(343)286-12-03
Новости
Статьи
СУИБ – управляемость без лишней бюрократии
Дата: 12.07.2017
Автор: Николай Домуховский, директор департамента системной интеграции, ООО «УЦСБ», Алексей Липатов, директор по развитию, бренд «ePlat4m»

Развитие системы обеспечения информационной безопасности (ИБ) рано или поздно предполагает переход к управляемой безопасности: когда решения о дальнейшем развитии системы принимаются, исходя из стратегических целей организации (в том числе, в части ИБ), актуальной модели рисков и общих подходов к управлению процессами организации (в том числе, в части выделения ресурсов, как материальных, так и человеческих).

Построение систем управления ИБ (СУИБ) предполагает внедрение ряда взаимосвязанных процессов, описание которых представлено во многих современных документах, содержащих рекомендации (или требования) по построению системы ИБ в организации. Можно выделить следующие распространенные процессы ИБ:

  • управление ИТ-активами организации в части ИБ;
  • управление рисками ИБ;
  • управление инцидентами ИБ;
  • контроль соответствия требованиям ИБ;
  • управление персоналом и третьими сторонами по вопросам ИБ;
  • документационное обеспечение ИБ;
  • мониторинг эффективности процессов ИБ.

Нередко внедрение процессов управления ИБ производится путем разработки необходимой документации, описывающей процесс, и назначении ответственных лиц за реализацию этого процесса. Однако любая эффективная реализация процесса требует также инструментария для его автоматизации, иначе объем «бумажной» работы просто не оставит подразделениям по ИБ времени на решение любых оперативных задач, связанных с ИБ.

Для автоматизации указанных процессов (и многих других процессов управления) существует особый класс информационно-аналитических систем: GRC системы. GRC расшифровывается как «Governance, Risk и Compliance». Governance соответствует принятым практикам стратегического управления в организации (например, в части оценки KPI подразделения, обоснования бюджетов, разработки стратегических целей и пр.), Risk включает все процессы, связанные с управлением рисками, а Compliance – отвечает за соответствие требованиям (федеральным, отраслевым или локальным).

Системы класса GRC могут применяться для автоматизации любых процессов управления: управление персоналом, управление качеством и пр., однако специализированные решения содержат в своем составе готовые модули, предназначенные для автоматизации конкретных процессов управления, в частности, управления ИБ.

Для обеспечения максимальной степени автоматизации процессов управления ИБ средствами систем Security GRC, модули интегрируются с внешними информационными системами, являющимися источниками данных для соответствующих процессов: так, модуль управления ИТ-активами интегрируется с системами инвентаризации ИТ или ИБ, модуль управления инцидентами ИБ – с SIEM-системой и пр. Настройки интеграции не являются статичными и могут быть произвольно изменены как при вводе системы в действие, так и при последующей эксплуатации.

Все модули имеют предварительно настроенные рабочие процессы, автоматизирующие соответствующие процессы управления ИБ, при этом рабочий процесс может быть произвольным образом переопределен без необходимости привлечения разработчика системы – прямо через интерфейс управления модулем.

Информация, отображаемая на экране пользователю системы или выводимая в виде отчетов, может быть представлена произвольным образом, чтобы учесть особенности реализации процессов и принятые формы отчетности организации, где производится внедрение системы.

Организация может изначально ориентироваться на стандартные функции модулей, поставляемых с системой Security GRC, а затем, в случае наличия у данной системы функционала workflow, по мере эксплуатации, производить их доработки или произвести доработку модулей под уже выстроенные процессы в организации в ходе ввода системы в действие.

Модуль управления ИТ-активами в части ИБ системы Security GRC может обладать следующим функционалом:

  • формирование справочников технических средств, ПО и информационных активов (в том числе, путем автоматического получения данных из систем инвентаризации ИТ и ИБ);
  • формирование паспортов ИС и сервисов;
  • определение критичности ИС и сервисов (путем интервьюирования владельцев ИТ-активов);
  • формирование уведомлений о необходимости актуализации данных;
  • формирование и утверждение реестра информационных ресурсов.

Модуль управления рисками ИБ системы Security GRC может обладать следующим функционалом:

  • формирование справочников угроз ИБ и уязвимостей ИС и сервисов (при этом уязвимости с привязкой к информационным системам и сервисам могут автоматически передаваться от систем контроля защищенности);
  • формирование информационных карт рисков ИБ;
  • определение способов обработки рисков ИБ;
  • формирование перечня защитных мер;
  • оценка остаточных рисков ИБ.

В частности, модуль управления рисками ИБ позволяет поддерживать постоянно актуализуемую частную модель угроз ИБ для каждой ИС.

Модуль управления инцидентами ИБ системы Security GRC может обладать следующим функционалом:

  • создание информационных карт по инцидентам ИБ;
  • обработка данных об инцидентах ИБ;
  • учет привлекаемых лиц из состава группы реагирования на инциденты ИБ организации, проводимых мероприятий и результатов их выполнения, а также принятых решений в процессе обработки инцидентов ИБ;
  • возможность уведомления об инцидентах ИБ;
  • формирование отчетности.

