Контакты
Подписка
МЕНЮ
Контакты
Подписка

Автоматизация процесса управления информационной безопасностью

Автоматизация процесса управления информационной безопасностью

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Автоматизация процесса управления информационной безопасностью

Отличительной чертой современного бизнеса является его большая зависимость от информационных систем (ИС), повсеместное использование сети Интернет, активное применение мобильных устройств для обработки и хранения информации. Возрастающая сложность и распределенность информационной инфраструктуры означает, что бизнес становится более уязвимым по отношению к действиям злоумышленников, человеческим ошибкам, техническим сбоям, вредоносным программам и т.д., что, в свою очередь, предполагает активное использование целого ряда подсистем информационной безопасности.
Игорь Писаренко
Начальник отдела методологии и контроля
управления информационной безопасности
департамента безопасности ВТБ24 (ЗАО), член АРСИБ, к.т.н., доцент

Развитие систем обеспечения ИБ, особенно в крупном и среднем бизнесе, неизменно приводит к необходимости применения значительного числа различных технических систем и средств защиты информации (СЗИ), проведения большого количества организационно-технических мероприятий, реализации мониторинга и контроля защитных мер, расследований по выявленным инцидентам и к созданию собственной инфраструктуры ИБ. Разнородные подсистемы обеспечения информационной безопасности зачастую плохо взаимодействуют друг с другом, порождая конфликты и огромное количество событий и оповещений. Анализ и реагирование на события ИБ предполагают значительный людской ресурс данной службы, что не всегда возможно и рационально. Кроме того, существенно усложняется управление ИБ и получение комплексной информации об уровне защищенности ключевых IТ-систем. Все эти аспекты требуют унифицированного управленческого подхода при создании и эксплуатации системы обеспечения ИБ.

В этих условиях актуальным становится объединение всех применяемых защитных мер в единый, адекватный реальным угрозам и адаптивно управляемый комплекс, позволяющий достигать требуемого уровня ИБ с использованием средств автоматизации и визуализации предоставляемой информации.

Система управления

Разнородные подсистемы обеспечения информационной безопасности зачастую плохо взаимодействуют друг с другом, порождая конфликты и огромное количество событий и оповещений. Анализ и реагирование на события ИБ предполагают значительный людской ресурс данной службы, что не всегда возможно и рационально.

В соответствии с рекомендациями ряда международных и российских стандартов1 в области ИБ выделяют следующие основные процедуры управления:

  • сбор и анализ данных о состоянии ИБ в организации;
  • распределение ролей и ответственности, обучение и мотивацию персонала;
  • оценку и управление рисками;
  • разработку и внедрение защитных мер;
  • управление инцидентами ИБ;
  • реализацию и внедрение соответствующих механизмов контроля;
  • мониторинг функционирования механизмов контроля, оценка их эффективности и внедрение соответствующих корректирующих воздействий.

Решение всех этих задач возложено на систему управления ИБ, которая в соответствии с ГОСТ Р ИСО МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" представляет собой "ту часть общей системы управления организации, основанной на оценке бизнес-рисков, которая создает, реализует, эксплуатирует и осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности", то есть процесс управления ИБ отвечает за планирование, внедрение, поддержку, контроль и совершенствование всей инфраструктуры безопасности (в рамках стандарта – на основе циклической процессной модели Деминга – Шухарта). В общем случае верхнеуровневыми задачами системы управления ИБ организации являются:

  • систематизация процессов обеспечения ИБ;
  • расстановка приоритетов организации в области информационной безопасности;
  • достижение адекватности системы ИБ существующим рискам;
  • понимание состояния ИБ в организации (определение взаимосвязей процессов и подсистем информационной безопасности, зон ответственности, наличие и потребности в ресурсах и т.д.).

Для организаций крупного и среднего бизнеса с развитой системой обеспечения ИБ решение указанных задач в полном объеме и в соответствии с требованиями и указаниями регуляторов представляет собой достаточно сложную и емкую инфраструктуру, требует больших временных и человеческих ресурсов.


