Как мы внедряем SGRC
Этот пост является продолжением двух предыдущих постов об оценке рисков информационной безопасности (https://mte-cyber.by/mte-blog/information-security-risk-assessment-algorithm/, https://mte-cyber.by/mte-blog/is-risk-assessment/) и посвящен подходам нашей компании к созданию автоматизированных систем управления активами, уязвимостями, аудитами и оценки рисков информационной безопасности (ИБ).
В процессе создания любой автоматизированной системы важную роль играет платформа, на которой она создается. При автоматизации таких процессов ИБ, как управление активами, уязвимостями, аудитами и оценка рисков ИБ, в качестве платформы мы используем решение R-Vision Security Governance, Risk & Compliance (SGRC), построенное на базе процессного подхода к обеспечению ИБ.
Далее для краткости автоматизированную систему, созданную на платформе R-Vision SGRC, будем называть SGRC.
При этом, опираясь на наш практический опыт, хочу поделиться несколькими наблюдениями.
Какой бы крутой не была платформа, самую важную роль в процессе внедрения, эксплуатации и сопровождения SGRC играют люди.
Именно поэтому внедрение SGRC мы начинаем с формирования команды, в состав которой входят как наши специалисты, так и специалисты Заказчика. Мы рекомендуем включать в команду внедрения не менее двух специалистов Заказчика, чтобы они могли при необходимости (отпуск, болезнь, другие обстоятельства) страховать друг друга. И с первых шагов проектирования и создания автоматизированной системы мы ведем обучение специалистов Заказчика, чтобы поделиться с ними знаниями и привить навыки эффективной эксплуатации.
Без участия специалистов Заказчика, их знаний, понимания функционирующих бизнес-процессов и особенностей ИТ-инфраструктуры внедрение и создание автоматизированных систем невозможно и нецелесообразно.
Основная задача этапа проектирования системы – разработка следующих документов:
- «Техническое задание», в котором определяются требования к функциям, порядок и сроки создания системы;
- «Пояснительная записка к техническому проекту», в котором определяются ресурсы, необходимые для функционирования системы, перечень интеграций, описание реализации основных функций системы;
- «Программа и методика испытаний», в котором определены способы и приемы проверки соответствия системы требованиям документа «Техническое задание».
Следующий этап внедрения SGRC – этап создания. На данном этапе мы решаем следующие ключевые задачи:
- Автоматизация процесса управления активами;
- Автоматизация процесса управления уязвимостями;
- Автоматизация процесса управления аудитами;
- Автоматизация процесса оценки рисков ИБ.
Кратко остановлюсь на каждой из названных задач.
Автоматизация процесса управления активами
SGRC предоставляет широкий перечень механизмов по автоматизации процесса управления активами. На этапе создания команде внедрения остается настроить и адаптировать SGRC под ИТ-инфраструктуру и бизнес-процессы Заказчика.
На практике для автоматизации процесса управления активами мы всегда выполняем следующие работы по настройке SGRC:
- Настройка ролевой модели доступа;
- Получение сведений по ИТ-активам (инвентаризация ИТ-инфраструктуры);
- Определение и настройка состава и содержания полей описания активов;
- Описание бизнес-процессов, информационных систем Заказчика и информации, которая ими обрабатывается;
- Определение ценности (критичности) активов;
- «Качественное» управление данными об активах – настройка политик инвентаризации, контроль доступа, группировка программного обеспечения (ПО) по перечням запрещенного и разрешенного ПО, контроль жизненного цикла активов, актуализация сведений по активам во внешних системах, разработка скриптов для сбора дополнительных сведений по активам, контроль учетных записей, служб, вычислительных ресурсов и др.;
- Подготовка отчетных форм, графиков и дашбордов.
Более подробно процесс управления активами описан мною в следующих постах: Об управлении активами, Инвентаризация активов с помощью R-Vision, Продолжаем качественно управлять активами.
Автоматизация процесса управления уязвимостями
Процесс управления уязвимостями неразрывно связан и является логическим продолжением процесса управления активами, т.к. без понимания области защиты выстроить эффективный процесс управления уязвимостями практически невозможно.
Результаты инвентаризации – это исходные данные для процесса управления уязвимостями.
На практике для автоматизации процесса управления уязвимостями мы всегда выполняем следующие работы по настройке SGRC:
- Настройка ролевой модели доступа;
- Получение сведений по уязвимостям посредством интеграции с внешними системами и сервисами, основное назначение которых – обнаружение уязвимостей;
- Приоритизация уязвимостей посредством настройки формулы расчета общего рейтинга уязвимости. Наш практический опыт показал, что при определении общего рейтинга уязвимостей помимо типовых оценок CVSS необходимо учитывать и другие переменные – ценность (критичность) актива, доступность актива, наличие эксплойта, данные о том, является ли актив частью сегмента КВОИ, сведения по дефектам ПО и др. Расчет общего рейтинга уязвимостей с учетом вышеописанных переменных позволяет более точно определить порядок устранения уязвимостей с целью недопущения реализации инцидентов ИБ;
- Постановка задач на ответственных специалистов по устранению уязвимостей и контроль сроков выполнения задач;
- Подготовка отчетных форм, графиков и дашбордов.
