Журнал "Information Security/ Информационная безопасность" #4, 2020

Автоматизация процессов обеспечения безопасности объектов КИИ. Автоматический ответ на инцидент В рамках обеспечения без- опасности значимых объектов КИИ можно выделить следую- щие группы процессов: 1. Категорирование объектов КИИ. 2. Создание и функционирова- ние системы безопасности значи- мых объектов КИИ (СБ ЗОКИИ). 3. Реагирование на инциден- ты и взаимодействие с госу- дарственной системой обнару- жения, предупреждения и лик- видации последствий компью- терных атак (ГосСОПКА). Рассмотрим автоматизацию каждой из этих групп более подробно. Категорирование объектов КИИ 2 Основным инструментом автоматизации данной группы процессов служит Security GRC. Возможности использования данного инструмента представ- лены в табл. 3. Следует также отметить, что категорирование – это не разо- вый процесс. Пересмотр резуль- татов категорирования требу- ется в таких случаях, как: 1. Истечение пяти лет с момента первичного катего- рирования. В данном случае посредством среды Workflow организуется совместная рабо- та членов комиссии, которые оценивают с точки зрения актуальности имеющиеся в Security GRC данные первич- ного категорирования, вносят корректировки (при необходи- мости) игенерируют итоговые документы – акт категориро- вания и сведения о категори- ровании, если категория значимости изменилась. 2. Создание нового объекта КИИ. В данном случае в Security GRC достаточно создать кар- точку нового объекта. При этом информация о его компонентах и используемых средствах защиты автоматически подтя- нется (при наличии соответ- ствующих настроек и коннекто- ров) от систем контроля кон- фигурации, затем при помощи среды Workflow организуется совместная работа членов комиссии по оценке критериев значимости и создаются итого- вые документы. 3. Изменение объекта КИИ. При изменении состава объ- екта, количества компонентов, его архитектуры и т.п. новые сведения попадут в карточку объекта, как правило, автома- тически, комиссии достаточно будет провести оценку их влия- ния на значимость и сгенери- ровать итоговые документы. Создание и функционирование СБ ЗОКИИ Основным инструментом авто- матизации данной группы про- цессов также служит Security GRC. 38 • УПРАВЛЕНИЕ Таблица 2 Таблица 3 Уровень управления Инструмент автоматизации Какие процессы автоматизирует Стратегический Security GRC (Governance, Risk, Compliance) Процессы планирования, внедрения, мониторинга, контроля и совершен- ствования Функциональный SOAR (Security Orchestration, Automation and Response) Процесс управления инцидентами и уязвимостями, включая автоматиче- ский ответ на инциденты IdM (Identity Management) Процесс управления доступом IDS (Intrusion Detection System)/ IPS (Intrusion Prevention System) Процесс обнаружения (предотвращения) вторжений DLP (Data Leak Prevention)/ UAM (User Activity Monitoring)/ UEBA (User and Entity Behavior Analytics) Процесс предотвращения утечек и (или) контроля персонала EDR (Endpoint Detection and Response) Процесс защиты от вредоносного про- граммного обеспечения MDM (Mobile Device Manage- ment) Процесс управления мобильными устройствами Операционный Данный уровень представлен клиентской частью (агентами) обозначен- ных на предыдущем уровне инструментов, которая осуществляет сбор информации и управление подсистемами безопасности конкретных информационных активов Процесс Применение Security GRC Создание (актуализация состава) постоянно действующей комиссии по категорированию Ведение перечня членов комиссии, поддержание его в актуальном состоянии, генерация приказа нажатием одной клавиши Выявление критических процессов Составление перечня критических процессов, его актуа- лизация, корреляция перечня процессов с объектами КИИ Анализ возможных действий нару- шителей и угроз безопасности информации Ведение перечня угроз и нарушителей, его актуализация по мере необходимости Установление каждому из объ- ектов КИИ одной из категорий значимости либо принятие реше- ния об отсутствии необходимости ее присвоения Совместная работа членов комиссии в Workflow-среде, предоставленной данным инструментом, фиксация хода работы и экспертных оценок, генерация на их основе актов категорирования и сведений о результатах при- своения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, по установленной форме 2 Подробнее про категорирование можно посмотреть в статье: Саматов К.М. Проблемные вопросы процедуры категорирования объектов КИИ // InformationSecurity/Информационная безопасность. 2019. № 2. С. 12–15.