С усложнением корпоративной ИКТ-инфраструктуры и ландшафта киберугроз строить систему информационной безопасности из отдельных устройств и решений стало неэффективно. И даже их интеграция в единую корпоративную ИБ-структуру отошла на второй план.
На передний же край обеспечения корпоративной ИБ сегодня выдвинулось грамотное управление ею. В этом обзоре мы постарались найти ответы на то, как консолидировать множество данных, относящихся к обеспечению ИБ и поступающих в корпоративную ИБ-систему из самых разных источников, как выделить из них наиболее критичные, как оперативно и адекватно организовать реагирование на угрозы их безопасности, как оценивать эффективность работы ИБ-службы и, наконец, как отстаивать бюджет на корпоративную ИБ перед руководством.
Актуализация задач управления корпоративной ИБ
Наши эксперты единодушны в том, что на фоне масштабной, глубокой и динамичной цифровизации современного бизнеса и, как следствие, усложнения ИКТ-инфраструктуры и ландшафта киберугроз задачи обеспечения ИБ приобретают первостепенную важность. Прежде всего это относится к управлению ИБ. Игнорирование происходящих изменений чревато снижением эффективности компаний, рисками ощутимых ущербов, а случается, и потерей бизнеса.
Компании ощутили, что им необходимо увеличить защищенность критичной информации и ИТ-сервисов и ввести контроль за её уровнем, повысить прозрачность процессов обеспечения ИБ для руководства, привести расходы на ИБ в соответствие с бизнес-потребностями.
Управление ИБ, подчеркивает менеджер по развитию информационной безопасности в Сибирском федеральном округе группы компаний Softline Иван Озеров, это процесс, включающий определение целей обеспечения ИБ, распределение ролей и ответственности, оценку активов и рисков, анализ данных о текущем состоянии ИБ, планирование и внедрение защитных мер и механизмов контроля, обеспечение непрерывного улучшения ИБ через оценку эффективности принимаемых мер и соответствующих корректирующих воздействий. Помощником при построении комплексной системы управления ИБ могут стать стандарты (например, международный стандарт по информационной безопасности ISO/IEC 27001), которые обобщают опыт лучших мировых практик в области управления ИБ.
Настала пора, считают наши эксперты, переходить от латания дыр к системному подходу в обеспечении ИБ. При этом нужно учитывать, что рабочие процессы в разных подразделениях одной и той же компании могут существенно отличаться друг от друга и необходимо разрабатывать свои сценарии реализации угроз для каждой группы процессов, реагировать на них с учетом бизнес-целей заинтересованных сторон, коммуникаций с партнерами, особенностей используемых ИТ, самих этих процессов и объектов среды обработки защищаемой информации.
Зарабатывать или обслуживать?
Какую задачу должна выполнять ИБ-служба — приносить прямой доход, как непосредственный бизнес компании, или обслуживать основной бизнес, как, например, это характерно для бухгалтерии или отдела кадров?
Руководитель системных инженеров компании Fortinet Алексей Андрияшин предлагает относиться к обеспечению ИБ как к важнейшему бизнес-процессу, который непосредственно связан практически со всеми направлениями деятельности компании и от которого напрямую зависит успех достижения её главной миссии.
Не столь радикально в оценке роли ИБ мнение директора по консалтингу компании «ДиалогНаука» Антона Свинцицкого. Он видит цель корпоративной службы ИБ и управления информационной безопасностью в том, чтобы предприятие могло больше зарабатывать за счет уменьшения операционных расходов на устранение последствий от ИБ-инцидентов. «Если ваше предприятие не станет заниматься обеспечением ИБ, бизнес-процессы скорее всего не остановятся сразу, однако у вас не будет основы для принятия правильных и своевременных управленческих решений в случае инцидентов, а их последствия могут оказаться значительно тяжелей, чем при наличии системы обеспечения ИБ», — считает он.
Инженер отдела информационной безопасности компании «Компьюлинк» Константин Зац согласен, что роль ИБ все же вспомогательная, позволяющая сокращать издержки бизнес-процессов и способствовать ускорению роста бизнеса. В то же время роль эта в силу своей специфики оказывает большое влияние на деятельность компании, требует внесения многих ограничений и запретов в рабочие процессы.
