Олег Марков, руководитель группы РНМД, ООО «Газинформсервис», к. т. н., доцент
Иван Черников, эксперт по направлению автоматизации процессов управления ИБ, ООО «Газинформсервис»
В настоящей статье рассматриваются две системы централизованного управления ИБ – Security operation center (SOC) и Information Security management System (ISMS), раскрываются преимущества их интеграции и основные возможности в рамках автоматизируемых функций.
Получение прибыли – основная цель ведения бизнеса организации. В современных условиях ключевым активом в интересах функционирования бизнес-процессов является информация. В связи с тем, что поддержка информационного обеспечения осуществляется в основном за счет информационных технологий, именно этот актив наиболее подвержен воздействию угроз нарушения безопасности информации, спектр угроз расширяется, а противодействие им становится важным элементом успешного управления организацией.
Реализация организационных и технических защитных мер в большинстве случаев является эффективным способом предотвращения, обнаружения и устранения последствий угроз. Однако применение несогласованных между собой защитных мер может негативно отразиться на функционировании отдельных бизнес-процессов или бизнеса в целом.
Как следствие, все более востребованными на рынке становятся централизованные системы управления информационной безопасностью (ИБ), комплексно решающие задачи в области безопасности организации.
Security Operation Center
Обнаружение инцидентов ИБ является первым шагом на пути к устранению информационных угроз бизнес-интересам. Наличие в организации различных средств мониторинга событий ИБ и состояния защищенности информационной инфраструктуры требует обеспечения их взаимодействия на уровне данных.
Создание SOC – мера, позволяющая внедрить комплексный подход к идентификации инцидентов ИБ, осуществлению своевременного реагирования, анализу и предотвращению повторных их появлений в будущем.
Создание SOC подразумевает совокупность работ, выполняемых на различных уровнях:
- определение функций, возложенных на SOC;
- выстраивание процессов и процедур с учетом специфики организации;
- выбор технологий, реализующих основные функциональные возможности SOC;
- определение и настройка источников данных для SOC.
Среди функций, реализуемых SOC, отметим следующие:
- мониторинг в реальном времени состояния информационной безопасности (ИБ) в организации;
- формирование аналитических и статистических отчетов, графиков состояний;
- проведение расследования, формирование выводов по результатам реагирования на инцидент ИБ.
Внедрение процессов и процедур подразумевает разработку документации, описывающей выполнение процессов SOC, – методическое обеспечение процесса является важным элементом организации SOC. В частности, в документах организации должны быть определены: критерии для определения событий ИБ или инцидентов ИБ из общего потока информации, приходящего от источников; правила приоритезации и классификации инцидентов ИБ. При определении перечня инцидентов ИБ должны учитываться требования по обеспечению информационной безопасности организации, сформированные с учетом оценки рисков и требований регуляторов.
Помимо формализации процессов SOC в организации следует проводить обучение персонала действиям в рамках этой группы процессов, осуществлять мероприятия по совершенствованию отдельных процедур или процессов SOC в целом.
Для реализации автоматизируемых функциональных возможностей должны использоваться технологии, позволяющие реализовать:
- централизованное хранение информации о событиях и инцидентах ИБ;
- консолидацию и хранение журналов событий ИБ;
- корреляцию и обработку событий ИБ по правилам;
- предоставление инструмента по оценке, реагированию и анализу инцидентов ИБ;
- отслеживание и информирование ключевых работников организации о показателях процесса.
Источниками данных для SOC могут служить:
- системы обнаружения и предотвращения вторжений (IDS/IPS);
- системы предотвращения утечек (DLP);
- сетевые анализаторы (network analyzer);
- системы обнаружения уязвимостей (vulnerability management);
- журналы безопасности на конечных устройствах.
Помимо технических параметров, влияющих на производительность SOC, выбор источников должен осуществляться с учетом критичности информационного актива, обрабатываемого на источнике.
Information Security Management System и ее интеграция с SOC
Для обеспечения SOC данными о критичности активов, формирования требований по ИБ и определения перечня возможных инцидентов ИБ необходимо агрегировать информацию, полученную из различных подразделений организации, информационных систем и процессов. Внедрение ISMS позволяет осуществлять сбор и актуализацию требуемых для функционирования SOC данных на регулярной основе.