Практика показывает, что по объективным причинам не всегда удается выполнить мероприятия по устранению уязвимостей.
Пример. Уязвимость связана с операционной системой, под управлением которой функционирует критически важное ПО Заказчика. Обновление операционной системы для устранения уязвимости может привести к неработоспособности критически важного ПО. В этом случае, выполняются настройки SGRC по принятию этой уязвимости на определенный срок и формируется план контрмер, реализация которых понизит вероятность эксплуатации данной уязвимости злоумышленником.
Автоматизация процесса управления аудитами
Аудит является одним из ключевых инструментов контроля обеспечения ИБ в организации. SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор как предустановленных правовых актов и стандартов:
- ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ от 20.02.2020 № 66;
- ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ от 20.02.2020 № 66 (в редакции ПРИКАЗА ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ от 12.11.2021 № 195);
- ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ от 25.07.2023 № 130;
- ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ от 7 мая 2021 г. № 99-3 «О защите персональных данных»;
- СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»;
- ISO 27001;
- другие стандарты,
так и может дополняться другими стандартами и регламентами в области защиты информации.
На практике для автоматизации процесса управления аудитами мы всегда выполняем следующие работы по настройке SGRC:
- Настройка ролевой модели доступа;
- При необходимости – добавление пользовательских стандартов для проведения аудитов, а также пользовательских методик проведения проверок;
- Настройка контрольных проверок, которые позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт;
- Контроль устранения замечаний по аудиту. При этом, мы рассматриваем замечания по аудиту как организационные уязвимости, которые необходимо устранять в соответствие с описанным процессом;
- Подготовка отчетных форм, графиков и дашбордов.
На этапе создания SGRC мы всегда проводим аудит для заданной области проверки. Это позволяет нам отладить настроенные механизмы автоматизации, а специалистам Заказчика получить практические навыки по автоматизации процесса управления аудитами.
Автоматизация процесса оценки рисков ИБ
SGRC обеспечивает автоматизацию процесса оценки рисков ИБ на каждом этапе оценки. В SGRC для оценки рисков ИБ доступен широкий набор предустановленных методик (как качественных, так и количественных), включая:
- СТБ 34.101.70-2016 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности»;
- СТБ 34.101.61-2013 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах»;
- методологию, в основе которой лежит стандарт ISO
При необходимости можно добавить пользовательскую методику оценки рисков ИБ, а также внести изменения в существующие.
Благодаря обратной связи от Заказчиков, нам удалось существенно расширить перечни угроз, нарушителей, защитных мер и предпосылок. Это позволило в разы повысить эффективность оценки рисков ИБ.
SGRC дает возможность не только рассчитывать уровни рисков ИБ, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, мероприятиях по обработке, а также значения параметров рисков ИБ за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков ИБ.
На практике для автоматизации процесса оценки рисков ИБ мы всегда выполняем следующие работы по настройке SGRC:
- Настройка ролевой модели доступа;
- При необходимости – добавление пользовательских методик для проведения оценки рисков ИБ или изменение существующих;
- Подготовка отчетных форм, графиков и дашбордов.
На этапе создания SGRC мы всегда проводим оценку рисков ИБ для заданной области оценки. Это позволяет нам отладить настроенные механизмы автоматизации, а специалистам Заказчика приобрести практические навыки по автоматизации процесса оценки рисков ИБ.
И, конечно, не забываем о разработке эксплуатационной документации.
Следующий этап внедрения SGRC – опытная эксплуатация.
На этом этапе выполняются работы по отладке всех выполненных в SGRC настроек, продолжается обучение специалистов Заказчика. При этом программа обучения состоит из практической и теоретической частей, а также включает тестирование знаний пользователей и специалистов по администрированию SGRC. Кроме того, на этом этапе проводится проверка SGRC на соответствие требованиям, изложенным в документе «Программа и методика испытаний».
После завершения этапа опытной эксплуатации начинается постоянная эксплуатация системы. На этом этапе мы обеспечиваем техническую поддержку системы, производим обновление (патчинг) SGRC и оказываем консультационную помощь Заказчику по работе с системой.
В завершение отмечу, что
отличительной чертой системы, созданной на базе платформы R-Vision SGRC, является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности организации.
Благодаря этому, нам удалось помимо автоматизации процессов управления активами, уязвимостями, аудитами и оценки рисков ИБ, автоматизировать на платформе R-Vision SGRC смежные, но не менее важные, процессы. Но об этом в следующих постах.
Если у вас есть вопросы по созданию автоматизированных систем на базе SGRC, пишите.
Часть 1. Оксана Хаблак. Наши подходы к проектированию системы защиты информации
Часть 2. Александр Захаренков. Наши подходы к созданию системы защиты информации
Часть 3. Андрей Сыч. Как мы внедряем PAM