SOC и ISMS: тактика и стратегия информационной безопасности

Олег Марков, руководитель группы РНМД, ООО «Газинформсервис», к. т. н., доцент

Иван Черников, эксперт по направлению автоматизации процессов управления ИБ, ООО «Газинформсервис»

В настоящей статье рассматриваются две системы централизованного управления ИБ – Security operation center (SOC) и Information Security management System (ISMS), раскрываются преимущества их интеграции и основные возможности в рамках автоматизируемых функций.

Получение прибыли – основная цель ведения бизнеса организации. В современных условиях ключевым активом в интересах функционирования бизнес-процессов является информация. В связи с тем, что поддержка информационного обеспечения осуществляется в основном за счет информационных технологий, именно этот актив наиболее подвержен воздействию угроз нарушения безопасности информации, спектр угроз расширяется, а противодействие им становится важным элементом успешного управления организацией.

Реализация организационных и технических защитных мер в большинстве случаев является эффективным способом предотвращения, обнаружения и устранения последствий угроз. Однако применение несогласованных между собой защитных мер может негативно отразиться на функционировании отдельных бизнес-процессов или бизнеса в целом.

Как следствие, все более востребованными на рынке становятся централизованные системы управления информационной безопасностью (ИБ), комплексно решающие задачи в области безопасности организации.

 Security Operation Center

Обнаружение инцидентов ИБ является первым шагом на пути к устранению информационных угроз бизнес-интересам. Наличие в организации различных средств мониторинга событий ИБ и состояния защищенности информационной инфраструктуры требует обеспечения их взаимодействия на уровне данных.

Создание SOC – мера, позволяющая внедрить комплексный подход к идентификации инцидентов ИБ, осуществлению своевременного реагирования, анализу и предотвращению повторных их появлений в будущем.

Создание SOC подразумевает совокупность работ, выполняемых на различных уровнях:

  • определение функций, возложенных на SOC;
  • выстраивание процессов и процедур с учетом специфики организации;
  • выбор технологий, реализующих основные функциональные возможности SOC;
  • определение и настройка источников данных для SOC.

Среди функций, реализуемых SOC, отметим следующие:

  • мониторинг в реальном времени состояния информационной безопасности (ИБ) в организации;
  • формирование аналитических и статистических отчетов, графиков состояний;
  • проведение расследования, формирование выводов по результатам реагирования на инцидент ИБ.

Внедрение процессов и процедур подразумевает разработку документации, описывающей выполнение процессов SOC, – методическое обеспечение процесса является важным элементом организации SOC. В частности, в документах организации должны быть определены: критерии для определения событий ИБ или инцидентов ИБ из общего потока информации, приходящего от источников; правила приоритезации и классификации инцидентов ИБ. При определении перечня инцидентов ИБ должны учитываться требования по обеспечению информационной безопасности организации, сформированные с учетом оценки рисков и требований регуляторов.

Помимо формализации процессов SOC в организации следует проводить обучение персонала действиям в рамках этой группы процессов, осуществлять мероприятия по совершенствованию отдельных процедур или процессов SOC в целом.

Для реализации автоматизируемых функциональных возможностей должны использоваться технологии, позволяющие реализовать:

  • централизованное хранение информации о событиях и инцидентах ИБ;
  • консолидацию и хранение журналов событий ИБ;
  • корреляцию и обработку событий ИБ по правилам;
  • предоставление инструмента по оценке, реагированию и анализу инцидентов ИБ;
  • отслеживание и информирование ключевых работников организации о показателях процесса.

Источниками данных для SOC могут служить:

  • системы обнаружения и предотвращения вторжений (IDS/IPS);
  • системы предотвращения утечек (DLP);
  • сетевые анализаторы (network analyzer);
  • системы обнаружения уязвимостей (vulnerability management);
  • журналы безопасности на конечных устройствах.

Помимо технических параметров, влияющих на производительность SOC, выбор источников должен осуществляться с учетом критичности информационного актива, обрабатываемого на источнике.

Information Security Management System и ее интеграция с SOC

Для обеспечения SOC данными о критичности активов, формирования требований по ИБ и определения перечня возможных инцидентов ИБ необходимо агрегировать информацию, полученную из различных подразделений организации, информационных систем и процессов. Внедрение ISMS позволяет осуществлять сбор и актуализацию требуемых для функционирования SOC данных на регулярной основе.

