top of page

C чего начать построение информационной безопасности?


Андрей Козлов | CISO OFFBOX


Ключевые Различия в Подходах к Информационной Безопасности


Существует четыре популярных стратегии построения информационной безопасности (ИБ):

  • С точки зрения активов: Классический подход, где ИБшник фокусируется на защите существующей инфраструктуры – ЦОДы, облака, коммуникации, ERP, OT/ICS и т.п.

  • С точки зрения угроз: Начинающий ИБшник стремится защищаться от всех возможных угроз, даже если их влияние на бизнес или ИТ минимально.

  • С точки зрения требований регуляторов: "Продвинутый силовик" считает, что все требования законодательства должны быть выполнены, вне зависимости от их влияния на бизнес и ИТ.

  • С точки зрения защитных мер: "Продвинутый ИБшник" использует современные защитные меры для нейтрализации угроз, защиты ИТ и выполнения требований регуляторов.

В современном мире наиболее актуальными являются подходы, ориентированные на угрозы и защитные меры.

  • Ориентация на угрозы важна, потому что киберугрозы постоянно эволюционируют. Фокусируясь на актуальных угрозах, компании могут эффективно распределять ресурсы и защищать наиболее критичные активы.

  • Ориентация на защитные меры позволяет использовать современные технологии и методологии для создания комплексной системы ИБ, способной адаптироваться к новым угрозам.

Стоит отметить, что ни один из подходов не является универсальным. Оптимальная стратегия ИБ должна учитывать специфику бизнеса, уровень рисков, требования регуляторов и доступные ресурсы.

Так же стоит учитывать важность фреймворков по ИБ, которые помогают организациям:

  • Определить базовый набор защитных мер.

  • Профилировать организации исходя из требований и окружения.

  • Реализовать набор защитных мер.

  • Оценить текущий уровень защиты информации.

  • Приоритизировать мероприятия по ИБ.

 

Отмечу, что Фреймворки по ИБ являются ценным инструментом для построения эффективной системы информационной безопасности в современном мире.

 

 Концепция Зрелости ИБ

 

ИБ-беспорядок, вероятно, характеризуется:

  • Отсутствием четкой стратегии и понимания целей ИБ.

  • Бессистемным внедрением разрозненных защитных мер.

  • Фокусом на защите инфраструктуры без учета бизнес-потребностей.

Бизнес-ориентированный подход, напротив, предполагает:

  • Четкое понимание бизнес-целей и рисков, связанных с ИБ.

  • Разработку стратегии ИБ, направленной на минимизацию этих рисков и поддержку бизнес-целей.

  • Выбор защитных мер, основанных на анализе рисков и соответствующих специфике бизнеса.

Подчеркну, что каждая компания имеет свой уровень зрелости ИБ, и движение от "беспорядка" к бизнес-ориентированному подходу — это постепенный процесс.

Ключевыми этапами этого процесса являются:

  • Понимание бизнес-контекста ИБ: определение ключевых бизнес-процессов, активов и рисков, связанных с ИБ.

  • Разработка стратегии ИБ: формулировка целей, принципов и подходов к обеспечению ИБ.

  • Внедрение фреймворка по ИБ: выбор подходящего фреймворка и использование его для определения, приоритизации и реализации защитных мер.

 

Ключевые элементы целевой архитектуры ИБ

Описание целевой архитектуры ИБ как основы для построения эффективной системы безопасности.

Ключевые характеристики целевой архитектуры ИБ:

  • Описание желаемой структуры: Архитектура описывает, как должна быть структурирована инфраструктура безопасности организации, включая связанные компоненты и интерфейсы.

  • Комплексный подход: Она учитывает процессы, людей, технологии и различные типы информации.

  • Ориентация на бизнес: Создается с учетом текущих и будущих потребностей бизнеса.

Взаимосвязь с стратегией ИБ:

  • Архитектура: Определяет, ЧТО требуется для достижения целей ИБ.

  • Стратегия: Определяет, КАК эти цели будут достигнуты.

Структура целевой архитектуры ИБ:

  • Три горизонтальных уровня:

  • Концептуальный: Определяет миссию ИБ, сервисы безопасности, принципы и модели. Логический: Разрабатывает модели дизайна, шаблоны требований и архитектуру различных аспектов безопасности (приложений, сети, сервисов).

  • Технологический: Описывает конкретные технологии и решения, используемые для реализации архитектуры.

  • 21 элемент: Включает в себя различные элементы, распределенные по трем уровням, такие как: Уровни доверия Модель доменов доверия Архитектура безопасности приложений Классификатор защищаемой информации Организационная архитектура и другие.

 Фреймворки ИБ как инструмент реализации:

  • Фреймворки по ИБ помогают определить и реализовать набор защитных мер, подходящих для конкретной организации.

  • Они позволяют профилировать организации с учетом различных требований и окружения, оценивать текущий уровень защиты, приоритизировать защитные мероприятия и составлять дорожную карту развития.

Связь с бизнес-целями:

  • Важно понимать, какие угрозы могут помешать достижению бизнес-целей, чтобы правильно выстроить систему защиты.

 

Для чего нужны фреймворки оценки уровня зрелости ИБ

 

  • Определение защитных мер: Фреймворки помогают определить базовый и расширенный набор защитных мер, подходящих для конкретной организации.

  • Профилирование: Фреймворки позволяют создавать профили организаций, учитывая различные требования и условия их функционирования.

  • Оценка текущего состояния: С помощью фреймворков можно оценить текущий уровень защиты информации в организации.

  • Приоритезация: Фреймворки помогают приоритизировать мероприятия по обеспечению безопасности и составить дорожную карту развития.