Одним из способов организации защиты бизнеса от современных угроз ИБ организации является создание ISMS – целостной стратегии по внедрению процессов, процедур, инструментов и механизмов защиты, направленной на снижение рисков ИБ для бизнес-процессов организации. Опыт разработки подобных стратегий нашел отражение в широко используемых международных стандартах, например серии документов ISO/IEC 27k.
Важность ISMS подтверждается общепринятыми фактами из области ИБ:
– обеспечение безопасности больше зависит от людей, чем от технологий;
– работники организации представляют бóльшую угрозу, чем внешние нарушители;
– отсутствие одного звена в системе ИБ снижает уровень защищенности организации в целом.
Внедрение ISMS в организации позволяет всем сотрудникам понять важность информационной безопасности для бизнеса в целом. ISMS может содержать следующие процессы управления ИБ:
- управление документами по ИБ;
- классификация ИТ-активов;
- управление рисками ИБ;
- управление соответствием требованиям по ИБ;
- управление персоналом и третьими сторонами по вопросам ИБ.
Все перечисленные процессы являются источником дополнительных данных для функционирования SOC, повышают уровень зрелости организации в области ИБ в целом и позволяют эффективно внедрить процессы SOC.
Основа для внедрения процессного подхода управления ИБ – разработка нормативно-методической документации, формализующей участие сотрудников организации, обучение персонала организации действиям в рамках выполнения процессов ИБ.
Для реализации автоматизируемых функциональных возможностей должны использоваться технологии, позволяющие реализовать:
- организацию рабочего процесса;
- управление задачами, возникающими в ходе выполнения рабочего процесса;
- интеграцию с внешними системами;
- отправление оповещений пользователям;
- формирование информационных панелей, графиков, диаграмм;
- формирование необходимых отчетных форм;
- разграничение доступа пользователей системы к данным.
Для предоставления работникам организации информации, необходимой для анализа и принятия решений в ходе реализации ISMS, требуются следующие сведения:
- перечень бизнес-процессов организации;
- результаты инвентаризации ИТ-активов, информационных систем;
- перечень идентифицированных уязвимостей;
- сведения о технических проверках на соответствие требованиям по ИБ;
- информация по идентифицированным событиям/инцидентам ИБ;
- сведения об уровне доступа работников в информационных системах.
Источниками указанных сведений могут являться:
- системы оперативного мониторинга и контроля состояния ИБ;
- системы инвентаризации ИТ-активов организации;
- системы описания бизнес-процессов;
- документация, содержащая требования к обеспечению ИБ;
- системы контроля соответствия требованиям по ИБ;
- кадровая система.
В целях более глубокого анализа причин и последствий инцидентов ИБ в SOC в реализации процедур реагирования и локализации инцидентов ИБ необходимо получить дополнительную информацию по ИТ-активам организации, на которые инцидент ИБ оказал воздействие. ISMS также содержит процессы/процедуры по сбору этих сведений и предоставлению их в SOC. Анализ причин инцидентов ИБ в SOC позволит получить исходные данные для совершенствования системы управления ИБ в целом.
Рис. 1. Интеграция SM и SOC
Пример реализации интеграции ISMS и SOC
Различные вендоры предлагают на рынке решения каждого из описанных классов продуктов. В качестве примера реализации комплексного интегрированного решения приведем решение от RSA – The Security Division of EMC.
Для реализации SOC и его основной функциональности применяются следующие технологии:
- система RSA Archer eGRC, в которой для целей SOC используются модули Security Operations Management и Enterprise Management;
- система класса SIEM (как от RSA – Security Analytics, так и других вендоров);
- система для защиты конечных устройств – RSA ECAT;
- централизованная база сведений об угрозах – RSA Live Intelligence.
Для реализации ISMS в организации могут использоваться следующие модули системы RSA Archer eGRC:
- Policy Management;
- Compliance Management;
- Audit Management;
- Incident Management;
- Risk Management;
- Enterprise Management;
- ISMS Foundation.
Рис. 2. Пример интеграции решений от RSA
(Источник: RSA Archer Security Operations Management. Practitioner Guide)
Интеграция Information Security Management System и Security Operation Center позволяет оперативно обнаруживать инциденты ИБ и эффективно реагировать на них в интересах бизнеса.