Директор по ИТ-безопасности как ключевая фигура в управлении корпоративной ИБ обязан понимать задачи бизнеса и подобрать такой ИБ-инструментарий, который наилучшим образом поможет эти задачи решить, поясняет Иван Озеров.
По его мнению, в зависимости от сферы деятельности компании, принятой стратегии управления рисками и конкретной оперативной ситуации задачи корпоративной ИБ различаются. Служба ИБ может быть нацелена, например, на защиту информации в соответствии с государственным законодательством или внутренними регламентами предприятия (в этом случае она должна обеспечивать только выполнение необходимых мер). Другая возможная цель — поддержка требуемых характеристик информации (конфиденциальность, целостность, доступность и др.) в критичных сервисах, сюда же можно отнести обеспечение непрерывности бизнес-процессов. Имеет смысл говорить также о сокращении убытков (например, о выявлении мошенничества в ритейле), что по сути позволяет рассматривать ИБ как функцию повышения эффективности предприятия в целом.
«При этом, если рассматривать управление корпоративной ИБ как классический цикл PDCA (Plan-Do-Check-Act), то очевидно, что каждое действие в цикле требует дополнительных затрат (финансовых или временных) и направлено на обслуживание основных задач бизнес-заказчика», — поясняет Иван Озеров.
Об обслуживающем предназначении корпоративной ИБ, характерном для большинства компаний, говорит директор Центра информационной безопасности RedSys Дмитрий Шумилин: «Исключение составляют те структуры, для которых бизнес связан с предоставлением ИБ-сервисов и которые, естественно, зарабатывают на ИБ. Правильная организация процессов обеспечения ИБ позволяет наилучшим образом достичь целей бизнеса, создавая тем самым дополнительные конкурентные преимущества, и как следствие больше зарабатывать».
«Служба ИБ, — полагает эксперт направления информационной безопасности компании КРОК Дмитрий Березин, — не является подразделением, которое зарабатывает деньги, но она позволяет снизить потенциальные риски и ущерб в результате компьютерных атак. При этом необходимо понимать, что затраты на ИБ не должны превышать стоимости защищаемых ресурсов».
Как оценить эффективность управления ИБ
Судя по ответам наших экспертов, оценка эффективности управления ИБ все еще остается процессом слабо формализованным, нестандартизированным, во многом творческим, зависящим от конкретного опыта конкретных специалистов.
Антон Свинцицкий предлагает рассматривать совокупность метрик оценки эффективности на различных уровнях управления ИБ — операционном, тактическом и стратегическом. Применяемые метрики должны учитывать потенциальные зависимости эффективности проводимых мероприятий по обеспечению ИБ на более высоких уровнях от нижестоящих.
Метрики для оценки эффективности управления ИБ, как считает Иван Озеров, должны соответствовать задачам, сформулированным максимально конкретно (не давать возможности для субъективного толкования), выражаться в числовых значениях, быть простыми в сборе и понятными для инициатора оценки.
Применимыми на практике метриками могут выступать, например, время простоя сервиса в год, время восстановления после сбоя, стоимость последствий ИБ-инцидента, годовые затраты на ИБ. При этом, отмечает он, важно делать акцент не на самих метриках, а на определяемых на их основе ключевых показателях эффективности (KPI), для определения которых, в свою очередь, следует привлекать бизнес-заказчиков.
«При оценке эффективности управления ИБ, — говорит Алексей Андрияшин, — важны следующие параметры: уровень рисков, количество уязвимостей, осведомленность пользователей и культура ИБ в компании, соответствие требованиям регуляторов и стандартов ИБ».
«Если для определения возможностей ИБ-продукта и его сравнения с аналогами, — считает Константин Зац, — подойдут прикладные метрики (такие, как количество инцидентов, время реагирования), то для оценки эффективности высокоуровневых процессов необходим другой набор метрик. Здесь все чаще используются финансовые показатели, например убытки, связанные с инцидентами ИБ, включающие как прямые денежные потери, так и косвенные (скажем, утрату лояльности заинтересованных лиц)». Сюда же он относит показатели возврата инвестиций по внедряемым проектам. Успешность использования метрик зависит в том числе от выстроенных связанных процессов: управления ИТ-службой, управления финансами и т. д.
