Информационная безопасность как бизнес процесс

Компания Check Point Software Technologies объявила о некоторых итогах 2010 года, представила недавно созданные продукты и новую стратегию.

По словам Юлии Грековой, в прошлом году оборот компании на мировом рынке впервые превысил отметку в 1 млрд долларов, а в России рост бизнеса составил более 50%. Штат российского офиса вырос на 70%.

В компании считают, что в нашей стране многие предприятия только приступают к построению систем информационной безопасности, поэтому у Check Point есть немалые перспективы для дальнейшего роста. В качестве ключевых рынков были названы финансовая, телекоммуникационная, сырьевая и энергетическая отрасли экономики. Наибольшим спросом у заказчиков пользуются традиционные решения безопасности, а к относительно новым продуктам, например решениям с архитектурой «программных блейдов», они пока присматриваются. Кроме того, отмечается интерес к специализированным устройствам ИБ (appliance).

В феврале компания объявила о начале продаж новой версии своего флагманского пакета сетевой безопасности R75 и четырех новых программных блейдов: Application Control, Identity Awareness, Data Loss Prevention и Mobile Access. Эти продукты реализуют дифференцированный подход к контролю приложений с использованием библиотеки приложений Check Point AppWiki, содержащей более 100 тыс. приложений и виджетов Web 2.0, предотвращают непреднамеренные утечки данных, обеспечивают детализированное управление политиками безопасности и защищенный доступ с мобильных платформ — смартфонов и планшетных компьютеров. При этом политики безопасности «следуют» за пользователями и применяются на основе персональной идентификации, для чего задействуются стандартные механизмы (например, Kerberos). Для генерации сертификата на клиентское устройство устанавливается приложение Check Point Mobile.

Check Point R75 — первая версия, призванная развивать новое направление продуктов 3D Security, определяющее безопасность как «трехмерный бизнес-процесс», который объединяет персонал (вовлечение пользователей в процесс обеспечения ИБ), политики безопасности и их соблюдение на всех уровнях. Последнее предполагает консолидацию инфраструктуры безопасности и применение систем, предотвращающих случаи нарушения безо-пасности, а не просто выявляющих их. Как заявляют в Check Point, сочетание технологии, политики и осведомленности персонала позволит повысить уровень информационной безопасности и снизить риски.

Источник: www.osp.ru

“ИБ становится полноценным бизнес-процессом”

Сетевой безопасностью компании озаботились сразу с началом развития корпоративных сетей и Интернета, и межсетевые экраны стали устанавливаться в корпоративной ИКТ-инфраструктуре вслед за антивирусами.

По мере развития ИКТ и все более глубокого их проникновения в повседневную бизнес-практику трансформируются и задачи межсетевого экранирования. О своем видении этого процесса и о нынешнем состоянии сетевого экранирования научному редактору PC Week Валерию Васильеву рассказал руководитель системных инженеров компании Fortinet Алексей Андрияшин.

PC Week: Как вы охарактеризовали бы изменения, происходящие сегодня в ландшафте ИБ-угроз?

Алексей Андрияшин: Я думаю, что их следует увязывать с быстрыми изменениями ИКТ. Прежде всего, это мобильность, облака, большие данные, Интернет вещей — IoT. За этими переменами в ИКТ ИБ-угрозы следуют буквально по пятам.

Лавинообразный рост числа устройств и приборов, имеющих, с одной стороны, подключение к Интернету, а с другой — через корпоративную сеть к корпоративным ИКТ-ресурсам, обязывают корпоративные ИБ-службы обеспечивать безопасный, защищенный режим доступа сотрудников с мобильных устройств (в том числе и по программе BIOD), а также контроль обмена данными интернет-подключенных вещей, причем так, чтобы это не сказывалось на эффективности бизнеса. Это, безусловно, один из мощных современных факторов влияния на корпоративную ИБ в целом и на сетевое экранирование в частности.