Одним из способов организации защиты бизнеса от современных угроз ИБ организации является создание ISMS – целостной стратегии по внедрению процессов, процедур, инструментов и механизмов защиты, направленной на снижение рисков ИБ для бизнес-процессов организации. Опыт разработки подобных стратегий нашел отражение в широко используемых международных стандартах, например серии документов ISO/IEC 27k.

Важность ISMS подтверждается общепринятыми фактами из области ИБ:

–     обеспечение безопасности больше зависит от людей, чем от технологий;

–     работники организации представляют бóльшую угрозу, чем внешние нарушители;

–     отсутствие одного звена в системе ИБ снижает уровень защищенности организации в целом.

Внедрение ISMS в организации позволяет всем сотрудникам понять важность информационной безопасности для бизнеса в целом. ISMS может содержать следующие процессы управления ИБ:

  • управление документами по ИБ;
  • классификация ИТ-активов;
  • управление рисками ИБ;
  • управление соответствием требованиям по ИБ;
  • управление персоналом и третьими сторонами по вопросам ИБ.

Все перечисленные процессы являются источником дополнительных данных для функционирования SOC, повышают уровень зрелости организации в области ИБ в целом и позволяют эффективно внедрить процессы SOC.

Основа для внедрения процессного подхода управления ИБ – разработка нормативно-методической документации, формализующей участие сотрудников организации, обучение персонала организации действиям в рамках выполнения процессов ИБ.

Для реализации автоматизируемых функциональных возможностей должны использоваться технологии, позволяющие реализовать:

  • организацию рабочего процесса;
  • управление задачами, возникающими в ходе выполнения рабочего процесса;
  • интеграцию с внешними системами;
  • отправление оповещений пользователям;
  • формирование информационных панелей, графиков, диаграмм;
  • формирование необходимых отчетных форм;
  • разграничение доступа пользователей системы к данным.

Для предоставления работникам организации информации, необходимой для анализа и принятия решений в ходе реализации ISMS, требуются следующие сведения:

  • перечень бизнес-процессов организации;
  • результаты инвентаризации ИТ-активов, информационных систем;
  • перечень идентифицированных уязвимостей;
  • сведения о технических проверках на соответствие требованиям по ИБ;
  • информация по идентифицированным событиям/инцидентам ИБ;
  • сведения об уровне доступа работников в информационных системах.

Источниками указанных сведений могут являться:

  • системы оперативного мониторинга и контроля состояния ИБ;
  • системы инвентаризации ИТ-активов организации;
  • системы описания бизнес-процессов;
  • документация, содержащая требования к обеспечению ИБ;
  • системы контроля соответствия требованиям по ИБ;
  • кадровая система.

В целях более глубокого анализа причин и последствий инцидентов ИБ в SOC в реализации процедур реагирования и локализации инцидентов ИБ необходимо получить дополнительную информацию по ИТ-активам организации, на которые инцидент ИБ оказал воздействие. ISMS также содержит процессы/процедуры по сбору этих сведений и предоставлению их в SOC. Анализ причин инцидентов ИБ в SOC позволит получить исходные данные для совершенствования системы управления ИБ в целом.

 

Рис. 1. Интеграция SM и SOC

Пример реализации интеграции ISMS и SOC

Различные вендоры предлагают на рынке решения каждого из описанных классов продуктов. В качестве примера реализации комплексного интегрированного решения приведем решение от RSA – The Security Division of EMC.

Для реализации SOC и его основной функциональности применяются следующие технологии:

  • система RSA Archer eGRC, в которой для целей SOC используются модули Security Operations Management и Enterprise Management;
  • система класса SIEM (как от RSA – Security Analytics, так и других вендоров);
  • система для защиты конечных устройств – RSA ECAT;
  • централизованная база сведений об угрозах – RSA Live Intelligence.

Для реализации ISMS в организации могут использоваться следующие модули системы RSA Archer eGRC:

  • Policy Management;
  • Compliance Management;
  • Audit Management;
  • Incident Management;
  • Risk Management;
  • Enterprise Management;
  • ISMS Foundation.

Рис. 2. Пример интеграции решений от RSA

(Источник: RSA Archer Security Operations Management. Practitioner Guide)

 

Интеграция Information Security Management System и Security Operation Center позволяет оперативно обнаруживать инциденты ИБ и эффективно реагировать на них в интересах бизнеса.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку