Андрей Козлов | CISO OFFBOX
Ключевые Различия в Подходах к Информационной Безопасности
Существует четыре популярных стратегии построения информационной безопасности (ИБ):
С точки зрения активов: Классический подход, где ИБшник фокусируется на защите существующей инфраструктуры – ЦОДы, облака, коммуникации, ERP, OT/ICS и т.п.
С точки зрения угроз: Начинающий ИБшник стремится защищаться от всех возможных угроз, даже если их влияние на бизнес или ИТ минимально.
С точки зрения требований регуляторов: "Продвинутый силовик" считает, что все требования законодательства должны быть выполнены, вне зависимости от их влияния на бизнес и ИТ.
С точки зрения защитных мер: "Продвинутый ИБшник" использует современные защитные меры для нейтрализации угроз, защиты ИТ и выполнения требований регуляторов.
В современном мире наиболее актуальными являются подходы, ориентированные на угрозы и защитные меры.
Ориентация на угрозы важна, потому что киберугрозы постоянно эволюционируют. Фокусируясь на актуальных угрозах, компании могут эффективно распределять ресурсы и защищать наиболее критичные активы.
Ориентация на защитные меры позволяет использовать современные технологии и методологии для создания комплексной системы ИБ, способной адаптироваться к новым угрозам.
Стоит отметить, что ни один из подходов не является универсальным. Оптимальная стратегия ИБ должна учитывать специфику бизнеса, уровень рисков, требования регуляторов и доступные ресурсы.
Так же стоит учитывать важность фреймворков по ИБ, которые помогают организациям:
Определить базовый набор защитных мер.
Профилировать организации исходя из требований и окружения.
Реализовать набор защитных мер.
Оценить текущий уровень защиты информации.
Приоритизировать мероприятия по ИБ.
Отмечу, что Фреймворки по ИБ являются ценным инструментом для построения эффективной системы информационной безопасности в современном мире.
Концепция Зрелости ИБ
ИБ-беспорядок, вероятно, характеризуется:
Отсутствием четкой стратегии и понимания целей ИБ.
Бессистемным внедрением разрозненных защитных мер.
Фокусом на защите инфраструктуры без учета бизнес-потребностей.
Бизнес-ориентированный подход, напротив, предполагает:
Четкое понимание бизнес-целей и рисков, связанных с ИБ.
Разработку стратегии ИБ, направленной на минимизацию этих рисков и поддержку бизнес-целей.
Выбор защитных мер, основанных на анализе рисков и соответствующих специфике бизнеса.
Подчеркну, что каждая компания имеет свой уровень зрелости ИБ, и движение от "беспорядка" к бизнес-ориентированному подходу — это постепенный процесс.
Ключевыми этапами этого процесса являются:
Понимание бизнес-контекста ИБ: определение ключевых бизнес-процессов, активов и рисков, связанных с ИБ.
Разработка стратегии ИБ: формулировка целей, принципов и подходов к обеспечению ИБ.
Внедрение фреймворка по ИБ: выбор подходящего фреймворка и использование его для определения, приоритизации и реализации защитных мер.
Ключевые элементы целевой архитектуры ИБ
Описание целевой архитектуры ИБ как основы для построения эффективной системы безопасности.
Ключевые характеристики целевой архитектуры ИБ:
Описание желаемой структуры: Архитектура описывает, как должна быть структурирована инфраструктура безопасности организации, включая связанные компоненты и интерфейсы.
Комплексный подход: Она учитывает процессы, людей, технологии и различные типы информации.
Ориентация на бизнес: Создается с учетом текущих и будущих потребностей бизнеса.
Взаимосвязь с стратегией ИБ:
Архитектура: Определяет, ЧТО требуется для достижения целей ИБ.
Стратегия: Определяет, КАК эти цели будут достигнуты.
Структура целевой архитектуры ИБ:
Три горизонтальных уровня:
Концептуальный: Определяет миссию ИБ, сервисы безопасности, принципы и модели. Логический: Разрабатывает модели дизайна, шаблоны требований и архитектуру различных аспектов безопасности (приложений, сети, сервисов).
Технологический: Описывает конкретные технологии и решения, используемые для реализации архитектуры.
21 элемент: Включает в себя различные элементы, распределенные по трем уровням, такие как: Уровни доверия Модель доменов доверия Архитектура безопасности приложений Классификатор защищаемой информации Организационная архитектура и другие.
Фреймворки ИБ как инструмент реализации:
Фреймворки по ИБ помогают определить и реализовать набор защитных мер, подходящих для конкретной организации.
Они позволяют профилировать организации с учетом различных требований и окружения, оценивать текущий уровень защиты, приоритизировать защитные мероприятия и составлять дорожную карту развития.
Связь с бизнес-целями:
Важно понимать, какие угрозы могут помешать достижению бизнес-целей, чтобы правильно выстроить систему защиты.
Для чего нужны фреймворки оценки уровня зрелости ИБ
Определение защитных мер: Фреймворки помогают определить базовый и расширенный набор защитных мер, подходящих для конкретной организации.
Профилирование: Фреймворки позволяют создавать профили организаций, учитывая различные требования и условия их функционирования.
Оценка текущего состояния: С помощью фреймворков можно оценить текущий уровень защиты информации в организации.
Приоритезация: Фреймворки помогают приоритизировать мероприятия по обеспечению безопасности и составить дорожную карту развития.
