Эксперты компании Securitm представили на вебинаре функциональность одноименной системы управления безопасностью. В ходе демонстрации возможности модулей решения Securitm для автоматизации процессов в службах информационной безопасности можно было соотнести с потребностями конкретного ИБ-подразделения предприятия. В Securitm собрана самая большая русскоязычная база регуляторных требований по информационной безопасности, утверждают в компании.
Компания Securitm, предлагающая одноименное программное обеспечение, работает на рынке пять лет. ПО Securitm представлено в реестре Минцифры, имеется сертификат соответствия ФСТЭК России по четвертому уровню доверия. Продукт подходит для применения в государственных информационных ресурсах, на объектах критической инфраструктуры.
Перечень проблем и вызовов, с которыми регулярно сталкиваются сотрудники подразделений информационной безопасности на своих рабочих местах, расширяется. Огромный объем рутины, большое количество данных, процессов, требований, обязательных аудитов, разрозненных консолей для работы заставляют предприятия пересматривать отношение к организации труда специалистов в сфере ИБ. По оценкам компании Securitm, на одну службу информационной безопасности приходится в среднем 500 процессов – от установки антивирусов до обучения пользователей, выпуска и поддержки регламентов, прохождения аудитов. Это характерно для любого ИБ-подразделения, которое вышло на свою «крейсерскую скорость», заметил в начале вебинара СЕО компании Николай Казанцев.
При такой нагрузке и занятости человек становится тем самым «слабым элементом» цепи в системе защиты. И дело не в навыках или компетенции сотрудников, а в возрастающих разнородных требованиях, прежде всего регуляторных, предъявляемых в сфере безопасности, объеме операций и задач, повышении их сложности.
На этапе создания сервиса управления информационной безопасностью Securitm его разработчики бросили вызов рутине в области ИБ. Продукт позиционируется как единая точка организационных процессов службы ИБ.
Securitm аккумулирует информацию из всех корпоративных ИТ- и ИБ-систем. В нем представлены также требования регуляторов, лучшие практики, каталоги базы уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), банка данных уязвимостей ФСТЭК, всевозможные «знания о том, чего надо бояться, как и что делать».
Служба информационной безопасности ведет процессы двух типов: стратегические и операционные. К первым относятся управление информационной безопасностью, рисками, метриками, комплаенс, планирование, внедрение мер защиты мер. Операционные процессы касаются ежедневных задач, проектов, коммуникаций, опросов, оформления заявок, автоматизации и т. п.
На базе системы Securitm, включающей в себя данные инфраструктуры, требования регуляторов, практики и реализуемые процессы, формируется единая точка координации работ в сфере ИБ. Благодаря этому компания или предприятие получает инструмент для учета, анализа, формирования отчетности, автоматизации, позволяющий видеть реальное положение дел на данном направлении.
В продукте объединены различные классы решений, чтобы службе информационной безопасности было легче выполнять работу. Приложение Securitm доступно в облачном варианте и локально – его можно установить в инфраструктуре предприятия.
Прежде чем обрисовать логику размещения модулей системы и их взаимосвязь, эксперт обратил внимание на десятки готовых интеграций Securitm, что обеспечивает получение данных из внешних источников. В частности, интеграция с Scan Factory позволяет добавлять сведения о проблемах и уязвимостях периметра, с Jira – автоматически создавать заявки на базе задач Securitm, а интеграция с MaxPatrol VM обеспечивает сбор полных данных о хостах, их конфигурации и т. д. Для включения интеграции достаточно ввести логин, пароль.
С этого чаще всего начинается внедрение локальной версии системы, которая собирает и анализирует данные из разных систем, структурирует их, выдает инсайты. Данные помещаются в модуль активов, вокруг которых и выстраиваются процессы. Очередность процессов прослеживается в логике построения системы защиты информации, утверждают в компании.
Большое внимание на вебинаре было уделено характеристике модулей. Модуль каталогов собирает в себе все, что, по словам Николая Казанцева, придумало человечество в сфере информационной безопасности. Наличие каталогов уязвимостей, угроз, сертифицированных средств защиты избавляет сотрудников от необходимости поиска соответствующей информации на других ресурсах. Представленная здесь информация используется в остальных модулях системы. На основе комбинации угроз и уязвимостей в конкретных активах либо в их группах формируются риски безопасности.
В рамках модуля рисков формируются реестры, планы обработки рисков, осуществляется количественная и качественная оценка рисков кибербезопасности.
Любая служба информационной безопасности создается для управления рисками безопасности (выявления проблем, их решения), а также для исполнения установленных регуляторами требований. Два основных модуля системы Securitm – риски и требования.
