8 июля, 2016, BIS Journal №1(20)/2016

Передовые инструменты аналитики и визуализации ИБ в SOC


Пуха Александр

руководитель Центра мониторинга ИБ (АМТ-ГРУП)

Система Security Intelligence позволяет повысить эффективность СМИБ и результативно управлять людьми, процессами и рисками ИБ

Эффективная система менеджмента информационной безопасности (СМИБ) современного банка требует комплексного, многоуровневого подхода, предусматривающего управление людьми, процессами, технологиями и рисками ИБ. Меры и решения по обеспечению ИБ, применяемые на различных уровнях, должны быть согласованы между собой, учитывать возможности и ограничения друг друга. Эффективным решением в данной ситуации является применение в составе SOC специализированных инструментов разноуровневой аналитики и визуализации, позволяющих комплексно отслеживать текущее состояние ИБ — систем класса Security Intelligence.
 
Вне зависимости от того, развивает банк свой внутренний SOC или использует внешний, специфика деятельности обязывает уделять отдельное внимание определенным факторам, включая:
 
♦♦ высокие требования к времени реакции на инциденты ИБ;
 
♦♦ большое количество внутренних и внешних сервисов;
 
♦♦ обширное количество нормативных требований.
 
Для эффективной организации деятельности ИБ на помощь могут прийти специализированные инструменты разноуровневой аналитики и визуализации, позволяющие комплексно отслеживать текущее состояние ИБ, в том числе:
 
♦♦ собирать и анализировать данные из различных источников, не ограничиваясь СЗИ, но включая всевозможные ИТ-системы, ИС и СУБД;
 
♦♦ оперативно детектировать уязвимости, узкие места, «сигналы» в ИБ и повышать оперативность реагирования на них и их устранения;
 
♦♦ в режиме «онлайн» предоставлять разноуровневую аналитику, необходимые срезы данных для принятия решений;
 
♦♦ наглядно демонстрировать руководству результаты работы, осуществлять стратегическое планирование, формируя понятную информацию, оценки KPI ИБ;
 
♦♦ и все это предоставлять в максимально понятном, визуализированном виде.
 
Пользователями указанных инструментов в банке могут быть работники всех уровней, включая:
 
♦♦ оперативный: специалисты ИБ/ ИТ;
 
♦♦ тактический: руководство службы ИБ;
 
♦♦ стратегический: высшее руководство / кураторы ИБ.
 
В то же время, для оперативного уровня, как правило, достаточно «классических» инструментов, например, консолей СЗИ, из которых они могут получать необходимую для повседневной деятельности информацию. Таким образом, основную ценность системы класса Security Intelligence (SI) представляют для тактического и стратегического уровней, в том числе позволяя:
 
♦♦ осуществлять сбор и анализ данных из всевозможных источников, включая обширное количество СЗИ, ИТ-систем (например, CMDB, Service Desk), кадровых систем, отдельных АБС и СУБД, иных структурированных файлов (например, MS Office);
 
♦♦ контролировать ИБ «в одном окне», строя необходимые срезы данных по СЗИ, АБС, бизнес-процессам, работникам банка, офисам и иным критериям;
 
♦♦ сократить трудозатраты на рутинную деятельность, избегая необходимости «ручного» сбора данных, автоматизируя подготовку отчетов и информации;
 
♦♦ наглядно демонстрировать руководству результаты работы, отслеживая важные и понятные для него показатели и оперативно формируя отчеты.
 
Рассмотрим основные особенности и возможные примеры использования указанных инструментов для тактического и стратегического уровней.

ТАКТИЧЕСКИЙ УРОВЕНЬ
 
Для тактического уровня можно привести следующие примеры применения систем SI:
 
♦♦ Контроль соответствия нормативным требованиям: большое количество применимых нормативно-правовых актов и стандартов, которые регулярно претерпевают изменения и могут предусматривать периодическое подтверждение соответствия, превращает соответствие нормативным требованиям в непрерывный процесс, требующий постоянного контроля. Системы класса SI позволяют автоматизировать процесс контроля и в режиме «онлайн» отслеживать соответствие как отдельным требованиям, так и видеть интегральную степень соответствия отдельным нормативным актам и стандартам.
 
♦♦Анализ результативности процессов ИБ: если в банке используются KPI для оценки результативности и эффективности отдельных процессов ИБ (например, согласно ISO/IEC27001), применение систем SI позволит автоматизировать сбор исходных данных для расчета KPI и отслеживать их значения в любой момент времени.
 