Развитие облачных технологий позволяет передавать корпоративные данные, в том числе и чувствительные, с использованием услуг облачных операторов. Однако облачная среда в этом случае для клиентов остается неуправляемой. Доверие к облачным операторам, к их квалификации является сегодня главным вопросом при использовании облаков. Несмотря на это облачные сервисы развиваются активно, у них хорошие перспективы, которые в ближайшее время реализуются и на российском рынке тоже.

PC Week: Как изменения в ИКТ влияют на подходы к реализации сетевого экранирования?

А. А.: Традиционные принципы сетевого экранирования безвозвратно ушли в прошлое. Практически все представленные сегодня на мировом рынке межсетевые экраны (FW) имеют в своих названиях приставки NG (устройство следующего поколения) либо UTM (универсальный шлюз безопасности).

Информирование о своих продуктах поставщики современных межсетевых экранов начинают с заявлений о том, что экраны эти являются не обычными анализаторами сетевых пакетов, а программно-аппаратными комплексами, реализующими большое количество (как можно больше!) функций и сервисов ИБ, способными анализировать почтовый трафик, работу приложений и поведение пользователей, противодействовать DDoS-атакам и ещё многое другое.

Современные угрозы делятся на известные, которые можно блокировать именно потому, что мы знаем, каковы их признаки, и неизвестные, противостоять которым можно только используя аналитические инструменты, применяемые к собираемым по всему миру быстро меняющимся большим объемам данных об инцидентах, о поведении пользователей и приложений.

Кстати, оперативная доставка данных в современные системы сетевого экранирования построена на облачных технологиях. В функционировании любого NGFW- и UTM-устройства используются результаты работы многочисленных ИБ-специалистов, которые объединены в исследовательские и аналитические лаборатории, распределенные по всему миру. Сами же межсетевые экраны являются лишь острием противодействия современным ИБ-угрозам и одновременно частью многочисленных датчиков об изменениях в ландшафте ИБ-угроз для упомянутых лабораторий. Так что изменения в сетевом экранировании вполне обоснованны.

PC Week: Получается, что разработчики сетевых экранов (наряду с разработчиками многих других средств защиты, например DLP) тяготеют к созданию универсальных ИБ-комбайнов, ориентированных на максимальное количество ИБ-задач и способных стать центрами принятия решений по ИБ-событиям? Как же при этой тенденции сегодня выстраиваются границы между разными ИБ-средствами?

А. А.: Сошлюсь на пример компании Fortinet. В ее продуктовом портфеле есть много предложений: межсетевые экраны, экраны защиты веб-приложений, системы противодействия распределенным угрозам, инструменты защиты рабочих станций, средства защиты от DDoS-атак и даже система управления событиями информационной безопасности.

В Fortinet считают, что предлагать все эти средства порознь менее эффективно, чем реализовать разработанную ею концепцию Fortinet Security Fabric, которая учитывает подходы к построению бизнеса у конкретного заказчика, способы реализации у него ИБ-защиты. Продукты, предлагаемые Fortinet в рамках этой ИБ-фабрики, взаимодействуют между собой по разработанным специализированным техническим протоколам, интегрируются, реализуя бесшовное цельное ИБ-решение. Кстати, в эту фабрику могут быть интегрированы решения сторонних производителей ИБ-средств.

Нишевые же ИБ-решения могут использоваться лишь как отдельные инструменты для выполнения частных требований к ИБ.

PC Week: Можете ли вы привести примеры востребованных ныне облачных ИБ-сервисов?

А. А.: Конечно. По способу предоставления их можно разделить на две группы. Первая — модель Customers Premises Equipment — подразумевает, что средства защиты размещаются в инфраструктуре клиента, а их настройками и управлением занимается провайдер. Такие сервисы в России уже предоставляют несколько компаний, в частности «Ростелеком».

Вторая — облачная модель, в которой все основные мощности системы корпоративной ИБ размещаются в ИКТ-инфраструктуре провайдера, и клиент получает сервисы, не заботясь о том, на каком «железе» и софте они реализуются. Эта модель, как считают эксперты, наиболее привлекательна для бизнес-клиентов, и именно она является главным драйвером развития ИКТ-услуг в целом и ИБ-услуг в частности.

В США по этой модели работает, например, оператор AThttps://www.itweek.ru/security/article/detail.php?ID=194655″ target=»_blank»]www.itweek.ru[/mask_link]

Процессы управления ИБ (конспект лекции)

Принятые РФ стандарты ISO/IEC имеют префикс ГОСТ Р ИСО/МЭК, например ГОСТ Р ИСО/МЭК 27001-2006.

Наиболее интересные стандарты в серии ISO 27xxx, посвященной внедрению Системы менеджмента информационной безопасности (СМИБ):

ISO 27000 — СМИБ. Обзор и глоссарий

ISO 27001 — СМИБ. Требования

ISO 27002 — СМИБ. Свод практических правил для обеспечения мер ИБ

ISO 27003 — СМИБ. Руководство по внедрению СМИБ

ISO 27004 — СМИБ. Мониторинг, измерения, анализ и оценка

ISO 27005 — СМИБ. Управление рисками информационной безопасности

ISO 27018 — Свод практических правил по защите персональных данных в публичных облаках

ISO 27031 — Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса

ISO 27032 — Руководство по кибербезопасности

ISO 27035 — Управление инцидентами информационной безопасности

ISO 27036 — Информационная безопасность при взаимоотношениях с поставщиками

ISO 27039 — Выбор, настройка и работа с системами обнаружения и предотвращения вторжений

ISO 27043 — Принципы и процессы расследования инцидентов информационной безопасности

Основные фазы построения СМИБ по ISO 27xxx:

• Оценка необходимости и потребности компании в мерах ЗИ путем оценки рисков и моделирования угроз/нарушителей
• Внедрение и обеспечение процессов ИБ, мер защиты и иных контрмер для противодействия выявленным актуальным угрозам
• Мониторинг и регулярный пересмотр эффективности работы СМИБ
• Непрерывное совершенствование СМИБ.

Ключевые компоненты СМИБ:

• Локальные нормативные акты (ЛНА)
• Сотрудники с определенными должностными обязанностями
• Процессы управления:

1. Внедрением ЛНА

2. Повышением квалификации и осведомленности сотрудников

4. Внедрением мер защиты

5. Текущей деятельностью

6. Оценкой эффективности

7. Анализом со стороны руководства

Ключевые компоненты СМИБ:

• Локальные нормативные акты (ЛНА)
• Сотрудники с определенными должностными обязанностями
• Процессы управления:

1. Внедрением ЛНА

2. Повышением квалификации и осведомленности сотрудников

4. Внедрением мер защиты

5. Текущей деятельностью

6. Оценкой эффективности

7. Анализом со стороны руководства

Процессы обеспечения ИБ по стандарту ISO/IEC 27001:2013:

• процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры, инструкции)
• процесс управления учетными записями пользователей и администраторов информационных систем
• процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий
• процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы
• процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными)
• процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности
• процесс криптографической защиты информации при использовании, хранении и передаче
• процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем
• операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем
• процесс защиты от вредоносного программного обеспечения
• процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев
• процесс аудита и мониторинга событий информационной безопасности
• процесс управления инцидентами информационной безопасности
• процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты)
• процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании «облачных» сервисов
• процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения
• процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками
• процесс управления соответствием нормативным требованиям, предъявляемым к компании
• процесс проведения независимых аудитов и тестов информационной безопасности.