Из метрик оценки эффективности для руководства Дмитрий Шумилин советует выделять соответствие стандартам и регуляторным требованиям к ИБ, долю повторно выявленных замечаний, оценку эффективности обучения персонала. Из управленческих метрик — достаточность ресурсов. Из операционных —среднее время реагирования на инциденты и их долю по типам.
Современные инструменты управления корпоративной ИБ
К ключевым компонентам управления корпоративной ИБ Антон Свинцицкий относит управление рисками и инцидентами и выполнение регуляторных требований к ИБ (compliance control) — он рассматривает их как взаимосвязанные и подлежащие использованию только в совокупности. По его мнению, не стоит забывать и об управлении непрерывностью деятельности, программами аудита, конфигурацией инфраструктуры и т. п. При этом каждый из упомянутых процессов может иметь собственные инструменты.
В качестве примеров наиболее современных инструментов управления корпоративной ИБ он приводит решения классов Security Governance, Risk, Compliance (SGRC) и Incident Response Platform (IRP). Однако в небольших компаниях за счет разработки высококачественной методологии, как он считает, можно решить многие задачи с помощью более доступных средств, в том числе Excel.
В то же время, ссылаясь на собственный опыт, Антон Свинцицкий обращает внимание на то, что в большинстве случаев инструменты являются вторичными, а в первую очередь важно обеспечить вовлеченность в управленческие процессы ключевых сотрудников компании (в том числе владельцев информационных систем), единое понимание целей, а также применяемых методологий и инструментов.
Вот уже лет пять на слуху у российских корпоративных пользователей термин «центр управления ИБ и реагирования на инциденты ИБ» (Security Operations Center, SOC). В SOC с помощью функционала управления событиями ИБ (SIEM) агрегируется, ранжируется, анализируется ИБ-информация от используемых в ИКТ-инфраструктуре средств ИБ и ИТ. Персонал SOC обеспечивает непрерывный мониторинг и процедуры реагирования на инциденты ИБ. Без него современное управление корпоративной ИБ не выстроишь. «Именно SOC должен быть основой управления корпоративной ИБ», — заявляет Дмитрий Березин.
«SIEM-системы, — отмечает Николай Сафонов, ведущий системный аналитик компании „Код Безопасности“, — обладают мощными и, что немаловажно, настраиваемыми механизмами визуализации данных в формате, который позволяет проводить качественный и количественный анализ состояния ИБ, быть в курсе того, что происходит в этой области здесь и сейчас, давать оценку ситуации, благодаря чему можно принимать не только верные, но и оперативные решения по противодействию обнаруженным угрозам».
Некоторые вендоры, сознавая перспективность и научную обоснованность машинного обучения, внедряют в SIEM-системы механизмы на базе нейронных сетей, которые наряду с SOC позволяют ощутимо повысить эффективность принятия решений.
Автоматизация управления корпоративной ИБ
Сложность выявления ИБ-инцидентов, потребность в сокращении времени на реагирование, а также дефицит квалифицированных ИБ-специалистов актуализируют необходимость автоматизации процессов управления ИБ.
Без этого, считают наши эксперты, ИБ-специалисты тонут в потоках данных, генерируемых техническими средствами защиты (логи, уведомления, инциденты), пользователями (запросы на предоставление доступа, информация о подозрительной активности) и ИТ-подразделением (политики и регламенты, матрицы доступа, перечни активов).
Хотя, как подчеркивает Антон Свинцицкий, для компаний с разным уровнем зрелости процессов управления ИБ и сложности ИКТ-инфраструктуры степень необходимой автоматизации различается, каждой из них приходится корректировать существующие процессы для встраивания в них элементов управления ИБ.