Сведения об инцидентах ИБ могут автоматически передаваться из SIEM-систем, а также заводиться вручную, если инцидент был выявлен не с помощью существующих средств защиты информации, а, например, сообщен пользователем ИС.

Формируемая отчетность по инцидентам ИБ может быть использована для корректировки правил корреляции SIEM-системы с целью уменьшения количества ложных срабатываний или выявления инцидентов ИБ, которые были обнаружены пользователями, а не средствами SIEM-системы.

Модуль работы с персоналом и третьими сторонами по вопросам ИБ системы Security GRC может обладать следующим функционалом:

  • ввод и хранение информационных карточек работников;
  • информирование, обучение, тестирование работников по ИБ и хранение его результатов;
  • ввод и хранение информационных карточек третьих сторон;
  • учет доступа к ИТ-активам.

Модуль контроля соответствия требованиям ИБ системы Security GRC может обладать следующим функционалом:

  • формирование информационных карточек требований по ИБ;
  • формирование иерархической структуры показателей оценки выполнения требований по ИБ;
  • формирование коэффициентов значимости показателей;
  • вычисление значений показателей;
  • планирование мероприятий по оценке соответствия, а также получение результатов оценки соответствия от средств контроля защищенности.

Модуль документационного обеспечения ИБ системы Security GRC может обладать следующим функционалом:

  • ведение глоссария терминов по ИБ, принятых в организации;
  • учет внутренних и внешних нормативно-методических и организационно-распорядительных документов, необходимых для организации деятельности по обеспечению и управлению ИБ, с ведением информационной карточки для каждого документа;
  • ознакомление групп работников с документами с фиксацией факта ознакомления;
  • контроль сроков актуальности документов;
  • поддержка юридически-значимого документооборота (электронной подписи).

 Модуль мониторинга эффективности процессов ИБ системы Security GRC может обладать следующим функционалом:

  • создание метрик измерения эффективности процессов ИБ;
  • внесение данных для расчета метрик;
  • автоматический расчет эффективности выполнения процессов ИБ по имеющимся данным на основе установленных метрик;
  • сравнение метрик с предыдущими периодами.

Внедрение системы Security GRC – это достаточно серьезный проект, требующий трудозатрат не только со стороны организации, осуществляющей внедрение, но и со стороны организации, планирующей использование системы в дальнейшем.

Ключевыми факторами успеха создания информационно-аналитической системы управления ИБ являются:

  • поддержка руководством – система прежде всего решает задачи руководства, отвечающего за обеспечение ИБ в организации в целом, если на этом уровне не сформировалась потребность в реализации полноценной СУИБ, то пытаться внедрять системы автоматизации ИБ чревато провалом проекта;
  • выстроенная организационная структура подразделений, отвечающих за управление ИБ: должно быть четкое распределение обязанностей между персоналом, а также полная укомплектованность персоналом. Если персонала недостаточно для решения оперативных процессов обеспечения ИБ, то внедрение процессов управления ИБ может быть преждевременным;
  • поэтапное внедрение. Переход на полностью управляемую безопасность – крайне трудозатратный процесс. При этом построение СУИБ, как и внедрение информационно-аналитической системы управления ИБ, может производиться поэтапно. Например, на начальном этапе реализуется управления ИТ-активами, затем управление инцидентами ИБ, что, в свою очередь, позволяет перейти к процессу управления рисками ИБ и так постепенно выстроить законченную СУИБ;
  • взаимодействие всех подразделений. Многие процессы СУИБ так или иначе требуют вовлечения в них представителей других подразделений (например, владельцы информационных активов должны выделять свое время в процессе идентификации и оценки критичности актива, при проведении внутренних проверок выполнения требований ИБ затрагиваемый проверкой персонал должен быть готов предоставлять данные для оценки и пр.) – попытка других подразделений полностью дистанцироваться от СУИБ может привести к тому, что система не заработает никогда.

Организациям, для которых тематика автоматизации процессов ИБ актуальна, стоит обратить внимание на следующих основных игроков российского рынка Security GRC, фигурирующих в нескольких обзорах решений данного класса, вышедших в СМИ во 2 квартале 2017 года:

  • Security Vision;
  • R-Vision SGRC;
  • ePlat4m Security GRC;
  • RSA Archer GRC.

Выбор системы Security GRC, упрощающей подразделению ИБ реализацию возложенных на него задач, а также привлечение профессиональной команды, которая осуществит эффективную разработку и внедрение СУИБ и системы автоматизации управления ИБ, позволит организации повысить эффективность (и управляемость) процессов ИБ, позволит более осознанно выбирать направления развития СУИБ, снизить затраты на внутренние и внешние проверки выполнения требований по ИБ и встроить процессы управления ИБ в общие процессы управления организации.