СУИБ: как работает система управления информационной безопасностью

Вместе с ростом актуальности кибербезопасности в бизнесе, растет и количество стереотипов относительно того, как она реализуется на практике. Для многих ИБ – это набор программ и утилит, которые достаточно просто включить «из коробки», и компания автоматически станет защищенной. Для других – это набор регламентов и указов, то есть – соответствие комплаенсу, которое, если и не убережет от хакеров, то точно убережет от штрафа.

Но истина, как это часто бывает, находится посередине: информационная безопасность это комплекс мер и решений, направленных на защиту бизнес-процессов компании от киберрисков. И эффективная защита в этом контексте невозможна без системы управления ИБ.

Без отлаженной системы управления информационной безопасностью нет гарантии того, что таргетируемые ИС инциденты будут замечены и проработаны. Низкий уровень взаимодействия между самими ИС может привести к тому, что инцидент и вовсе не будет таргетирован.

В этой статье будут рассмотрены основные составляющие системы управления информационной безопасностью с точки зрения бизнеса, лучшие практики и регламенты, которыми можно руководствоваться при построении СУИБ.

Основа системы УИБ

В основе любого управления процессами лежат не программные средства, а регламент, который содержит в себе информацию о:

порядке взаимодействия и реагирования на инциденты;
угрозах и рисках, которые актуальны для конкретной компании.

На основе этой информации подбираются технические решения для защиты. Это могут быть как универсальные, базовые решения, вроде антивируса или системы аутентификации, так и более продвинутые системы разных классов и направления.

Александр Новиков

Руководитель службы исследований, кибераналитики и развития Группы Т1

СУИБ – это не система, в которой есть консоль управления и кнопка «включить безопасность», а зрелый менеджмент в ИБ, методология создания, внедрения и оценки эффективности механизмов ИБ. Для перехода к СУИБ необходим определенный уровень зрелости организации, процессов и наличие риск-ориентированного подхода.

Анализ рисков через определение стоимости активов компании является сердцем системы управления ИБ. СУИБ дает возможность увидеть зависимость бизнес-рисков от рисков ИБ, что в свою очередь позволяет принимать более взвешенные решения для бизнеса в условиях цифровизации и увеличения атак на ИТ-инфраструктуры. Среди других преимуществ можно выделить повышение конкурентоспособности компании и уровня надежности для клиентов, митигацию репутационных рисков, погружение руководства компании в вопросы ИБ, а также прозрачность управления через критерии оценки эффективности выполняемых мероприятий (KPI/SLA) и бюджета ИБ.

После того, как кибербезопасность выстроена на административном уровне, наступает очередь технического. Подбираются и интегрируются соответствующие системы, налаживается их взаимодействие между собой, создаются правила детекции или реагирования для информационных систем.

Поскольку интеграция СУИБ, в большей степени, характерна для зрелых, с точки зрения кибербезопасности, компаний, важную роль здесь играет подход ИБ-руководителей к работе над защитой компании. Если CISO способен не только управлять ИБ-службой, но и транслировать важность кибербезопасности для остальных топ-менеджеров компании, сама система будет работать на порядок эффективнее, особенно в контексте развития новых программных продуктов компании.

Критерии выбора средств СУИБ

Если оставить за скобками вопрос оптимизации бюджета на информационную безопасность, то самый простой способ для компании – это обращение к крупному вендору, в линейке продуктов которого есть большинство необходимых систем. Этот подход привлекателен тем, что участие компании сводится к минимуму, поскольку вендор обладает достаточным уровнем компетенций, его продукты гарантированно взаимодействуют между собой, и проблем с интеграцией этих систем в инфраструктуру компании возникнуть не должно.

Однако, практика показывает, что бюджет на информационную безопасность в компании редко позволяет «разгуляться», и большинство специалистов стремятся найти не только эффективные, но и бюджетные решения. Критерии выбора таких решений можно посмотреть в российских и международных стандартах.

Алексей Винниченко

Руководитель отдела информационной безопасности Цифроматики

Создание эффективной СУИБ - это индивидуальный подход для каждой организации. При внедрении СУИБ, в основном, стоит руководствоваться рекомендациями стандарта ISO/IEC 27001 и лучшими практиками, которые описаны стандартом ISO/IEC 27002, а также иными отраслевыми стандартами. При этом важно не просто внедрить рекомендованные практики, а оптимизировать процессы СУИБ так, чтобы они реально работали в организации.

Стоит также отдельно выделить такой критерий, как специфика отрасли, в которой работает компания. Если говорить об «обучаемых» системах с кастомными правилами и регламентами, то некоторые вендоры предлагают решения, которые наиболее оптимальны для конкретных отраслей.

Важную роль играет также вопрос совместимости тех или иных решений. Чем сложнее наладить взаимодействие – тем дольше и сложнее будет процесс внедрения СУИБ. Это особенно актуально для компаний, которые выстраивают насыщенную оборону и используют с десяток и более решений разного класса.

