Журнал "Information Security/ Информационная безопасность" #5, 2019

Для совершенствования процессов используется цикл PDCA (цикл Деминга): l P – Plan (планируй); l D – Do (делай); l C – Control (контролируй); l A – Act (совершенствуй). Это классический цикл, используемый в системах менеджмента, в том числе и информационной безопас- ности. информационной безопасности, производится его фиксация. 3. Оперативное реагирование на событие/инцидент. При воз- никновении события, свидетель- ствующего о вероятной реали- зации угрозы информационной безопасности (индикатора инци- дента), локализуется источник вероятной угрозы. 4. Реагирование на инцидент. Как только становится понят- ным, что произошел инцидент, начинается документирование расследования и сбор доказа- тельств. Определяются страте- гии и процедуры для его ней- трализации, расставляются приоритеты при обработке инцидента, информируются соответствующие лица. 5. Расследование инцидента. Расследование инцидента ведется до тех пор, пока не будут выявлены все его причи- ны: собирается максимум информации о лицах, иниции- ровавших инцидент, порядке действий этих лиц, мотивах, наличии сговора и иных данных, способствующих установлению степени участия тех или иных лиц. При необходимости осу- ществляется взаимодействие (обращение за помощью) с внешними ресурсами – другими SOC/CERT/CSIRT, подрядчика- ми, обладающими экспертизой в расследовании инцидентов. 6. Анализ причин и факторов, подготовка рекомендаций. На данном этапе осуществляется анализ причин инцидентов, результатов устранения их последствий, получение, хра- нение, защита и документиро- вание доказательств, извлече- ние уроков. 7. Закрытие инцидента. Фик- сация факта прекращения рабо- ты по нему. Помимо основного процесса, функционирование SOC обес- печивает ряд вспомогательных действий: l рутинные операции: развитие, эксплуатация и поддержка инфраструктуры; l техническое обеспечение: соответствие стандартам и зако- нодательству, развитие и улуч- шение бизнес-процессов; l бизнес-процессы. Уровни зрелости процессов Процессы не являются неизменными и требуют совер- шенствования. Для оценки зре- лости процесса и определения необходимых действий по его совершенствованию можно использовать PAM (Process Assessment Model) методологии COBIT 5 (с учетом ГОСТ Р ИСО/МЭК 15504-2–2009 Инфор- мационная технология (ИТ). Оценка процесса. Часть 2. Про- ведение оценки). В ее основу положена оценка вероятности того, что процессы будут при- водить к ожидаемым и запла- нированным результатам. В соответствии с указанной моделью выделяются уровни зрелости, представленные в таблице. Три стадии создания SOC Разворачивание SOC можно рассматривать как некий проект и, соответственно, применять для этого процессы проектного управления. Условно его можно разбить на три стадии, вклю- чающие в себя различные этапы: 1. Проектирование SOC. Определяются требования к центру (подготавливается тех- ническое задание), осуществ- ляется проектирование техни- ческой инфраструктуры (разра- батывается технический проект), формируется команда проекта. 2. Техническое оснащение SOC. Создание технической инфраструктуры по разработан- ному техническому проекту и ее ввод в эксплуатацию. После ввода в эксплуатацию процесс мониторинга и реагирования на инциденты информационной безопасности будет носить несистемный характер. 3. Функционирование SOC и совершенствование процессов (повышение их уровня зрелости). Процессы мониторинга и реагиро- вания становятся более формали- зованными, появляется дополни- тельный инструментарий, устанав- ливаются процессы предупрежде- ния появления инцидентов. По мере дальнейшего разви- тия расширяется спектр средств автоматизации, обеспечивается накопление опыта и компетен- ций, разрабатываются различ- ные метрики контроля, SOC растет и совершенствуется, пре- вращаясь в инструмент, спо- собный существенно повысить эффективность деятельности по защите информации. l • 25 УПРАВЛЕНИЕ www.itsec.ru Уровень Обозначение Описание уровня зрелости уровня зрелости 0 Неполный Такой процесс еще не внедрен или не способен соответствовать процесс своему назначению. Например, основные процессы SOC отсутствуют 1 Осуществленный Осуществленный процесс достиг своего назначения. процесс Например, процесс обработки инцидентов информационной безопасности реализован, но не документирован 2 Управляемый Процесс выполняется управляемым образом (планируется, процесс регулируется и проводится его мониторинг), а его рабочие продукты установлены, контролируются и поддерживаются. Например, имеются метрики инцидентов информационной безопасности 3 Установленный Управляемый процесс на данном уровне осуществляется процесс с использованием определенных действий, которые способны достичь выходов этого процесса. Например, есть документи- рованный процесс обработки инцидентов информационной безопасности, метрики инцидентов документированы 4 Предсказуемый Процесс на данном уровне осуществляется в определенных процесс пределах для достижения выходов этого процесса. Например, целевые показатели по выявлению и обработке инцидентов задокументированы и выполняются 5 Оптимизирующий Предсказуемый процесс на данном уровне непрерывно процесс улучшается для достижения соответствующих текущих и планируемых бизнес-целей. Например, проводится регулярная оценка эффективности SOC, производится выстраивание процессов для достижения максимальных ключевых показателей эффективности Таблица. Уровни зрелости Полный текст статьи читайте в разделе "Материалы" на сайте www.itsec.ru