Если управлением рисками занимается далеко не каждая ИБ-служба, то комплаенс, исполнение требований, оценка соответствия – точки приложения усилий сотрудников каждого такого подразделения. Среди актуальных направлений их деятельности – персональные данные, критическая инфраструктура, лучшие практики, отраслевые стандарты, например, «Сбербанка» или ЦБ.
Одно из преимуществ Securitm в том, что в системе собрана необходимая регуляторная база по информационной безопасности. Пользователям удобно осуществлять оценку соответствия по стандартам, актуальным для имеющейся инфраструктуры.
Для исполнения требований и управления рисками информационной безопасности реализуются организационно-технические мероприятия или защитные меры. Одноименный модуль также представлен в системе.
Мониторинг происходящего осуществляется на основе метрик безопасности и базы знаний о том, насколько результативны усилия, прилагаемые корпоративной службой информационной безопасности. Наличие модуля BI позволяет на базе имеющихся в системе данных формировать любые метрики и показатели, выяснять, есть ли отклонения от нормы, на которые специалистам стоит обратить внимание.
Перечисленные возможности, связанные с аудитами, оценками рисков или планированием новых мер защиты, входят в сферу компетенции стратегических модулей управления.
Ежедневная работа сотрудников ИБ-служб состоит из рутины, за оптимизацию которой отвечают операционные модули. В модуле задач удобно вести многочисленные задания и управлять ими, коррелировать с мерами защиты, требованиями и рисками. Модулю RPA (Robotic Process Automation) можно поручить часть рутинных операций, он поможет среагировать на инцидент, запустить скрипт, контролировать изменения, сроки.
Модуль опросов позволяет коммуницировать с внешним миром, пользователями, контрагентами, может отправлять им тесты, анкеты для актуализации (применение стандартных форм экономит время). Здесь же можно настроить подмодуль для приема заявок об инцидентах, различных доступах.
Основой основ эксперт назвал модуль активов, которые наполняются посредством интеграций, из этого модуля обеспечивается управление любыми процессами. Все, что подлежит учету, находится в единой базе управления активами.
Еще один операционный модуль предназначен для управления техническими уязвимостями инфраструктуры. Применительно к риск-менеджменту и концепции информационной безопасности уязвимости – более широкое понятие по сравнению с тем, что используется в сканерах безопасности. Носителем уязвимости может быть человек, которому, например, предоставлен излишний доступ. Без знания инструкций высока вероятность ошибок.
Модуль технических уязвимостей выделен в системе в отдельный блок как агрегатор отчетов, данных от сканеров безопасности. Инструмент позволяет выстроить процесс, определить приоритеты, обеспечив работу с уязвимостями инфраструктуры.
Все модули взаимосвязаны. Благодаря интеграции поступает информация об активе, из актива создается метрика, с ее помощью оценивается исполнение защитной меры, которая, в свою очередь, оказывает влияние на уровень соответствия требованиям или величину рисков. Если риск снизился или повысился, то через модуль RPA автоматически запускается, например, задача владельцу риска или опрос пользователей.
Взаимосвязанные модули служат основой для выполнения процессов кибербезопасности. Каждый элемент самодостаточен, но вместе они обеспечивают синергетический эффект.
Эксперт попросил участников вебинара указать наиболее актуальные для них задачи в сфере ИБ. Среди таковых можно выделить аудит и описание объектов, комплаенс, автоматизацию процесса оформления документации, обучение. С учетом пожеланий аудитории Николай Казанцев рассмотрел ряд кейсов.
Имеющийся ПО Securitm конструктор дает возможность генерировать документы по информационной безопасности. Можно использовать готовые шаблоны (например, паспорт актива) или создавать собственные (журнал СКЗИ, акт уничтожения, акт оценки вреда и т. д.).
Модуль комплаенса помогает в исполнении требований регуляторов. По словам Николая Казанцева, в Securitm собрана самая большая русскоязычная база регуляторных требований по информационной безопасности. Более Securitm 200 стандартов по кибербезопасности (российских и международных) разложены здесь по полочкам и увязаны между собой, представлены также отраслевые стандарты, например, набор требований «Сбербанка». Благодаря корреляции документов легче проводить кросс-комплаенс по различным стандартам.
По каждому из стандартов можно выгружать отчет о соответствии требованиям и архив со свидетельствами аудита. В отчете о соответствии указано, что сделано, а что нет, приводятся описание инфраструктуры и данные для отчетности.
Одно из преимуществ вебинара, организованного поставщиком ПО, в том, что возможности Securitm демонстрировались на примере решения задач, сформулированных аудиторией.
Светлана Иванова, Connect
