Главная страница
Навигация по странице:

  • Аудит системы безопасности

  • Аудит безопасности информационных систем для малого бизнеса

  • Из базовых рекомендаций для малого бизнеса стоит выделить элементарные и недорогие, но действенные советы.

  • SIEM (Security Information and Event Management)

  • Базовые задачи SIEM-систем

  • Функциональность в SIEM-систем

  • Средства отображения (информационные панели)

  • Экспертный анализ

  • Однако при успешном внедрении вы получите

  • DLP-система

  • Базовые функции DLP-систем

  • SOC (Security Operations Center, или Центр обеспечения безопасности)

  • Зачем SOC нужен компаниям

  • Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно

  • Подразделения организации совместно решают вопросы безопасности

  • Сокращаются риски для организации

  • Снижаются затраты на кибербезопасность

  • Контроль

    		•

    Нестеров Артем Васильевич инбб0д20211


    Скачать 0.76 Mb.
    НазваниеНестеров Артем Васильевич инбб0д20211
    Дата18.06.2022
    Размер0.76 Mb.
    Формат файлаpptx
    Имя файлаRk8.pptx
    ТипДокументы
    #600843

    Нестеров Артем Васильевич ИНБ-Б-0-Д-2021-1


    РУБЕЖНЫЙ КОНТРОЛЬ 8 по дисциплине «Основы информационной безопасности»

    Российский Государственный Социальный Университет

    Аудит системы безопасности

    Аудит системы безопасности — комплекс мероприятий по выявлению и оценке этих угроз для конкретного бизнеса.

    Существует несколько категорий угроз, способных привести к утечке, потере или ненадлежащему использованию информации в бизнесе.

    Первый вид — целенаправленные действия злоумышленников, намеревающихся получить доступ к вашим данным и использовать их против вас или для получения выгоды. Способов много — от компьютерных атак и хищений до методов социальной инженерии и рейдерских захватов. Причем атаки не обязательно совершают сторонние злоумышленники. Такими действиями вполне могут заниматься сотрудники компании: для шантажа, продажи, захвата власти и т.д. Второй источник — неосмотрительные действия, приводящие к уязвимостям в системе безопасности. Это может быть, например, использование сотрудниками зараженных программ или посещение инфицированных сайтов. Третий вид угрозы — несоблюдение элементарных правил защиты: отсутствие антивирусов, беспорядочное хранение документов и беспрепятственный доступ к ним всех подряд, отсутствие систем дублирования и т.д. Способ проведения аудита зависит от задач и уровня угрозы. Чем меньше компания и ниже продвинутость используемых технологий, тем меньше интерес злоумышленников и проще оценка. Важное условие перед началом аудита — составление технического задания на работающую систему информационной безопасности: и руководство компании и аудитор должны представлять, как будет работать идеальная в их понимании служба.

    Этапы аудита

    Определение границ и глубины оценки — на этом этапе руководство компании решает, в каких областях из перечисленных выше проводить обследование. Оптимальный вариант — сделать оценку по всем направлениям и максимально глубоко, но всегда встает вопрос соответствия затрат и экономической эффективности применения полученных данных. Один из способов сокращения разного вида затрат — сужение зоны оценки до типовых блоков. Например, если в разных подразделениях схожие информационные системы, высока вероятность, что в них присутствуют одинаковые уязвимости. Проверив полностью один филиал компании, остальные можно обследовать уже только на ошибки, обнаруженные в первом. Второй этап — сбор и систематизация данных о видах информации, которая возникает, хранится и передается внутри компании, и которой обмениваются с внешними контрагентами. На этом же этапе проводят инвентаризацию всех технических и программных средств, используемых для генерации, хранения и передачи данных. Третий этап – обследования информационных процессов. Здесь очень много подпунктов и желательно не упустить ни один из них. Лучше всего, если человек, проводящий аудит, будет обследовать прохождение процессов прямо на рабочих местах, а не со слов исполнителей. В ходе этапа определяют участников информационных процессов, как они проходят, какие ресурсы используют, требуемые согласования. По сути, процедура ничем не отличается от описания других бизнес-процессов в компании. Четвертый этап – оценивают техническое и программное обеспечение: сетевое оборудование и компьютеры, базы данных, антивирусы и сетевые экраны, операционные системы на сервере и локальных машинах, средства интернет-коммуникации и другие пользовательские программы и приложения. Важно исследовать состояние не только виртуальных хранилищ, но и физических — архивные комнаты, сейфовое оборудование, в том числе, охранные и противопожарные сигнализации и средства. На пятом этапе, когда создана целостная картина «как есть», ее сравнивают с тем, как надо, то есть с техническим заданием на структуру и функции безопасной информационной системы. В ходе этапа выявляют слабые места, ищут уязвимости и определяют риски.

