Как создать комплексную систему ИБ в компании

Количество кибератак растет ежегодно: по данным аналитиков, за первое полугодие 2022 года их число увеличилось на 42%, поэтому все больше компаний вынуждены обращать особое внимание на обеспечение информационной безопасности ИТ-инфраструктуры.

Если инцидент ИБ только произошел либо организация все еще находится под атакой, необходимо как можно скорее прекратить атаку, минимизировать ее последствия и внедрить новые или скорректировать существующие базовые средства защиты: межсетевой экран, антивирусное ПО, систему управления доступом. Это позволит выиграть время на разработку и внедрение комплексной системы защиты. Минимальный набор ранжированных по степени зрелости ИБ мер приведен в руководстве «CIS Critical Security Controls» от «The Center forInternet Security».

Для построения комплексной системы ИБ сначала проводится подготовительная работа: определяются информационные активы предприятия, где и какая информация хранится, как обрабатывается и передается.

В первую очередь рекомендуем обратить внимание на системы и активы, которые регулируются законодательством: персональные данные, объекты критической информационной инфраструктуры, государственные информационные системы.

В рамках внутреннего аудита также определяется:

• какое оборудование и ПО обеспечивает хранение, обработку, передачу информации;
• кто из персонала компании имеет доступ к информации и с какими правами.

1. выявить актуальные для компании угрозы и сформировать модели угроз и нарушителя;

2. исходя из разработанных моделей, определить защитные меры;

3. отталкиваясь от защитных мер, выбрать технические средства или организационные мероприятия для их реализации.

Следующий этап – реализация, в рамках которой проводится внедрение выбранных средств защиты.

По нашему опыту, ввод организационных мер может быть весьма болезненным: как правило, сотрудники неохотно следуют новым порядкам и стимулирует их разве что неотвратимость наказания.

С техническими средствами также есть трудности: после ухода многих западных производителей, предлагающих комплексные решения, на российском рынке осталось большое число различных узконаправленных систем безопасности, каждая со своим функционалом, нюансами реализации и ценовой политикой. К примеру, недоступные в данный момент шлюзы безопасности класса Unified threat management (UTM) от известных американских производителей имели богатую функциональность: межсетевой экран, систему предотвращения вторжения, контроль приложений, фильтрацию URL, антивирус, облачную/аппаратную песочницу и другие.

Для адекватной замены подобных решений необходимо использовать целый комплекс доступных систем различных классов: для защиты сети – межсетевой экран с функцией предотвращения вторжений, для контроля пользователей при работе в интернете – прокси-сервер с возможностью гибко настраивать правила, для предупреждения атак «нулевого дня» – песочницу. При этом, все эти системы должны работать совместно и интегрироваться друг с другом.

Преимущественно подходящее под задачи решение выбирается с помощью тестовых испытаний. Подавляющее большинство производителей готовы предоставить свои продукты на пилотное тестирование сроком от одного до трех месяцев. Организация может провести тестирование самостоятельно или воспользоваться услугами интегратора, который подберет подходящее решение и поможет грамотно провести тест и внедрить систему, учитывая нюансы ИТ-инфраструктуры заказчика.

Далее цикл можно повторить, добавив другие значимые для бизнеса информационные активы. На этом этапе заказчики часто задумываются над реализацией режима коммерческой тайны, Business Impact Analysis, оценке рисков для определения необходимых дополнительных мер защиты.

Расширение и уточнение мер и мероприятий оптимально выполнять поэтапно, охватывая все больше активов.

Параллельно повышается уровень зрелости и улучшаются сами процессы обеспечения и управления ИБ: детализируются внутренние нормативные акты и процедуры, вводятся метрики, проводятся внутренние и внешние аудиты, позволяющие оценить полноту и целостность системы, а также реальную защищенность.

На высоких уровнях зрелости рекомендуется проведение регулярных тестирований на проникновение, которые позволят оценить эффективность мер защиты и выявить актуальные уязвимости, требующие реагирования.

Обеспечение безопасности – это процесс, который нуждается в постоянном сопровождении. Система защиты должна регулярно корректироваться в соответствии с изменяющейся средой: появляются новые информационные активы, виды атак, изменяются модели нарушителей. Для непрерывной регистрации и обработки событий безопасности, выявления новых уязвимостей и обучения сотрудников правилам безопасной работы требуется команда высококвалифицированных специалистов. Далеко не каждая организация готова создавать такое подразделение, поэтому сейчас все большую популярность получают различные сервисы аутсорсинга ИБ, например, Security Operations Center (SOC), позволяющие большую часть аналитической и рутинной работы перевести во внешнюю специализированную организацию.

Фрагменты статьи вошли в обзор «Уровни информационной безопасности: важность методологии для практики» на портале Cyber Media.