Евгений ГнединОпределение целевых систем
Ядро методологииЕвгений ГнединЕвгений ГнединЕвгений ГнединЦелевая система — это объект в информационной инфраструктуре, в результате воздействия злоумышленника на который может непосредственно произойти недопустимое для организации событие. Эти системы являются конечной целью злоумышленника при реализации недопустимого события.
Целевые системы определяются для того, чтобы ограничить круг ресурсов, требующих усиленной защиты и мониторинга событий кибербезопасности в контексте недопустимого события. Выяснив, воздействие на какие системы может повлечь реализацию недопустимого события, и понимая, что это за воздействие, можно обеспечить более узконаправленную защиту вместо того, чтобы защищать все системы от всевозможных угроз на одинаковом уровне.
Для каждой целевой системы должны быть определены:
К работе по определению целевых систем рекомендуется привлекать:
Исходными данными для определения целевых систем являются:
На этапе создания IT-инфраструктур целевые системы определяются на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктур, в том числе при их модернизации, целевые системы определяются для реальных архитектуры и условий функционирования.
Определение целевых систем проводится в два этапа:
Основой для определения целевых систем служат . Так как каждый из сценариев связан с одним или несколькими целевыми бизнес-процессами, к определению целевых систем обязательно должны быть привлечены владельцы таких бизнес-процессов. Как правило, это функциональные (операционные) руководители ключевых подразделений.
Определить целевые бизнес-процессы можно еще на этапе формирования сценариев, но, если это не было сделано, необходимо выбрать те направления деятельности организации, в которых определены недопустимые события, провести интервью с руководителями ключевых функциональных подразделений в этих направлениях и выяснить, в чьей зоне ответственности находятся утвержденные сценарии реализации недопустимых событий.
Если сценарий реализуется в рамках бизнес-процесса проведения платежей контрагентам, то владельцем бизнес-процесса может быть директор финансово-экономического департамента. Если сценарий связан с выводом из строя производственного конвейера в цехе, то владельцем бизнес-процесса может быть главный инженер или главный технолог предприятия.
Определение целевых систем проводится в рамках рабочего совещания (или серии совещаний) с каждым владельцем целевых бизнес-процессов в отдельности. На таком совещании формируются гипотезы о целевых системах, которые впоследствии проверяются на практике. Гипотезы формулируются на основе определения конечной точки кибератаки — той системы и того действия злоумышленника в системе, которые вызывают наступление недопустимого события (реализацию соответствующего сценария). Как основу для подготовки плана совещания можно использовать примеры вопросов, приведенные в конце статьи в приложении А.
Для эффективного проведения совещания воспользуйтесь следующими рекомендациями:
Для целевых систем, наименования которых сформулированы руководителями функциональных направлений на первом этапе, необходимо указать адреса и доменные имена (при наличии). Такая информация может быть получена в подразделении информационных технологий.
По результатам выполнения двух шагов составляется перечень целевых систем, в котором указываются:
Пример того, как может быть оформлен перечень целевых систем, приведен в конце статьи в приложении Б.
Количество целевых систем зависит от:
Для каждого сценария реализации недопустимого события должна быть определена как минимум одна целевая система. Чем больше недопустимых событий и сценариев их реализации, тем больше целевых систем потребуется определить.
Сложность целевого бизнес-процесса может приводить к увеличению числа целевых систем: чем сложнее процесс, тем больше в нем может быть точек отказа.
Убедиться в правильности выбора целевых систем можно по результатам практической верификации недопустимых событий или . При организации таких работ одной из задач исполнителя должно стать выявление возможных неучтенных ранее сценариев реализации недопустимых событий и целевых систем, не вошедших в перечень недопустимых событий. При выявлении новых целевых систем и (или) сценариев реализации недопустимых событий, соответствующие перечни должны быть актуализированы.
До проведения практической верификации или киберучений определить правильность выбора целевых систем можно оценочно, используя критерии. Целевой может быть признана система, отвечающая следующим критериям:
Наименования целевых систем добавляются в перечень (реестр) недопустимых событий.
На этапе «приземления» недопустимых событий на IT-инфраструктуру .
На этапе целевые системы указываются в качестве конечных целей кибератаки для исполнителя работ.
При составлении программы кибертрансформации целевые системы становятся приоритетными точками приложения усилий по защите IT-инфраструктуры от кибератак.
В итоге перечень целевых систем позволяет перейти от недопустимых событий, сформулированных на языке бизнеса, к конкретным объектам в информационной инфраструктуре организации, сузить круг тех систем, которые требуют усиленной защиты и мониторинга в контексте реализации недопустимых событий.
| 4. Подведение итогов и дальнейшие шаги | Итоги обсуждения закрепляются в протоколе совещания и на их основе формируется предварительный перечень целевых систем, в котором указывается их наименование и соответствующие действия нарушителя для реализации недопустимого события. Его проверка и уточнение будут выполняться позднее в рамках практической проверки реализуемости недопустимых событий . |
| На каких из перечисленных значимых систем может быть непосредственно реализовано недопустимое событие? |
| Перечисление наименований целевых систем |
| Для каждого сценария реализации недопустимого события должна быть определена как минимум одна целевая система. При этом система может оказаться целевой одновременно для нескольких сценариев (в том числе для разных недопустимых событий) |
| 5 | Поясните, в результате каких действий в целевой системе или какого воздействия на нее нарушитель сможет реализовать недопустимое событие? | Описание действий нарушителя в целевой системе или воздействия на нее с привязкой к конкретному сценарию реализации недопустимого события | Для каждой целевой системы и соответствующего сценария реализации недопустимого события должны быть обозначены соответствующие действия в системе (воздействие на нее). К ответу на этот вопрос рекомендуется привлекать сотрудников профильных подразделений, участвующих в целевом бизнес-процессе, и специалистов по тестированию на проникновение |
| 6 | В чьей еще зоне ответственности (из числа руководителей организации) могут быть сценарии недопустимых событий из перечня недопустимых событий (в том числе те сценарии, которые обсуждались в рамках данного интервью)? | Перечисление имен и должностей руководителей с привязкой к сценариям реализации недопустимых событий | С указанными в ответе руководителями рекомендуется провести аналогичное совещание |
| 7 | Есть ли еще системы, которые, по вашему мнению, должны быть также определены как целевые, но которые не были упомянуты в рамках совещания, и какое действие (воздействие) нарушителя может повлечь наступление недопустимого события? | Перечисление наименований целевых систем и соответствующих действий (типов воздействия) нарушителя в контексте конкретного недопустимого события | Если такие системы будут перечислены, их следует добавить в перечень целевых систем |
| Невозможность оказания цифровой услуги в течение более 8 часов | Распределенная атака типа «отказ в обслуживании», направленная на веб-сайт для предоставления услуги | Оказание цифровой услуги через веб-сайт организации | Веб-сайт для оказания услуги | ххх.ххх.ххх.ххх (example.com) | DDoS-атака на сайт интенсивностью, достаточной для нарушения работы сайта, и длительностью более 8 часов |
| Публикация платежной информации более чем 100 VIP-клиентов на сайтах с утечками данных | Кража базы данных VIP-клиентов, содержащей платежные данные | Обработка платежных данных VIP-клиентов | База данных VIP-клиентов, содержащая информацию об остатках на счетах, номерах платежных карт и финансовых операциях | 10.14.7.132 (serv-vipdb-01) 10.14.7.135 (serv-vipdb-02) | Несанкционированное копирование базы данных |