    Шестой этап аудита — отчет для руководства (заказчика) с указанием недостатков и степени их опасности. Возможно составление плана первоочередных мероприятий по борьбе с высоко рисковыми угрозами.

    Аудит безопасности информационных систем для малого бизнеса

    Для небольших предприятий наибольшую опасность с точки зрения информационных уязвимостей представляют сотрудники и банальная халатность в отношении простых правил. Например, часто предприниматели опасаются передавать ведение собственной бухгалтерии на аутсорс, полагая, что бухгалтер в штате надежнее и безопаснее. Это серьезное заблуждение — узнайте, как бухгалтеры разоряют компании и что делать, чтобы обезопасить себя.

    Из базовых рекомендаций для малого бизнеса стоит выделить элементарные и недорогие, но действенные советы.

    • Создайте внутренние правила информационной безопасности. Обучайте сотрудников правилам и делайте это под роспись.
    • Пропишите в политиках компании понятие конфиденциальной информации, введите санкции за распространение таковой и ограничьте круг людей, которые располагают доступом к секретным сведениям.
    • Следите за тем, какие программы и оборудование сотрудники используют на рабочих местах.
    • Установите антивирусы, сетевые экраны, файрволлы и другие средства программной защиты.
    • Создавайте резервные копии. Классическим решением часто становится использование облачных сервисов — удаленные серверы лучше, чем небольшие физические офисы, защищены от скачков напряжения, пожаров, рейдерских захватов и воровства.

    SIEM (Security Information and Event Management)

    SIEM (Security Information and Event Management) представляет собой инструмент мониторинга, который собирает максимум информации со всех систем, интересных для специалиста информационной безопасности. SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

    Базовые задачи SIEM-систем:

    • сбор, анализ и представление данных, связанных с безопасностью
    • анализ «сигнала» безопасности в режиме реального времени
    • регистрация данных и создание отчетов
    • управление идентификацией и доступом
    • журнал аудита и рецензии
    • реагирование на инциденты безопасности

    Функциональность в SIEM-систем

    • Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.
    • Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management.
    • Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз и т.д.
    • Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.
    • Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.
    • Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения.
    • Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.

    ОРГАНИЗАЦИЯ в SIEM

    SIEM — весьма непростое решение для процесса управления журналами, к тому же достаточно дорогостоящее для внедрения в малом и среднем бизнесе. Для его эксплуатации вам необходимо иметь как минимум одного квалифицированного сотрудника, который будет обеспечивать контроль непрерывности сбора событий, управлять правилами корреляции, корректировать и обновлять их с появлением новых угроз и в соответствии с изменениями в инфраструктуре.  

    Установка SIEM в качестве «черного ящика» с активацией всех предустановленных правил корреляции без надлежащего контроля и управления приведет к растрате бюджета.

    Однако при успешном внедрении вы получите:

    • Корреляцию и оценку влияния IТ- и ИБ-событий и процессов на бизнес;
    • SOC с анализом ситуации в инфраструктуре в режиме реального времени;
    • Автоматизацию процессов обнаружения угроз и аномалий; автоматизацию процессов регистрации и контроля инцидентов;
    • Аудит политик и стандартов соответствия, контроль и отчетность;
    • Задокументированное корректное реагирование на возникающие угрозы ИБ и ИТ в режиме реального времени с приоритизацией в зависимости от влияния угроз на бизнес-процессы;
    • Возможность расследования инцидентов и аномалий, в том числе произошедших давно;
    • Доказательную базу для судебных разбирательств;
    • Отчетность и показатели (KPI, ROI, управление событиями, управление уязвимостями).
      • Мировой рынок SIEM за последние годы сильно консолидировался, на нем появились группа признанных лидеров, а также около десяти догоняющих их или нишевых игроков. В России представлены практически все лидирующие производителей SIEM-систем. Появилась и первая отечественная разработка - КОМРАД от «НПО «Эшелон». Поэтому потенциальный заказчик в России без особо труда сможет выбрать оптимальную для себя

    DLP-система

    DLP-система — это специализированное программное обеспечение, предназначенное для защиты компании от утечек информации. Эта аббревиатура на английском расшифровывается как Data Loss Prevention (предотвращение потери данных) или Data Leakage Prevention (предотвращение утечки данных). Чаще всего для продуктов этого класса используется именно это сокращение.