Исходя из описанных функций фреймворков, можно сделать вывод, что они играют важную роль в оценке уровня зрелости ИБ.
Cуществует множество широко используемых фреймворков, которые могут быть применены для оценки уровня зрелости ИБ. Некоторые из них:
NIST Cybersecurity Framework: Разработан Национальным институтом стандартов и технологий США (NIST).
ISO 27001: Международный стандарт по системам менеджмента информационной безопасности.
COBIT: Фреймворк для управления и аудита информационных технологий.
*Этот список не является исчерпывающим и приведен исключительно в информационных целях. Выбор конкретного фреймворка зависит от многих факторов, таких как размер организации, отрасль, уровень риска и другие. Рекомендуется провести дополнительные исследования, чтобы определить наиболее подходящий фреймворк для вашей организации.
Так с чего же начать построение ИБ?
Построение информационной безопасности (ИБ) - комплексный процесс, требующий структурированного подхода. Ниже изложены различные рекомендации о том, с чего начать:
1. Определите цели ИБ:
Свяжите цели ИБ с бизнес-целями компании. Задайте себе вопросы: Что может остановить или замедлить работу вашей организации? Что может привести к снижению прибыли, выручки, маржинальности или доли рынка? Что может снизить качество предоставляемого вами продукта или услуги? Что может негативно повлиять на цель компании, бизнес-подразделения, бизнес-проекта или спонсора проекта? Ответы на эти вопросы помогут сформулировать конкретные и измеримые цели ИБ, которые будут способствовать достижению бизнес-целей.
Разработайте стратегию ИБ. Стратегия ИБ - это высокоуровневый план, определяющий цели организации в области безопасности и способы их достижения. Она должна включать: Миссию ИБ Сервисы безопасности Модель стратегических ролей и ответственности
Учитывайте нормативное регулирование. В зависимости от отрасли и специфики деятельности вашей компании, вам может потребоваться соответствовать различным нормативным требованиям, таким как: "Закон о персональных данных" PCI DSS (стандарт безопасности данных индустрии платежных карт) GDPR (Общий регламент по защите данных)
2. Проведите оценку рисков:
Выявите потенциальные угрозы и уязвимости. Важно понимать, "от чего" вы защищаетесь, даже если эти угрозы не влияют на бизнес или ИТ.
Оцените вероятность и потенциальный ущерб от реализации рисков. Это поможет приоритизировать защитные мероприятия и сосредоточиться на наиболее критичных областях.
3. Реализуйте базовые защитные меры:
Начните с Топ-4 защитных мер, рекомендованных австралийским регулятором. Application whitelisting (замкнутая программная среда) Обновление приложений (установка патчей) Обновление операционных систем Ограничение административных привилегий Эти меры считаются наиболее эффективными и, как утверждается, "закрывают 85% всех угроз".
Рассмотрите возможность реализации дополнительных защитных мер. Источники предлагают различные меры, такие как: Идентификация и аутентификация пользователей и устройств Контроль установки обновлений ПО Резервное копирование данных Сегментирование сети Выбор конкретных мер должен основываться на результатах оценки рисков и учитывать специфику организации.
4. Модель дизайна является важными инструментами для проектирования и реализации эффективной системы безопасности.
Модели дизайна:
Концептуальные дизайны и модели: Эти модели описывают высокоуровневые концепции безопасности, такие как принципы, политики и процессы.
Модель информационных потоков: Эта модель отображает, как информация передается и обрабатывается внутри организации, что помогает выявлять потенциальные уязвимости и риски.
Организационные модели: Описывают структуру и роли сотрудников, ответственных за безопасность информации.
Модель стратегических ролей и ответственности: Определяет роли и обязанности ключевых лиц в области ИБ.
Модель доменов доверия: Разделяет информационную систему на зоны с разным уровнем доверия, что позволяет реализовать более гранулированный контроль доступа.
Принципы дизайна защищенной инфраструктуры: Набор принципов, которые должны быть учтены при проектировании и реализации защищенной инфраструктуры.
5. Используйте фреймворки по ИБ:
Фреймворки предоставляют структурированный подход к управлению ИБ. Они помогают: Определить базовый набор защитных мер Профилировать организации Оценить текущий уровень защиты Приоритизировать защитные мероприятия
Примеры популярных фреймворков: NIST Cybersecurity Framework, ISO 27001, CIS Controls, SANS Top 20
6. Постоянно совершенствуйте систему ИБ:
Мониторинг ИБ: Регулярный мониторинг событий безопасности и анализ инцидентов.
Анализ уязвимостей: Регулярное сканирование систем на наличие уязвимостей и своевременное их устранение.
Реагирование на инциденты: Разработка и внедрение процедур реагирования на инциденты безопасности.
Обучение сотрудников: Повышение осведомленности сотрудников в области ИБ и обучение их правилам безопасной работы.
Адаптация к изменениям: Система ИБ должна быть гибкой и способной адаптироваться к изменениям в бизнес-среде, появлению новых угроз и технологий.
При реализации стратегии ИБ важно придерживаться принципа Парето - "Небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения".
Фокусируйтесь на ключевых элементах: Начните с реализации наиболее важных защитных мер, которые обеспечат максимальную отдачу от вложенных ресурсов.
Не существует универсального решения: Построение ИБ - индивидуальный процесс, зависящий от специфики каждой организации.
Для получения более детальных рекомендаций рекомендуется обратиться к специализированной литературе и экспертам в области информационной безопасности.