Каждый процесс разбит на подпроцессы для детализации требований. Например, процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем состоит из следующих подпроцессов:

• Создание периметра физической безопасности (защита помещений, где хранится и обрабатывается важная информация)
• Меры контроля физического доступа (СКУД, турникеты, замки и т.д.)
• Защита помещений, комнат, участков зданий
• Защита от внешних воздействий (стихийные бедствия, физические атаки)
• Контроль работы в защищенных помещениях
• Контроль зон возможного пребывания посторонних лиц (зоны погрузки/доставки должны быть ограничены)
• Физическая защита оборудования
• Защита от сбоев систем электроснабжения, вентиляции, кондиционирования
• Физическая защита структурированных кабельных систем (СКС)
• Обслуживание оборудования (очистка, охлаждение, питание)
• Защита от физического выноса оборудования из здания
• Защита оборудования за пределами контролируемых зон (бекапы, ЦОДы, удаленная работа на корпоративных ноутбуках)
• Надежное удаление информации перед утилизацией/продажей оборудования
• Защита оборудования, находящегося без присмотра (блокировка рабочих станций)
• Политика «чистого рабочего стола», защита носителей/распечаток, доступ к принтерам

Документ NIST SP 800-53 (ревизия №5, Сентябрь 2020)

• входит в NIST Cybersecurity Framework наряду с документами по управлению рисками (NIST SP 800-39, 800-37, 800-30) и логически с ними связан;
• описывает конкретные шаги для минимизации рисков ИБ, выявленных на предыдущих этапах;
• дополнения: NIST SP 800-53A (методы оценки внедренных мер), NIST SP 800-53B (базовые уровни мер).

Меры защиты по NIST SP 800-53:

• контроль доступа
• осведомленность и обучение
• аудит и подотчетность
• оценка, авторизация и мониторинг
• управление конфигурациями
• планирование непрерывности операций
• идентификация и аутентификация
• реагирование на инциденты
• обслуживание систем
• защита носителей информации
• физическая безопасность и защита от стихийных бедствий
• планирование
• управление программой обеспечения информационной безопасности
• кадровая безопасность
• обработка и защита персональных данных
• оценка рисков
• приобретение систем и сервисов
• защита систем и средств коммуникации
• целостность систем и информации
• управление цепочками поставок.

Все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры. Например, мера защиты «Контроль доступа» включает в себя следующие действия:

• создание политик и процедур контроля доступа
• управление учетными записями
• защиту доступа
• контроль потоков информации
• разделение и минимизацию полномочий
• контроль неудачных попыток аутентификации
• уведомление об осуществляемом мониторинге и правилах работы с информационными системами
• уведомление о предыдущих попытках аутентификации
• контроль количества параллельных сессий
• блокировку сессии пользователя после периода бездействия
• принудительный разрыв сессии по тайм-ауту или определенному условию
• определение списка возможных действий без прохождения идентификации или аутентификации
• использование меток безопасности и конфиденциальности
• контроль удаленного и беспроводного доступа
• контроль доступа мобильных устройств
• использование внешних систем
• предоставление общего доступа к информации
• предоставление публично доступного контента
• защита от массового извлечения данных
• принятие решений о контроле доступа
• применение контролера доступа (Reference Monitor).

Документ «CIS TOP-20 Controls»

Разработан некоммерческой организацией CIS (Center for Internet Security). Обновляется регулярно, последняя версия 7.1 (2020 г.). Кроме теоретических рекомендаций, выпускает практические документы – Benchmarks (бенчмарки, «золотые стандарты») с перечнем конкретных действий по настройке ОС, ПО, СЗИ.

Документ «CIS TOP-20 Controls» содержит 20 наиболее эффективных мер защиты (технических, организационных), разделенных на группы:

1. Инвентаризация и контроль аппаратных активов
2. Инвентаризация и контроль программных активов
3. Непрерывное управление уязвимостями
4. Контроль использования административных полномочий
5. Защищенная настройка ПО и АО на устройствах
6. Мониторинг и анализ журналов доступа (логов)

1. Защита email-клиентов и браузеров
2. Защита от ВПО
3. Ограничение и контроль использования сетевых портов, сервисов и протоколов
4. Возможности по восстановлению данных
5. Защищенная настройка сетевых устройств (межсетевые экраны, маршрутизаторы, коммутаторы)
6. Защита информационного периметра
7. Защита данных
8. Контролируемый доступ на основе принципа служебной необходимости
9. Контроль беспроводного доступа
10. Мониторинг и контроль учетных записей