    Базовые функции DLP-систем:

    • обнаружение и блокировка утечек информации
    • ведение статистики по функционированию корпоративной почты
    • контроль документов, отправляемых на печать
    • анализ информационной активности сотрудников
    • поиск уязвимостей ИТ-инфраструктуры
    • ведение информационного обмена на предприятии в соответствии с нормами отрасли и требованиями госструктур

    ОРГАНИЗАЦИЯ в DLP

    Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр. В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.

    Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP — однозначно необходимое решение.

    SOC (Security Operations Center, или Центр обеспечения безопасности) – это то, что объединяет людей, процессы и технологии в достижении глобальной цели: снижение рисков через повышение киберзащиты в организации. Но прежде всего SOC – это команда экспертов по безопасности, которые вооружены технологиями обнаружения, анализа, подготовки отчетов и предотвращения киберугроз.

    Базовые функции SOC:

    • Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
    • Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
    • Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
    • Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.

    Зачем SOC нужен компаниям?

    • Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.
    • Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно. Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю. 
    • Подразделения организации совместно решают вопросы безопасности. Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения. 
    • Сокращаются риски для организации. Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки. 
    • Снижаются затраты на кибербезопасность. Неважно, что вы защищаете: небольшой ЦОД , облачную инфраструктуру или гибридную среду – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности.

    ОРГАНИЗАЦИЯ в SOC 

    Крупные организации и правительства могут использовать несколько SOC для управления различными группами информационных и коммуникационных технологий или для обеспечения резервирования в случае, если один сайт недоступен. Работа SOC может быть передана на аутсорсинг, например, с помощью управляемой службы безопасности. Термин SOC традиционно использовался правительствами и управляемыми поставщиками компьютерной безопасности, хотя все большее число крупных корпораций и других организаций также имеют такие центры. SOC и центр сетевых операций (NOC) дополняют друг друга и работают в тандеме. НОК обычно отвечает за мониторинг и поддержание общей сетевой инфраструктуры, и его основной функцией является обеспечение бесперебойного обслуживания сети. SOC отвечает за защиту сетей, а также веб-сайтов, приложений, баз данных, серверов и центров обработки данных и других технологий. Аналогичным образом SOC и центр управления физической безопасностью координируют и работают вместе. Физический SOC — это объект в крупных организациях, где сотрудники службы безопасности контролируют и контролируют сотрудников службы безопасности / охранников, сигнализацию, видеонаблюдение, физический доступ, освещение, транспортные барьеры и т. Д.

    Области SOC

    Не каждый SOC имеет одинаковую роль.

    Существует три различные области, в которых SOC может быть активен и которые могут быть объединены в любой комбинации:

    • Контроль - сосредоточение внимания на состоянии безопасности с помощью тестирования соответствия требованиям, тестирования на проникновение, тестирования уязвимостей и т. Д.
    • Мониторинг - сосредоточение внимания на событиях и реагировании с помощью мониторинга журналов, администрирования SIEM и реагирования на инциденты
    • Оперативный - сосредоточение внимания на оперативном администрировании безопасности, таком как управление идентификацией и доступом, управление ключами, администрирование брандмауэра и т.д.
      • В некоторых случаях SOC, NOC или физический SOC могут размещаться на одном объекте или объединяться организационно, особенно если основное внимание уделяется оперативным задачам. Если SOC исходит от организации, сертифицированной CERT, то обычно основное внимание уделяется мониторингу и контролю, и в этом случае SOC работает независимо от NOC, чтобы сохранить разделение обязанностей. Как правило, крупные организации поддерживают отдельный SOC для обеспечения сосредоточенности и экспертных знаний. Затем SOC тесно сотрудничает с сетевыми операциями и операциями физической безопасности.

    написать администратору сайта