В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Компании, которые используют в основе построения системы обеспечения ИБ рискориентированный подход, по результатам формализованного процесса оценки рисков ИБ разрабатывают "План обработки рисков". В данном плане обычно содержатся рекомендации по выбору механизмов контроля, необходимых для минимизации неприемлемых рисков. Механизмы контроля могут носить организационный, технический или правовой характер и реализовываться в виде политик, процедур или программно-аппаратных средств.
В большинстве компаний служба ИБ состоит обычно из двух-трех человек, которые отвечают в основном за организационно-методические сервисы ИБ, такие как:
При этом сервисы, связанные с работой технических механизмов контроля, зачастую находятся в зоне ответственности службы IТ. Все технические механизмы контроля по своей природе можно разделить на 3 категории:
1. Встроенные в активное сетевое оборудование, Web-серверы, СУБД, приложения и т.п. Данные механизмы настраиваются и поддерживаются службой IТ в соответствии с политиками и стандартами, разработанными службой ИБ, во избежание негативного влияния настроек на производительность.
2. Наложенные– несут в себе функционал, связанный с реализацией выделенных подсистем ИБ, таких как: межсетевые экраны, системы обнаружения вторжений, антивирусные средства, DLP-системы и сканеры уязвимостей. Данные механизмы являются узкоспециализированными и должны администрироваться службой ИБ.
3. Управленческие– служат для автоматизации процессов управления ИБ. Примерами таких механизмов контроля являются SIEM-системы и GRC-решения. Данные механизмы используются службой ИБ и не влияют напрямую на производительность ИС.
Последние два вида механизмов контроля должны находиться в зоне ответственности службы ИБ. Однако руководством компании может быть принято стратегическое решение о сокращении капитальных и операционных расходов на непрофильные виды деятельности компании, передаче их на аутсорсинг и концентрации на основных бизнес-направлениях компании. Основаниями для принятия данного решения могут быть:
Центр управления событиями ИБ (Security Operation Center, SOC) представляет собой комплекс процессов и программно-аппаратных средств, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников IТ-инфраструктуры компании, и своевременного реагирования на них.
Типовая схема аутсорсинга SOC представлена на рисунке.
Функционирование SOC строится на базе работы следующих взаимосвязанных механизмов контроля 2-го и 3-го типа (наложенные и управленческие):
Решение может состоять из программно-аппаратного комплекса (далее – ПАК), реализующего в себе вышеперечисленный функционал, и услуг, которые оказываются специалистами сервис-провайдера.
ПАК размещается внутри ЛВС и подключается к информационным ресурсам компании. В качестве источников событий ИБ могут выступать:
Функционирование SOC строится на базе работы следующих взаимосвязанных механизмов контроля 2-го и 3-го типа (наложенные и управленческие):
Вся информация из ЛВС и журналов событий контролируемых узлов собирается, анализируется и обрабатывается средствами ПАК, используя встроенную систему корреляции. Информация может быть расширена результатами дополнительных проверок ЛВС компании при внешнем сканировании уязвимостей (например, ресурсов DMZ).
Все выявленные события и инциденты ИБ анализируются специалистами сервис-провайдера при подключении к ПАК по шифрованному каналу. Инциденты ИБ могут заводиться как автоматически, так и вручную специалистами по результатам экспертного анализа конкретного события ИБ. При этом каждый инцидент сопровождается комментариями с указанием его последствий и рекомендациями по устранению.
Работникам компании доступны актуальные сведения о текущем состоянии ЛВС, выявленных рисках, событиях и инцидентах ИБ. Также существует возможность формирования разнообразных типов отчетов, отражающих текущее состояние и динамику изменений уровня ИБ компании, для различной целевой аудитории:
Вышеописанной схеме аутсорсинга SOC сопутствует большинство рисков, присущих модели облачных вычислений SaaS:
В качестве компенсационных механизмов контроля, используемых для снижения величины сопутствующих рисков ИБ, могут выступать:
Необходимо отметить, что обязанность по проведению оценки рисков ИБ, связанных с аутсорсингом SOC, остается в зоне ответственности службы ИБ компании. Именно служба ИБ должна разработать "План обработки рисков" с указанием в нем соответствующих механизмов контроля, в том числе тех, которые должны быть реализованы сервис-провайдером. Таким образом, существует определенный разрыв в разделении обязанностей между тем, кто определяет необходимые механизмы контроля, и тем, кто отвечает за их внедрение и сопровождение, который может быть ликвидирован четким распределением ролей и ответственности в сервисном контракте.
На наш взгляд, при должном использовании компенсационных механизмов контроля все риски, которые возникают при аутсорсинге SOC, нивелируются теми преимуществами, которые получает бизнес от данного решения в виде:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013