Классическое построение системы автоматизированного управления ИБ, по мнению Дмитрия Шумилина, представляет собой трехуровневую систему, включающую:
· уровень сбора и первичной обработки событий ИБ (как с продуктов типа IDS, WAF, FW, DLP и других традиционных ИБ-решений, так и с систем физической защиты — СКУД, пожарной и охранной сигнализации);
· уровень ядра, обеспечивающего сбор, анализ и корреляцию событий, как правило, реализуемый посредством использования SIEM-систем;
· уровень автоматизированного управления, который может быть представлен надстройкой над SIEM-системами либо специализированным ПО.
Иван Озеров предлагает обратить внимание в первую очередь на следующие средства для автоматизации ИБ:
· системы класса Identity Management System (IDM), предназначенные для автоматизации на основе ролевых моделей процессов управления учетными записями и правами доступа пользователей к ИКТ-ресурсам, проведения контроля и аудита доступа;
· системы класса SGRC, автоматизирующие процессы оценки и обработки рисков, управления активами, управления аудитами и контролем соответствия требованиям, планирования деятельности подразделения ИБ;
· системы класса IRP, позволяющие организовать реагирование ИБ-инцидентов, их мониторинг и регистрацию.
Дмитрий Березин дополняет этот список системами поведенческого анализа (User Behavior Analytics, UBA).
Управление корпоративной ИБ при использовании услуг ИБ-провайдеров
Упомянутые выше стимулы автоматизации обеспечения ИБ одновременно способствуют тому, что всё больше российских компаний (особенно если ИБ не является для них профильным направлением деятельности) прибегают к услугам ИТ- и ИБ-провайдеров. Всё чаще мы встречаем на рынке услуг термины и аббревиатуры Managed Security Service Provider (MSSP) и Managed Detection and Response (MDR). В стране уже можно наблюдать конкуренцию между провайдерами услуг SOC.
Аутсорсинг ИБ, напоминает Константин Зац, позволяет компаниям сосредоточиться на основных, профильных аспектах бизнеса и сократить операционные издержки на высококвалифицированный ИБ-персонал.
Однако использование ИБ-услуг, подчеркивает Иван Озеров, требует от корпоративной службы ИБ новых навыков — умения выступать в роли менеджеров проектов, которые должны определять степень использования внешних услуг, разрабатывать договоры об уровне обслуживания (SLA), обеспечивать контроль за качеством услуг и урегулировать возникающие при взаимодействии споры.
Дмитрий Березин напоминает, что для эффективного взаимодействия с поставщиком ИБ-услуг необходимо также умение формировать измеримые метрики эффективности для непрерывной оценки уровня предоставляемых сервисов.
«Нельзя, однако, забывать, — напоминает Антон Свинцицкий, — что управление ИБ в первую очередь представляет собой внутренние процессы компании. Только владельцы информационных систем могут правильно оценить последствия от реализации инцидентов, и именно они должны участвовать в работах по приведению систем в соответствие требованиям законодательства». При этом процессы обеспечения ИБ (антивирусная защита, управление доступом и уязвимостями...), в отличие от процессов управления ИБ, могут быть полностью или частично переложены на плечи ИБ-провайдеров, чья компетенция по отдельным вопросам способна помочь в формировании высококачественных методик и инструментов, которые в дальнейшем будут использоваться при реализации процессов управления.
Следует учитывать, что ИБ-провайдеры также в состоянии предоставлять дополнительную информацию, полезную как для выявления ИБ-инцидентов, так и для их расследования. А вот привлечение ИБ-провайдеров для процессов управления ИБ (если это необходимо), считает Антон Свинцицкий, потребует от корпоративной службы ИБ дополнительной оценки рисков принимаемых решений (с независимой экспертизой) и их обоснования перед руководством компании.
«В сервисной модели обеспечения ИБ на первый план, — говорит Константин Зац, — выходят вопросы грамотного выбора провайдеров, различающихся перечнем и качеством предоставляемых услуг. Необходима также проработка возможностей интеграции своей инфраструктуры с инфраструктурой провайдера. Нужно обращать внимание на соответствие предоставляемых провайдером услуг требованиям регуляторов и внутренним ИБ-политикам компании, на то, какие активы могут быть вынесены на аутсорсинг, а какие все же стоит оставить у себя».