Майя Пасова

Аналитик информационной безопасности в компании R-Vision

Основные критерии, на которые стоит опираться при выборе СУИБ, это присутствие необходимого функционала в продукте, гибкость интеграции и подключения к различным системам. Кроме этого, важными критериями являются возможность использования нескольких направлений безопасности в одном продукте, например, расширенные возможности аутентификации и антивирусная защита из одной “коробки”, а также наличие сертификата регулятора и, при необходимости, способность самостоятельной настройки и внедрения системы. По сути система управления ИБ может состоять как из продуктов нескольких вендоров, так и из решений одного вендора. При выборе СУИБ стоит учитывать и такой фактор, как профессиональные навыки штата ИБ-специалистов: смогут ли они подобрать несколько решений от разных разработчиков так, чтобы охватить весь спектр защиты информации в организации, и возможно даже самостоятельно настроить эти системы.

Технические компоненты СУИБ

С точки зрения технического оснащения СУИБ главным критерием является степень покрытия целевых систем средствами обнаружения и реагирования на инциденты. Поэтому к инструментам « первой необходимости» традиционно относят антивирусы, межсетевые экраны, инструменты защиты почтовых сервисов и анти-DDoS, а также ряд других решений. Для зрелых компаний характерно использование более продвинутых инструментов, к которым можно отнести системы сбора данных с конечных точек, анализаторы трафика, системы контроля доступа и другие.

Андрей Пестов

Архитектор компании RooX

В целевом представлении в СУИБ (SIEM) попадают события со всего оборудования и ПО, в частности, обеспечивающего и контролирующего доступы к системе, этакое всевидящее око, но это всегда баланс приоритетов и возможностей. Одна из стратегий -- это начать процесс внедрения с типовых подключений, так как многие рыночные решения уже проинтегрированы между собой. Например, подключать:

сетевую инфраструктуру (маршрутизаторы, межсетевые экраны и т.д.)

системы обнаружения и предотвращения вторжений (IPS/IDS)

системы предотвращения утечек информации (DLP)

системное ПО

системы контроля доступа клиентов (CIAM, SSO) и сотрудников (IDM, службы каталогов.

Все это позволяет стартовать поиски и расследования подозрительной активности, включая случаи, когда злоумышленник подчищает логи в исходных системах.

В идеальном случае, уместно снабдить СУИБ не только средствами детекции, визуализации и реагирования, но и аналитики, к которым можно отнести доступ к TI-платформам и другим аналитическим базам, которые позволяют обеспечить высокий уровень актуальности знаний об угрозах «сегодняшнего дня».

Вывод

СУИБ – это не «коробочное решение», которое можно просто купить и развернуть в компании. Это, в первую очередь, процессы и регламенты, которые говорят о зрелости компании с точки зрения кибербезопасности, стратегическом подходе к реализации ИБ в рамках защиты бизнес-процессов.

Михаил Савельев

Директор по развитию бизнеса компании «Гарда Технологии»

Информационную безопасность в компании можно рассматривать по-разному. При этом, для каждой точки зрения можно найти контраргументы. Традиционно об ИБ говорили как о гигиене, в последнее время модно «преподносить» как конкурентное преимущество. Еще один вариант «упаковки» – средство защиты от недопустимых последствий. Можно просто представить ИБ как «налог» на то, что компания работает в цифровом пространстве. Последствия кибератак для одних компаний несет уход с рынка и разорение, а для других проходит почти бесследно, несмотря на утечки данных и простои инфраструктуры.

При этом, так же как страховой полис не спасает от самой аварии или пожара, так и выстроенная система ИБ с высокой, но не 100% вероятностью может предотвратить или смягчить последствия кибератаки. В среднем по рынку ситуация напоминает бег от медведя, когда ты должен быть более защищен, чем аналогичные компании, и тогда есть вероятность, что хакеры скорее придут к ним. Но тут встает вопрос о том, как повысить эффективность в зависимости от точки зрения, затрат или вложений в ИБ. Решить оптимизационную задачу и можно выстраивая систему управления ИБ. Вот только она не является каким-то волшебным программным продуктом, а представляет собой планомерную работу по выявлению реальных рисков компании, выбора способов снижения возможностей их реализации, и только в конце – внедрение систем и построение процессов ИБ.

Осознание рисков и готовность их нивелировать – это драйвер, который лежит в основе обеспечения информационной безопасности на зрелом уровне. При этом организации, для которых кибербезопасность стала насущным вопросом, скорее всего, не ограничатся одним « нормативным» введением СУИБ в свою деятельность, но будут использовать и практики безопасной разработки, другие решения из мира кибербезопасности, которые в комплексе кратно повысят уровень защищенности компании.

Информационная безопасность Кибербезопасность