Журнал "Information Security/ Информационная безопасность" #3, 2018

При росте динамической составляющей оценки уров- ня защищенности приходит понимание, что за всеми источниками событий сле- дить невозможно. И, как правило, это приводит к внедрению системы корре- ляции и управления собы- тиями в инфраструктуре (aka SIEM). При должной настройке и понимании потребностей мы сможем получать картину до любого уровня погружения, удовле- творив уровень менеджмен- та компании (для которого важен лишь динамический интегральный показатель) и создав систему для деталь- ного анализа происходяще- го (для уровня инженеров). тиве рассчитываете сертифи- цироваться по ISO). В третью очередь, определить специфику используемых в ком- пании средств и определить перечень рекомендаций для них. У той же всем известной компании Microsoft есть множе- ство рекомендаций по всем их продуктам и инфраструктуре в целом. К сожалению, зачастую далеко не все они выполняются. Ярким примером тут может слу- жить обеспечение безопасности привилегированного доступа 1 . Каждый уважающий себя вен- дор имеет рекомендации по обеспечению высокого уровня ИБ, и по ним можно сформиро- вать целевые требования. Тре- бования могут появиться и про- сто со стороны экспертизы и опыта конкретных людей. Важно найти грань детализации этих требований. Итого мы имеем понимание процессов ИБ и всех целевых требований, присущих нашей компании. Определив текущий уровень зрелости ИБ (процессы и соответствие требованиям), мы можем выбрать уровень, к которому нам необходимо стре- миться, и составить план его достижения (т.е. получить кор- ректную стратегию развития ИБ). Периодически перепрове- ряя выполнение этого плана по сформированным метрикам, мы сможем контролировать разви- тие функции в целом. Динамика Вернемся ко второй состав- ляющей аспекта оценки пока- зателей уровня защищенности. Как же нам получать динами- ческий срез того, что происхо- дит в инфраструктуре, и как нам видеть динамические риски? Тут нам помогут техни- ческие средства, их события и системы отчетности. В частно- сти, такими метриками могут быть отчеты периметрового межсетевого экрана/IPS/ NGFW/Proxy (с детализацией атак, статистикой посещений определенных категории сай- тов, скачиваний, да и в целом использования сети Интернет), антивирусные средства с их отчетностью, срабатывания DLP-систем, периодические отчеты сканера уязвимостей, события с контроллера домена, события с конечных хостов в целом – примеров можно при- вести много. При росте динамической составляющей оценки уровня защищенности приходит пони- мание, что за всеми источника- ми событий следить невозмож- но. И, как правило, это приводит к внедрению системы корреля- ции и управления событиями в инфраструктуре (aka SIEM). При должной настройке и понимании потребностей мы сможем полу- чать картину до любого уровня погружения, удовлетворив уро- вень менеджмента компании (для которого важен лишь дина- мический интегральный пока- затель) и создав систему для детального анализа происходя- щего (для уровня инженеров). Допустим, нам удалось добиться необходимого уровня развитости ИБ, а динамические показатели работают так, как нами было задумано. Но как нам получить подтверждение того, что нам удалось достичь требуемого уровня? Тут нам поможет этичный хакинг или тестирование на проникновение (Pentest) в инфраструктуру ком- пании. Это не что иное, как реальная проверка и демонст- рация реализации рисков. Как правило, это комплексная зада- ча, включающая проверку сотрудников компании и мани- пулирования ими (социальная инженерия), эксплуатацию тех- нических уязвимостей и некор- ректных настроек (как внутри компании, так и за ее предела- ми), сбор открытых сведений, тестирование на Web-уязвимо- сти и пр. Данный метод оценки уровня защищенности, с одной стороны, является самым пока- зательным, с другой стороны, может вообще не отражать реальную составляющую ИБ. Тут все очень сильно зависит как от квалификации исполни- телей, так и от возможностей и ограничений, которые были поставлены перед ними. Пожа- луй, это тот вариант, который может не требовать перевода в язык цифровых показателей. Скриншоты доступов к поч т е / конфиденциальной информации и системам иногда говорят лучше цифр, даже для руководства. Сам этичный хакинг можно использовать и до развития зрелости функции ИБ, чтобы дополнительно пока- зать необходимость ее улучше- ния. Стоит отметить, что на самом деле формирование динамиче- ских показателей и проведение тестирований на проникнове- ние – это тоже процессы ИБ. И для того, чтобы они стали рабочими инструментами, к ним так же нужен системный под- ход, о котором шла речь ранее. Подведем итог В глобальном смысле фор- мирование показателей уровня защищенности является частью большого и очень важного мак- ропроцесса – управления информационной безопас- ностью, каждая часть которого имеет свое значение, но при этом повышая общий уровень прозрачности работы функции ИБ, возможности ее оценки и контроля, а также позволяя всем участникам находиться в едином информационном поле. Формирование показателей уровня зрелости конкретных процессов ИБ поможет страте- гически отслеживать развитие функции. Формирование пока- зателей соответствия требова- ниям позволит отслеживать выполняемость текущего заданного уровня обеспечения ИБ. Формирование конкретной динамической отчетности поз- волит контролировать и быстро реагировать на текущие угрозы и риски, а периодическое про- ведение тестирований на про- никновение поможет убедиться в реальности полученных оце- нок. l • 39 УПРАВЛЕНИЕ www.itsec.ru Значение Уровень Описание 1 Начальный Процессы непредсказуемые, слабо контролируемые. процессы появляются в ответ на определенные события 2 Повторяемый Процессы определены на уровне проектов. Зачастую процессы появляются в ответ на определенные события 3 Определенный Процессы определены на уровне всей организации. Процессы исполняются заблаговременно 4 Управляемый Процессы измеряются и контролируются 5 Оптимизируемый Фокус на совершенствование процессов Таблица. Модель Capability Maturity Model Integration Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://aka.ms/privsec