Журнал "Information Security/ Информационная безопасность" #4, 2020

На этапе создания СБ ЗОКИИ используются исходные данные, полученные Security GRC в ходе категорирования. В частности, на основе проведенного в рам- ках категорирования анализа угроз (включая моделирование нарушителя) проводится гене- рация моделей угроз для значи- мых объектов КИИ, а собранные инвентаризационные данные используются в рамках техни- ческого проектирования. Однако больший эффект от использования данного инстру- мента достигается на этапе функционирования СБ ЗОКИИ (табл. 4). Реагирование на инциденты и взаимодействие с ГосСОПКА Несмотря на то что данная группа пересекается с процес- сами функционирования СБ ЗОКИИ, по моему мнению, следует рассматривать ее как самостоятельную ввиду того, что в рамках реализации тре- бований законодательства о безопасности КИИ в этой части появилось целое направ- ление обеспечения информа- ционной безопасности – кор- поративные (ведомственные) центры мониторинга и реаги- рования на инциденты инфор- мационной безопасности, также известные как SOC (Security Operations Center), и центры ГосСОПКА 3 . Основным инструментом авто- матизации деятельности SOC служит SOAR (Security Orche- stration, Automation and Respon- se), который может представлять собой единое решение (то есть один продукт, сочетающий в себе все функции), а может состоять из совокупности сле- дующих инструментов автома- тизации: l SIEM (Security Information and Event Management) – осуществ- ляет сбор и анализ информации о событиях информационной безопасности, сигнализирует о возможных инцидентах. Источ- никами событий служат такие инструменты как IdM, IDS\IPS, DLP\UAM\UEBA, EDR, MDM и т.п.; l TIP (Threat Intelligence Plat- form) – осуществляет сбор и анализ информации об уязви- мостях и угрозах из внешних источников; l IRP (Incident Response Plat- form) – данный инструмент пред- ставляет собой платформу для управления инцидентами информационной безопасности и совместной работы команды реагирования. Все указанные выше инстру- менты, объединенные в одну систему, позволяют практиче- ски полностью автоматизиро- вать процессы управления инцидентами информационной безопасности, в частности: l сбор данных о событиях информационной безопасности со всех источников в единую среду, анализ и управление ими (Orchestration); l автоматизация выполняемых в рамках реагирования на инци- дент действий посредством заранее подготовленных шаб- лонов, так называемых плейбу- ков, в том числе заполнения карточки компьютерного инци- дента для передачи (ручной либо автоматической) в Гос- СОПКА (Automation); l автоматическое реагирова- ние на инциденты в форме сдерживания или локализации – включение профилей с более жесткими настройками на сред- ствах защиты, изолирование атакованных хостов, выключе- ние некритичных сервисов и т.п. (Response). l • 39 АВТОМАТИЗАЦИЯ www.itsec.ru В рамках реализации требований законодатель- ства о безопасности КИИ появилось целое направле- ние обеспечения информа- ционной безопасности – корпоративные (ведомствен- ные) центры мониторинга и реагирования на инциден- ты информационной без- опасности, также известные как SOC. Таблица 4 Процесс Применение Security GRC Планирование мероприятий по обеспечению безопасности значимых объектов КИИ Формирование и ведение планов мероприятий, их своевре- менная актуализация, возможность обеспечения доступа к планам всем заинтересованным лицам, возможность назначения ответственных за выполнение мероприятий в виде сервисных заявок в Service Desk Реализация мероприятий по обеспечению безопасности значимых объектов КИИ Фиксация выполнения мероприятий плана с подкреплением подтверждающих документов (например, приказ о вводе в эксплуатацию средства защиты информации, подтверждаю- щий выполнение мероприятия, и т.п.) Мониторинг и контроль Проведение аудитов на соответствие требованиям по загру- женным в систему методикам, например на соответствие тре- бованиям приказов ФСТЭК России № 235 и № 239 Совершенствование процес- сов обеспечения безопасности значимых объектов КИИ Возможность выгрузки отчетов по различным параметрам, помогающих формировать рекомендации по совершенствова- нию процессов 3 Подробнее данные вопросы рассмотрены в статьях: Саматов К.М. Проблемные вопросы взаимодействия с ГосСОПКА // Information Security/Информационная безопасность. 2019. № 4. С. 4–7; Саматов К.М. SOC в действии // InformationSecurity/Информационная безопасность. 2019. № 5. С. 24–25. Реклама Ваше мнение и вопросы присылайте по адресу is@groteck.ru