Автоматизация процесса управления информационной безопасностью

Игорь Писаренко
Начальник отдела методологии и контроля
управления информационной безопасности
департамента безопасности ВТБ24 (ЗАО), член АРСИБ, к.т.н., доцент

Развитие систем обеспечения ИБ, особенно в крупном и среднем бизнесе, неизменно приводит к необходимости применения значительного числа различных технических систем и средств защиты информации (СЗИ), проведения большого количества организационно-технических мероприятий, реализации мониторинга и контроля защитных мер, расследований по выявленным инцидентам и к созданию собственной инфраструктуры ИБ. Разнородные подсистемы обеспечения информационной безопасности зачастую плохо взаимодействуют друг с другом, порождая конфликты и огромное количество событий и оповещений. Анализ и реагирование на события ИБ предполагают значительный людской ресурс данной службы, что не всегда возможно и рационально. Кроме того, существенно усложняется управление ИБ и получение комплексной информации об уровне защищенности ключевых IТ-систем. Все эти аспекты требуют унифицированного управленческого подхода при создании и эксплуатации системы обеспечения ИБ.

В этих условиях актуальным становится объединение всех применяемых защитных мер в единый, адекватный реальным угрозам и адаптивно управляемый комплекс, позволяющий достигать требуемого уровня ИБ с использованием средств автоматизации и визуализации предоставляемой информации.

Система управления

В соответствии с рекомендациями ряда международных и российских стандартов¹ в области ИБ выделяют следующие основные процедуры управления:

• сбор и анализ данных о состоянии ИБ в организации;
• распределение ролей и ответственности, обучение и мотивацию персонала;
• оценку и управление рисками;
• разработку и внедрение защитных мер;
• управление инцидентами ИБ;
• реализацию и внедрение соответствующих механизмов контроля;
• мониторинг функционирования механизмов контроля, оценка их эффективности и внедрение соответствующих корректирующих воздействий.

Решение всех этих задач возложено на систему управления ИБ, которая в соответствии с ГОСТ Р ИСО МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" представляет собой "ту часть общей системы управления организации, основанной на оценке бизнес-рисков, которая создает, реализует, эксплуатирует и осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности", то есть процесс управления ИБ отвечает за планирование, внедрение, поддержку, контроль и совершенствование всей инфраструктуры безопасности (в рамках стандарта – на основе циклической процессной модели Деминга – Шухарта). В общем случае верхнеуровневыми задачами системы управления ИБ организации являются:

• систематизация процессов обеспечения ИБ;
• расстановка приоритетов организации в области информационной безопасности;
• достижение адекватности системы ИБ существующим рискам;
• понимание состояния ИБ в организации (определение взаимосвязей процессов и подсистем информационной безопасности, зон ответственности, наличие и потребности в ресурсах и т.д.).

Для организаций крупного и среднего бизнеса с развитой системой обеспечения ИБ решение указанных задач в полном объеме и в соответствии с требованиями и указаниями регуляторов представляет собой достаточно сложную и емкую инфраструктуру, требует больших временных и человеческих ресурсов.

Во многом именно поэтому на рынке средств ИБ появились и активно продвигаются различные системы автоматизированного управления, позволяющие создать единый центр ИБ, адаптивно управлять различными процессами управления, визуализировать полученные данные о состоянии информационной безопасности в организации.

Обычно в качестве инструментария для создания единого центра ряд производителей предлагает автоматизированные системы управления ИБ, предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для профильных специалистов всех уровней. Такие системы обеспечивают сбор данных от различных подсистем обеспечения ИБ, анализ и хранение событий безопасности, обработку инцидентов, формирование отчетов различной степени детализации, а также хранение в структурированном виде и актуализацию документов, регламентирующих требования информационной безопасности организации, баз инцидентов и рисков, перечней информационных активов и пр.

Типовая структура

В большинстве случаев типовая структура системы автоматизированного управления ИБ имеет трехуровневую архитектуру, выполняющую задачи, которые представлены на рисунке.

Первый уровень предназначен для сбора, первичной обработки (нормализации) и передачи на следующий уровень собранной информации по событиям ИБ. Сбор информации происходит от всех систем и средств обеспечения ИБ, системного и прикладного ПО, АРМ, серверов и сетевого оборудования, средств антивирусной защиты, межсетевых экранов и т.п.

Может быть реализован средствами SIEM-систем (Security Information and Event Management), либо набором специализированных коннекторов, обеспечивающих сбор необходимой информации. При этом существует возможность интеграции с системами физической защиты и другими системами безопасности.

Уровень обработки информации предназначен для сбора, анализа и корреляции событий, поступающих от предыдущего уровня, который, в свою очередь, получает ее из различных систем обеспечения ИБ.

Типовое решение – использование SIEM-системы, которая осуществляет проверку собранной информации на соответствие политике управления инцидентами, обрабатывает и коррелирует информацию, выделяя из множества событий ИБ информацию по инцидентам и передавая полученную информацию о них на уровень управления.

Уровень управления предназначен для автоматизации процесса управления и представляет собой адаптивный интерфейс, позволяющий в режиме реального времени управлять инцидентами ИБ, проводить анализ состояния и выдавать отчеты и рекомендации по состоянию ИБ организации в целом и по отдельным системам безопасности в частности.

Реализуется в виде программной надстройки, позволяющей автоматизировать многие функции управления ИБ и имеющей ряд встроенных модулей, обеспечивающих решение той или иной отдельной задачи по ее обеспечению:

• визуализации данных и создания отчетов о состоянии ИБ;
• реестров информационных активов;
• хранения данных;
• анализа рисков ИБ;
• управления документацией ИБ;
• знаний и рекомендаций;
• управления инцидентами ИБ.

Несомненными достоинствами автоматизированных систем управления ИБ представляются:

• повышение управляемости и эффективности бизнес-процессов, связанных с обеспечением ИБ;
• снижение рисков и времени простоя в случае инцидентов ИБ;
• оптимизация затрат на обеспечение ИБ.

Внедрение и дальнейшее использование автоматизированных систем управления позволят не только повысить эффективность системы обеспечения ИБ, но и выполнить требования большого числа международных и российских стандартов в области ИБ. В частности, внедрение системы менеджмента информационной безопасности поможет выполнить значительную часть требований группы стандартов по ИБ ISO/IEC 27000, часть требований PCI DSS и стандарта Банка России, а также его положений и указаний, требования к созданию подсистемы регистрации и учета систем защиты ПДн и ключевых систем (требования ФСТЭК России).