Во многом именно поэтому на рынке средств ИБ появились и активно продвигаются различные системы автоматизированного управления, позволяющие создать единый центр ИБ, адаптивно управлять различными процессами управления, визуализировать полученные данные о состоянии информационной безопасности в организации.

Обычно в качестве инструментария для создания единого центра ряд производителей предлагает автоматизированные системы управления ИБ, предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для профильных специалистов всех уровней. Такие системы обеспечивают сбор данных от различных подсистем обеспечения ИБ, анализ и хранение событий безопасности, обработку инцидентов, формирование отчетов различной степени детализации, а также хранение в структурированном виде и актуализацию документов, регламентирующих требования информационной безопасности организации, баз инцидентов и рисков, перечней информационных активов и пр.

Типовая структура

В большинстве случаев типовая структура системы автоматизированного управления ИБ имеет трехуровневую архитектуру, выполняющую задачи, которые представлены на рисунке.

В качестве инструментария для создания единого центра ряд производителей предлагает автоматизированные системы управления ИБ, предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для профильных специалистов всех уровней.

Первый уровень предназначен для сбора, первичной обработки (нормализации) и передачи на следующий уровень собранной информации по событиям ИБ. Сбор информации происходит от всех систем и средств обеспечения ИБ, системного и прикладного ПО, АРМ, серверов и сетевого оборудования, средств антивирусной защиты, межсетевых экранов и т.п.

Может быть реализован средствами SIEM-систем (Security Information and Event Management), либо набором специализированных коннекторов, обеспечивающих сбор необходимой информации. При этом существует возможность интеграции с системами физической защиты и другими системами безопасности.

Уровень обработки информации предназначен для сбора, анализа и корреляции событий, поступающих от предыдущего уровня, который, в свою очередь, получает ее из различных систем обеспечения ИБ.

Типовое решение – использование SIEM-системы, которая осуществляет проверку собранной информации на соответствие политике управления инцидентами, обрабатывает и коррелирует информацию, выделяя из множества событий ИБ информацию по инцидентам и передавая полученную информацию о них на уровень управления.

Уровень управления предназначен для автоматизации процесса управления и представляет собой адаптивный интерфейс, позволяющий в режиме реального времени управлять инцидентами ИБ, проводить анализ состояния и выдавать отчеты и рекомендации по состоянию ИБ организации в целом и по отдельным системам безопасности в частности.


Реализуется в виде программной надстройки, позволяющей автоматизировать многие функции управления ИБ и имеющей ряд встроенных модулей, обеспечивающих решение той или иной отдельной задачи по ее обеспечению:

  • визуализации данных и создания отчетов о состоянии ИБ;
  • реестров информационных активов;
  • хранения данных;
  • анализа рисков ИБ;
  • управления документацией ИБ;
  • знаний и рекомендаций;
  • управления инцидентами ИБ.

Несомненными достоинствами автоматизированных систем управления ИБ представляются:

  • повышение управляемости и эффективности бизнес-процессов, связанных с обеспечением ИБ;
  • снижение рисков и времени простоя в случае инцидентов ИБ;
  • оптимизация затрат на обеспечение ИБ.

Внедрение и дальнейшее использование автоматизированных систем управления позволят не только повысить эффективность системы обеспечения ИБ, но и выполнить требования большого числа международных и российских стандартов в области ИБ. В частности, внедрение системы менеджмента информационной безопасности поможет выполнить значительную часть требований группы стандартов по ИБ ISO/IEC 27000, часть требований PCI DSS и стандарта Банка России, а также его положений и указаний, требования к созданию подсистемы регистрации и учета систем защиты ПДн и ключевых систем (требования ФСТЭК России).

___________________________________________
1 Например, ГОСТ Р ИСО МЭК 15408-2008, ГОСТ Р ИСО МЭК 17799-2005, ГОСТ Р ИСО МЭК 27001-2006, ГОСТ Р ИСО МЭК ТО 18044-2007, СТО БР ИББС 1.0-2010 и т.п.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
Посещений: 15695

Приобрести этот номер или подписаться
  Автор

Игорь Писаренко

Игорь Писаренко

Департамент информационной безопасности,
ПАО Банк “ФК Открытие”, к.т.н., доцент, член АРСИБ

Всего статей:  14

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций