Еще раз об автоматизации процессов информационной безопасности

Всем привет. В этом посте я хотел бы поделиться своим мнением о важности автоматизации процессов информационной безопасности (далее – ИБ). И это не зависит от отрасли экономики и/или формы собственности предприятия.

Для примера рассмотрим такие процессы ИБ, как управление документацией по ИБ, управление активами, управление уязвимостями, управление аудитами, оценка рисков ИБ.

Не секрет, что для автоматизации этих процессов предназначены решения класса SGRC (Security Governance, Risk, Compliance). Я понимаю, что многие при упоминании SGRC сразу скажут – «дорого» или «в настоящий момент нет необходимости».

Давайте поговорим про «дорого». Мне кажется, что этот аргумент применяется лишь тогда, когда нет желания описывать и внедрять процессы ИБ. На мой взгляд, внедрить SGRC – это, прежде всего, правильно выстроить процессы.

Ранее, в 2022 году, мой коллега писал про данное решение. Мне понравился тезис, прозвучавший тогда в его посте: «SGRC — это не просто качественный продукт — это еще и методология управления информационной безопасностью организации».

Я попробую продемонстрировать эффективность автоматизации указанных выше процессов в простой таблице, содержащей краткое описание выполнения процессов «вручную» и с применением SGRC.

№ п/п

Процесс

Вручную

SGRC (автоматизация)

Ведение документации по ИБ

(Предлагаю представить как этот процесс работает у вас:

где хранятся документы, как обновляются, кто отвечает за их ведение, есть ли график пересмотра документов, кто имеет к ним доступ и т.д.?)

Завести папки с документацией, назначить приказом ответственного, установить график пересмотра (обновления), описать ролевую модель доступа,

вести иерархию документов и их версионность,

наладить контроль за выполнением и т.д.

Вносим документы в систему один раз, далее работаем с ними в едином пространстве, обновляем, корректируем, выставляем временные метки, которые напоминают об обновлении документации.

Управление ИТ-активами

(Без внедренного процесса управления активами нет смысла двигаться дальше по обеспечению ИБ.

Как сегодня работает процесс у вас: знаете ли вы свои активы, как и часто вы обновляете информацию об активах, кто ответственный и как контролируется процесс, и т.д.?).

Необходимо взять ручку, лист бумаги (нет, лучше блокнот, т.к. листа тут не хватит) и пойти с ним ногами по всему предприятию, постепенно описывая оборудование (компьютеры, коммутаторы, телефонию, видеокамеры, физические и виртуальные серверы, системы хранения данных и др.), программное обеспечение. Мы же не можем защищать то, о чем не знаем.

А потом наладить процесс оповещения о появлении новых активов, корректировки списка, контроля за тем, чтобы новые активы не появлялись без согласования и т.д.

Модуль инвентаризации активов позволяет все сделать быстро. Да, сначала придется поработать с информацией по активам – разобраться что это, для чего и откуда. Но это делается один раз, и потом каждая последующая инвентаризация делается с любой заданной периодичностью. Таким образом, вы всегда имеете актуальную информацию об имеющихся активах.

И вишенка на торте: мы можем предоставить ограниченный доступ к данному модулю ИТ-подразделению, для которого информация об активах – возможность эффективнее администрировать их. Коллеги ранее описывали как это делается.

2.1.

Бизнес-процесс – это тоже актив

(Каждый бизнес-процесс предприятия связан с такими активами, как информация, информационные системы, производственные помещения, персонал.

Например:

В бизнес-процессе «Организация бухгалтерского учета» задействован главный бухгалтер, процесс реализуется с использованием такого-то сервера, такой-то базы данных, программного обеспечения и т.д.).

Описать каждый бизнес-процесс в привязке к оборудованию, программному обеспечению, базам данных, пользователям, помещениям и т.д., а далее контролировать и вносить изменения по мере их поступления.

С помощью SGRC мы автоматизируем эти операции, храним результаты в одном месте и, при необходимости, используем их в ходе реагирования на инциденты и расследования их причин.

Усложним задачу управления активами – предположим, что активы рассредоточены по филиалам предприятия.

Как в этом случае разнести всю информацию об активах в привязке к управляющей компании, филиалам (т.е. на плане помещений нанести информацию по оборудованию: например, в помещении таком-то под потолком коммутатор, в таком-то помещении серверная, на 3 этаже ядро сети, в помещении 203 критически важные АРМ).

Необходимо взять лист бумаги (или не один лист), нанести на него план помещений, к помещениям привязать оборудование.

А когда что-то изменится, перечертить нужные листы схемы, иначе она станет неактуальной.

Решение позволяет имплементировать имеющуюся схему помещений и связать с ними оборудование.

Далее появление (перемещение) активов будет автоматически отображаться на схеме.

Поверьте — очень помогает при реагировании на инциденты ИБ, особенно когда счет идет на минуты.

Управление уязвимостями

Сразу ко всем вопрос: «Коллеги, а как у вас выстроен процесс управления уязвимостями»?

Или мой любимый вопрос: «Кто принимает на себя риск, если по объективным причинам нет возможности устранить уязвимость, но обойтись без использования уязвимого программного обеспечения нельзя?»

Необходимо выгрузить, полученные результаты сканирования, ранжировать уязвимости по критичности (да, коллеги, кто, как не мы в подразделении ИБ можем ответить на вопрос о критичности?), затем необходимо согласовать со службой ИТ возможности и сроки устранения, и, составив некий перечень, решить с руководством принять или не принять эти риски (руководство должно быть в курсе – не держите риски при себе). При принятии рисков – не забыть разработать и утвердить план компенсирующих мер. Затем, через некоторое время повторить сканирование, опять получить данные об уязвимостях. Таким образом, у вас появится история, контроль устранения по срокам и т.д.

Решение полностью автоматизирует процесс управления уязвимостями. После инвентаризации активов привязываем ту или иную уязвимость к определенному активу, что позволяет нам контролировать на каком активе уязвимость, критичность того или иного актива, и сделать правильный вывод по ранжированию критичности при устранении уязвимостей.

Далее отправляем руководителю прямо в решении уведомление о принятии рисков в рамках устранения уязвимостей. Таким образом, все хранится в системе, и риски мы принимаем не на словах.

Позже эти данные можно использовать при оценке рисков.

Процесс управления аудитами информационной безопасности

Все мы знаем, что аудит ИБ необходимо проходить не реже 1 раза в год, лучше чаще. Требования Приказа № 66 никто не отменял.

Для проведения аудитов ИБ вам потребуется определить область проведения аудита, а также требования, на соответствие которым проводится аудит. После этого необходимо спланировать сроки проведения аудита (дата начала и ориентировочный срок завершения), сформировать команду аудита (при этом, помимо аудитора, в команду необходимо включить и владельцев активов, для которых проводится аудит), а также определить этапы проведения аудита (на каком этапе запрашивают подтверждения, к примеру, ЛПА, выполнения различных требований, на каком этапе осуществляется их анализ, сколько времени отводится на устранение некритичных замечаний и т.д.).

Далее проводится сам аудит. Как показывает практика, в ходе проведения аудита запрашивается большой объем данных для анализа и эти данные нужно корректно хранить. Итоговый срок проведения аудита зависит от области аудита и требований, на соответствие которым проводится аудит.

SGRC позволяет автоматизировать каждый из этапов проведения аудита.

В SGRC, как правило, уже предустановлены некоторые требования для проведения проверок на соответствие. Перечень требований можно без проблем расширить.

Также SGRC позволяет автоматизировать процесс управления активами, что в свою очередь позволяет без проблем определить область аудита и связать ее с конкретными требованиями.

Планирование сроков, формирование команды с предоставлением доступа к конкретным этапам аудита – базовый механизм SGRC для проведения аудита.

Также SGRC позволяет консолидировать в едином месте все подтверждения того, что требования аудита выполняются, что существенно облегчает работу аудитора. Также благодаря автоматизации процесса управления активами – аудитор сможет качественно оценить требования по выполнению не только организационных, но и технически мер.

Ну и в завершении аудита SGRC не позволит забыть о нем до момента проведения следующего аудита. SGRC обеспечит возможность в течение всего срока до наступления следующие аудита постоянно обновлять (актуализировать) все подтверждение выполнения требований, которые были предоставлены в рамках аудита, что позволит при наступлении следующего аудита – существенно сэкономить время для сбора этих подтверждений (они и так уже собраны).

Процесс оценки рисков ИБ

Я убежден в том, что процесс оценки рисков – это один из важнейших процессов ИБ.

В нем ключ к минимизации финансовых и репутационных потерь, а также к формированию эффективной стратегии защиты, оптимизации инвестиций в ИБ и повышению уровня киберустойчивости.

Оценка рисков ИБ – это регулярный процесс, который следует проводить не реже одного раза в год!

Для оценки рисков ИБ вам потребуется утвердить методику оценки, сформировать команду, определить область оценки, а также определить сроки оценки рисков. После этого вы сможете приступить непосредственно к оценке. Мой коллега уже писал о том, что процесс оценки рисков не только ответственный, но и достаточно трудоемкий.

SGRC позволяет автоматизировать каждый из этапов процесса оценки рисков ИБ.

В SGRC, как правило, уже предустановлены некоторые методики (кроме того, есть возможность добавить свою методику).

Далее, результаты процесса управления активами позволяют SGRC без проблем определить область оценки рисков.

Применяемая в SGRC ролевая модель доступа позволяет формировать команду и назначать экспертов в рамках процедуры оценки рисков ИБ.

И, наконец, SGRC позволяет формировать план оценки рисков с возможностью в каждой новой оценке учитывать результаты предыдущих.

Наш практический опыт показал, что применение SGRC в разы ускоряет оценку рисков ИБ наряду с высоким качеством.

Итак, как мы с вами убедились, все упомянутые выше процессы можно выполнять вручную.

Но давайте будем честны перед собой: вы действительно уверены, что сможете вручную выполнять их за приемлемое время и с приемлемым для последующего использования качеством?

224

О компании

Пресс-центр

Блоги

Услуги и Решения

Контакты

ООО «МультиТек Инжиниринг»