Организационные:

1. Программа повышения осведомленности и обучение сотрудников
2. Безопасность прикладного ПО (безопасная разработка)
3. Управление и реагирование на инциденты
4. Тесты на проникновение и тесты «Red Team»

Все меры защиты содержат в себе 5-10 подпунктов с конкретизацией меры. Например, мера №14 «Контролируемый доступ на основе принципа служебной необходимости» состоит из подпунктов:

1. Сегментация ЛВС на основе важности данных, обрабатываемых в каждом из сегментов (VLAN)
2. Фильтрация трафика между сегментами сети
3. Запрет на взаимодействие между клиентскими устройствами (для блокировки распространения ВПО)
4. Шифрование всей важной информации в процессе передачи
5. Автоматизированный поиск важной информации в сети (для обновления списка защищаемых активов)
6. Защита информации с применением списков контроля доступа (ACL, Access Control List)
7. Контроль доступа к информации (например, с применением DLP)
8. Шифрование всей важной информации в процессе хранения
9. Детальное логирование всех фактов доступа и изменения важной информации

Этапы выстраивания системы управления информационной безопасностью:

1. Изучение бизнеса компании, включая бизнес-процессы, используемые технологии, средства защиты
2. Выявление рисков, угроз, применимых регуляторных норм
3. Выбор наиболее подходящих стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ конкретно в данной компании
4. Составление списка мер защиты (организационные, технические, физические), которые закрывают выявленные риски и угрозы
5. Дополнение списка мерами, которые продиктованы регуляторными нормами
6. Разработка и утверждение локальной (внутренней) нормативной документации (сначала политики и стандарты ИБ, затем по мере необходимости регламенты, процедуры, инструкции – с индексами документов, грифом, сквозной нумерацией, историей изменений, версионностью, списком согласовавших и утвердивших)
7. Повторный анализ имеющихся СЗИ – реализуют ли они все выявленные необходимые меры защиты?
8. Выбор новых СЗИ и/или модернизация старых. Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ
9. Набор сотрудников в подразделение защиты информации (для работы с конкретными технологиями и средствами ИБ)
10. Внедрение СЗИ (силами подрядчиков или самостоятельно), первичная настройка
11. Контроль выполнения ЛНА с помощью СЗИ. Контроль минимизации рисков до заданного уровня (снижение количества инцидентов). Тюнинг СЗИ
12. Непрерывное улучшение, охват все больших объектов бизнеса и ИТ-инфраструктуры

Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ

CAPEX – capital expenditure, капитальные расходы (сервер, ПК, коробочное СЗИ)

OPEX – operational expenditure, операционные расходы (облако, аренда ЦОД, использование СЗИ по подписке)

ROSI – Return on Security Investment, возврат инвестиций в безопасность – экономическая эффективность СЗИ. Если ROSI > 1, то вложение в СЗИ оправдано.

ROSI = (ARO*SLE*MF – TCO) / TCO

ARO — annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными

SLE — single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента

MF — mitigation factor, фактор снижения угрозы с помощью СЗИ (в %)

TCO — total cost of ownership, совокупная стоимость владения СЗИ, включающая в себя стоимость самого СЗИ, затрат на внедрение, техподдержку вендора, регулярные обновления, зарплату администрирующего СЗИ персонала.

DDoS-атаки происходят 10 раз в год, ущерб от одной DDoS-атаки = 1000000 рублей, MF = 90% по заявлению производителя анти-DDoS решения, TCO = (2000000 рублей само СЗИ + 1500000 рублей годовая з/п администратора ИБ + внедрение 300000 рублей) = 3800000 руб.

ROSI = (10*1000000*0.9 – 3800000) / 3800000 = 1.37.

Источник: www.securityvision.ru