Журнал "Information Security/ Информационная безопасность" #3, 2021

Для того чтобы выстроить эффектив- ный процесс управления инцидентами ИБ, необходимо выполнить ряд меро- приятий: l сформировать единую конфигура- ционную базу ИТ-активов защищаемого объекта и обеспечить ее поддержку в актуальном состоянии (в Innostage IRP это автоматизируется благодаря модулю "Управление ИТ-активами"); l выстроить на базе IRP процессы учета, расследования и реагирования на инциденты ИБ, включая корректи- рующие воздействия на элементы ИТ- инфраструктуры или отправки команд на существующие СрЗИ, например бло- кирование сетевых портов на средстве МЭ (в Innostage IRP автоматизируется благодаря модулю "Управление инци- дентами ИБ"); l организовать деятельность по устра- нению уязвимостей и контролю за этим процессом с возможностью формиро- вания отчетных документов (в Innostage IRP автоматизируется благодаря подси- стеме "Управление уязвимостями"); l организовать передачу информации о компьютерных атаках и инцидентах ИБ на объектах КИИ в центр ГосСОПКА (в Innostage IRP автоматизируется бла- годаря модулю "Взаимодействие с Гос- СОПКА"); l настроить вычисление и контроль изменений ключевых показателей эффективности процессов информа- ционной безопасности компании для отслеживания общего уровня ИБ (в Inno- stage IRP автоматизируется благодаря модулю "Визуализации ключевых пока- зателей эффективности"). Как проверить эффективность IRP IRP как средство автоматизации и еди- ная точка взаимодействия специалистов различных линий SOC и других задей- ствованных подразделений заказчика должна повышать эффективность управ- ления инцидентами. При выборе реше- ния IRP, по нашей практике, важно обратить внимание на ряд ключевых моментов, которые позволят измерить пользу и эффект от внедрения. 1. Использование IRP должно позво- лять снизить общее время обработки инцидента и, как следствие, обеспечить рост производительности команды SOC или группы реагирования. Тут на помощь приходит целый арсенал инструментов: а) возможности использования авто- матизированных сценариев реагирова- ния (плейбуков), в рамках которых необходимые действия по работе с инци- дентом детализированы до уровня понят- ных задач, часть которых выполняется автоматизировано; б) возможности автоматизации типо- вых действий аналитиков SOC, которые обычно выполняются вручную, например обогащение информации по инциденту данными о затронутом ИТ-активе, о про- верке вредоносности выявленного инди- катора компрометации и прочими дан- ными; в) возможности объединения одно- типных инцидентов и их массового закрытия, применения для них единых сценариев реагирования; г) возможностей ведения базы знаний решенных инцидентов для быстрого поиска подходящих решений и предо- ставления аналитики по схожести теку- щего инцидента с ранее решенным. 2. Использование IRP должно позво- лять снизить требования к квалифика- ции части персонала SOC, прежде всего персонала первой линии, то есть сни- зить "порог входа" в виде знаний и навыков, которыми должен обладать сотрудник. В этой части IRP, во-первых, должна обладать интуитивно понятным и удобным интерфейсом, чтобы сотруд- ники могли быстро разобраться и вклю- читься в процесс работы, во-вторых, автоматизировать типовые действия по типовым инцидентам и давать набор понятных инструкций в рамках плейбу- ков, разработанных "старшими товари- щами" команды SOC – аналитиками и экспертами. 3. Применение IRP должно повысить прозрачность и измеряемость работы SOC и процесса управления инцидента- ми в целом. Должен увеличиваться конт- роль эффективности работы команды SOC с инцидентами за счет отслежива- ния метрик эффективности и визуали- зации ключевых показателей. 4. Архитектура IRP должна позволять учесть организационную структуру ком- пании и особенности реализации тех или иных процессов. В частности, зача- стую для крупных распределенных ком- паний важна возможность размещения на уровне дочерних обществ полно- функциональных инсталляций IRP, под- чиненных центральной, например в слу- чае слабых каналов связи между цент- ром и дочерними обществами. Это поз- воляет организовать полноценную авто- матизацию реагирования на уровне дочерних обществ, например в случае инцидентов на объектах КИИ, где тре- 56 • УПРАВЛЕНИЕ Использование IRP в качестве ядра для процесса управления инцидентами ИБ Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage CyberART, входящий в группу компаний Innostage, является оператором сервисов киберзащиты, отвечающим за противодействие современным компьютерным угрозам, и обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты, включая взаимодействие с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о сотрудничестве с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам. лавная идея использования IRP-системы заключается в максимальной автоматизации полного цикла обработки инцидентов, включая реагирование, расследование и устранение негативных последствий. Г