 

Исходя из описанных функций фреймворков, можно сделать вывод, что они играют важную роль в оценке уровня зрелости ИБ.

 

Cуществует множество широко используемых фреймворков, которые могут быть применены для оценки уровня зрелости ИБ. Некоторые из них:

  • NIST Cybersecurity Framework: Разработан Национальным институтом стандартов и технологий США (NIST).

  • ISO 27001: Международный стандарт по системам менеджмента информационной безопасности.

  • COBIT: Фреймворк для управления и аудита информационных технологий.

 

*Этот список не является исчерпывающим и приведен исключительно в информационных целях. Выбор конкретного фреймворка зависит от многих факторов, таких как размер организации, отрасль, уровень риска и другие. Рекомендуется провести дополнительные исследования, чтобы определить наиболее подходящий фреймворк для вашей организации.

 

 Так с чего же начать построение ИБ?

Построение информационной безопасности (ИБ) - комплексный процесс, требующий структурированного подхода. Ниже изложены различные рекомендации о том, с чего начать:

1. Определите цели ИБ:

  • Свяжите цели ИБ с бизнес-целями компании. Задайте себе вопросы: Что может остановить или замедлить работу вашей организации? Что может привести к снижению прибыли, выручки, маржинальности или доли рынка? Что может снизить качество предоставляемого вами продукта или услуги? Что может негативно повлиять на цель компании, бизнес-подразделения, бизнес-проекта или спонсора проекта? Ответы на эти вопросы помогут сформулировать конкретные и измеримые цели ИБ, которые будут способствовать достижению бизнес-целей.

  • Разработайте стратегию ИБ. Стратегия ИБ - это высокоуровневый план, определяющий цели организации в области безопасности и способы их достижения. Она должна включать: Миссию ИБ Сервисы безопасности Модель стратегических ролей и ответственности

  • Учитывайте нормативное регулирование. В зависимости от отрасли и специфики деятельности вашей компании, вам может потребоваться соответствовать различным нормативным требованиям, таким как: "Закон о персональных данных" PCI DSS (стандарт безопасности данных индустрии платежных карт) GDPR (Общий регламент по защите данных)

2. Проведите оценку рисков:

  • Выявите потенциальные угрозы и уязвимости. Важно понимать, "от чего" вы защищаетесь, даже если эти угрозы не влияют на бизнес или ИТ.

  • Оцените вероятность и потенциальный ущерб от реализации рисков. Это поможет приоритизировать защитные мероприятия и сосредоточиться на наиболее критичных областях.

3. Реализуйте базовые защитные меры:

  • Начните с Топ-4 защитных мер, рекомендованных австралийским регулятором. Application whitelisting (замкнутая программная среда) Обновление приложений (установка патчей) Обновление операционных систем Ограничение административных привилегий Эти меры считаются наиболее эффективными и, как утверждается, "закрывают 85% всех угроз".

  • Рассмотрите возможность реализации дополнительных защитных мер. Источники предлагают различные меры, такие как: Идентификация и аутентификация пользователей и устройств Контроль установки обновлений ПО Резервное копирование данных Сегментирование сети Выбор конкретных мер должен основываться на результатах оценки рисков и учитывать специфику организации.

 4. Модель дизайна является важными инструментами для проектирования и реализации эффективной системы безопасности.

 Модели дизайна:

  • Концептуальные дизайны и модели: Эти модели описывают высокоуровневые концепции безопасности, такие как принципы, политики и процессы.

  • Модель информационных потоков: Эта модель отображает, как информация передается и обрабатывается внутри организации, что помогает выявлять потенциальные уязвимости и риски.

  • Организационные модели: Описывают структуру и роли сотрудников, ответственных за безопасность информации.

  • Модель стратегических ролей и ответственности: Определяет роли и обязанности ключевых лиц в области ИБ.

  • Модель доменов доверия: Разделяет информационную систему на зоны с разным уровнем доверия, что позволяет реализовать более гранулированный контроль доступа.

  • Принципы дизайна защищенной инфраструктуры: Набор принципов, которые должны быть учтены при проектировании и реализации защищенной инфраструктуры.

 5. Используйте фреймворки по ИБ:

  • Фреймворки предоставляют структурированный подход к управлению ИБ. Они помогают: Определить базовый набор защитных мер Профилировать организации Оценить текущий уровень защиты Приоритизировать защитные мероприятия

  • Примеры популярных фреймворков: NIST Cybersecurity Framework, ISO 27001, CIS Controls, SANS Top 20

6. Постоянно совершенствуйте систему ИБ:

  • Мониторинг ИБ: Регулярный мониторинг событий безопасности и анализ инцидентов.

  • Анализ уязвимостей: Регулярное сканирование систем на наличие уязвимостей и своевременное их устранение.

  • Реагирование на инциденты: Разработка и внедрение процедур реагирования на инциденты безопасности.

  • Обучение сотрудников: Повышение осведомленности сотрудников в области ИБ и обучение их правилам безопасной работы.

  • Адаптация к изменениям: Система ИБ должна быть гибкой и способной адаптироваться к изменениям в бизнес-среде, появлению новых угроз и технологий.

 

При реализации стратегии ИБ важно придерживаться принципа Парето - "Небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения".

  • Фокусируйтесь на ключевых элементах: Начните с реализации наиболее важных защитных мер, которые обеспечат максимальную отдачу от вложенных ресурсов.

  • Не существует универсального решения: Построение ИБ - индивидуальный процесс, зависящий от специфики каждой организации.

 

 Для получения более детальных рекомендаций рекомендуется обратиться к специализированной литературе и экспертам в области информационной безопасности.

 

 

11 просмотров

Недавние посты

Смотреть все
bottom of page