♦♦ Контроль состояния ИБ в отдельных офисах. Состояние ИБ в отдельных офисах банка, состав мер и СЗИ могут различаться, как и количество и квалификация персонала на местах. Имеющимися СЗИ не всегда можно построить срез данных о текущем состоянии ИБ в необходимом для тактического уровня виде без дополнительной «ручной» обработки. Системы SI позволяют в едином интерфейсе видеть состояние ИБ как банка в целом, так и любого офиса в отдельности, основываясь на объективных данных от источников на отдельных объектах.
 
♦♦Оперативное формирование отчетности о состоянии ИБ для руководства. Оперативно сформировать отчет для уровня руководства банка «классическими» средствами, как правило, невозможно и требует «ручной» обработки данных. При этом, комплексность информации в отчете обратно пропорциональна оперативности его подготовки. Использование обширного числа показателей результативности и эффективности ИБ в Системах SI, которые можно отслеживать в режиме реального времени, позволяет показать, какие нарушения ИБ и как могут отразиться на нарушениях отдельных бизнес-процессов и АБС, оперативно формировать отчеты для руководства на понятном ему языке.
 
♦♦ Возможность видеть комплексную картинку «на одном экране». Применение систем SI позволяет в «едином окне» видеть текущее состояние ИБ как на верхнем уровне, так и, при необходимости, спускаться до уровня отдельных событий в отдельных СЗИ и АБС. При этом доступ к информации можно получить не только с рабочего места, но и удаленно, в том числе с мобильного устройства.
 
В качестве примеров отслеживаемых показателей, которые могут использоваться на тактическом уровне, можно привести:
 
♦♦ случаи изменения прав в обход установленного регламента, в т. ч. привилегированных пользователей;
 
♦♦ скорость устранения критичных уязвимостей (признанных актуальными для ИС);
 
♦♦ доля узлов, соответствующих политике ИБ (наличие АВЗ, средств мониторинга);
 
♦♦ своевременность и полнота выполнения резервного копирования информационных ресурсов;
 
♦♦ доля работников, прошедших обучение по ИБ, сведения об успешности сдачи тестов.
 
Это лишь примеры, на практике состав показателей, как правило, очень обширен и ограничен только возможностью отдельных целевых источников предоставлять данные в структурированном виде.
 
СТРАТЕГИЧЕСКИЙ УРОВЕНЬ
 
Для стратегического уровня, как правило, важно получать информацию по следующим направлениям, на эффективность которых в той или иной степени влияют процессы обеспечения ИБ:
 
♦♦ достижение целей, которые стоят перед банком;
 
♦♦ поддержание эффективных операционных процессов;
 
♦♦ улучшение публичного имиджа банка;
 
♦♦ соответствие законодательству, контрактным обязательствам;
 
♦♦ управление рисками.
 
Руководство многих банков до сих пор не в полной мере осознает роль ИБ. Системы SI служат инструментом, позволяющим сделать процессы управления ИБ неотъемлемой частью общего менеджмента банка, учесть требования бизнеса, на понятном руководству языке доносить выгоду для бизнеса от реализации мероприятий по ИБ и соответствующие риски.
 
В качестве примеров отслеживаемых показателей, которые могут использоваться на стратегическом уровне, можно привести:
 
♦♦ интегральный уровень риска ИБ банка;
 
♦♦ соблюдение сроков реализации проектов ИБ;
 
♦♦ соответствие требованиям законодательства и стандартов;
 
♦♦ длительность согласования ТЗ на доработку АБС со стороны службы ИБ;
 
♦♦ процент выполнение плана обработки рисков ИБ;
 
♦♦ актуальность документации ИБ;
 
♦♦ результаты внутренней оценки зрелости процессов.
 
ЗАКЛЮЧЕНИЕ И ПЕРСПЕКТИВЫ
 
На текущий момент на рынке представлен ряд систем Security Intelligence, есть отдельные примеры их внедрения и применения. Но до текущего момента это разовые случаи, и широкого распространения системы пока не получили.
 
Тем не менее, ИБ всегда стремится к комплексному подходу и налаживанию связи и понимания с бизнесом. Использование систем класса SI, несомненно, позволяет приблизиться к достижению данных целей, повысить эффективность СМИБ, реализовать комплексный, многоуровневый подход и результативное управление людьми, процессами, технологиями и рисками ИБ.
 

 

Смотрите также

Подпишись на новости!
Подписаться