр кибербезопасностиImage by vectorjuice on Freepik
Захаренков Александр

Центр кибербезопасности. От проектирования до эксплуатации. Часть 3. Эксплуатация

/в / ,

В прошлых постах (пост 1 и пост 2) мы поделились опытом проектирования и создания Центра кибербезопасности (далее – ЦКБ). Сегодня остановимся на этапе эксплуатации ЦКБ.

На этом этапе продолжаются работы по отладке существующих и внедрению новых процессов, масштабированию ЦКБ, выполняются работы по подготовке объектов информационной инфраструктуры (далее – ОИИ) для постановки на мониторинг и др.

При этом персонал ЦКБ работает самостоятельно, а интегратор, который проектировал и помогал создавать ЦБК, переходит в режим консультирования по вопросам функционирования ЦКБ и оказания 1-й линии технической поддержки внедренных компонентов.

Именно сейчас персонал должен раскрыть свой потенциал для качественного оказания услуг и дальнейшего развития ЦКБ.

Для достижения этой цели руководитель ЦКБ обеспечивает:

  • регулярное обучение персонала, позволяющее быть в курсе актуальных угроз и технологий, совершенствовать навыки обнаружения и реагирования на инциденты;
  • создание необходимого для непрерывной работы ЦКБ резерва специалистов;
  • проведение регулярных учений, направленных на совершенствование боевого слаживания при различных сценариях развития атак;
  • периодическую ротацию персонала, что позволит не только обеспечить постоянный интерес сотрудника к работе, но и предотвратит профессиональное выгорание.

Мы считаем, что на этапе эксплуатации особое место должно быть отведено процессам управления активами, управления уязвимостями и инцидент-менеджменту.

Именно эти процессы, в первую очередь, следует адаптировать под потребности ЦКБ, оказывающего услуги. Новые же процессы должны внедряться по мере необходимости и роста зрелости ЦКБ. При этом следует руководствоваться единственным критерием – эффективность работы ЦКБ.

Масштабирование ЦКБ является одним из таких процессов, поскольку напрямую влияет на эффективность работы ЦКБ. Важнейшие процедуры этого процесса: постоянный мониторинг загруженности оборудования, планирование и закрытие потребностей в расширении лицензий программного обеспечения и оборудования, планирование и закрытие потребностей в дополнительном персонале.

Одним из самых трудоемких этапов в процессе эксплуатации ЦКБ является подключение ОИИ на мониторинг (особенно, если этот этап выполнятся впервые).

Подключение можно разделить на следующие этапы:

  • аудит (анализ готовности ОИИ к постановке на мониторинг);
  • техническое подключение;
  • мониторинг.

Для обеспечения качественного (и приемлемого по срокам) выполнения аудита, ЦКБ должен разработать подробную методику. При этом необходимо предусмотреть два варианта аудита: первый – для ОИИ, где не обрабатывается информация ограниченного распространения (аудит проводится на соответствие требованиям приложения 4 к приказу Оперативно-аналитического центра при Президенте Республики Беларусь от 25 июля 2023 № 130), второй – для ОИИ, где обрабатывается информация ограниченного распространения (аудит проводится на соответствие требованиям, отраженным в приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 № 66). Методика затрагивает как организационные, так и технические вопросы.

На основании проведенного аудита готовится заключение о готовности ОИИ для постановки на мониторинг или замечания, которые необходимо устранить, а также рекомендации по их устранению.

Этап технического подключения включает следующие работы:

  • разработка схемы сетевого взаимодействия ОИИ с ЦКБ;
  • разработка инструкций по настройке источников событий информационной безопасности (далее – ИБ);
  • подключение источников событий ИБ;
  • разработка правил нормализации;
  • разработка правил корреляции для детектирования киберинцидентов;
  • разработка регламента обеспечения кибербезопасности ОИИ;
  • разработка плана мероприятий по реагированию на киберинциденты с привлечением администраторов ОИИ;
  • разработка сценариев реагирования на киберинциденты;
  • выстраивание взаимоотношений между специалистами ЦКБ и администраторами ОИИ.

Далее, собственно, сам мониторинг кибербезопасности ОИИ, который помимо выявления и реагирования на киберинциденты подразумевает подготовку ежегодных отчетов о состоянии кибербезопасности, а также практическую помощь в организации и проведении учений по действиям при возникновении киберинцидентов на ОИИ и проведения работ по оценке степени защищенности.

В процессе мониторинга необходимо поддерживать в актуальном состоянии и при необходимости проводить регулярное обновление планов реагирования на киберинциденты с учетом новых угроз и уязвимостей, которые присущи каждому конкретному ОИИ.

В завершение хотели бы остановиться на еще одном процессе, который должен быть внедрен в ЦКБ – это процесс оценки эффективности.

Метрики эффективности ЦКБ помогают оценить, насколько успешно он справляется с задачами по выявлению и реагированию на угрозы. Исходя из нашего опыта, полезно установить (и обеспечить мониторинг) следующие ключевые показатели эффективности (KPI) для оценки работы ЦКБ и выявления областей для улучшения:|

  • среднее время, необходимое для обнаружения инцидента с момента его возникновения (сокращение этого времени позволяет быстрее реагировать на угрозы и минимизировать ущерб);
  • время реагирования (служит для оптимизации процессов реагирования для быстрого устранения угроз);
  • количество инцидентов на единицу пользователей (показатель, который помогает оценить общее количество инцидентов в зависимости от числа пользователей);
  • процент ложных срабатываний (снижение этого показателя свидетельствует о повышении качества настройки мониторинга киберинцидентов).

Вышеприведенный перечень метрик не исчерпывающий, но в нем, на наш взгляд, обозначены важные метрики.

Путь от проектирования до эксплуатации ЦКБ достаточно сложный и трудоемкий, требует немало финансовых, временных и человеческих ресурсов. Но качественное выполнение этой работы позволит не только повысить киберустойчивость организации (предприятия), выбравшей этот путь, но и внести свой вклад в обеспечение защиты национальной информационной инфраструктуры от внешних и внутренних угроз.

Мы уверены, что каждая организация, которая пошла по пути построения ЦКБ и действовала при этом системно и целеустремленно, достойно пройдет этот путь и в качестве награды получит эффективный ЦКБ.

97
Школьникам о профессии специалиста по ки...Школьникам о профессии специалиста по кибербезопасностиС праздником 8 мартаС Праздником 8 марта!