
Что такое целевая система
Целевая система — это объект в информационной инфраструктуре, в результате воздействия злоумышленника на который может непосредственно произойти недопустимое для организации событие. Эти системы являются конечной целью злоумышленника при реализации недопустимого события.
Зачем определять целевые системы
Целевые системы определяются для того, чтобы ограничить круг ресурсов, требующих усиленной защиты и мониторинга событий кибербезопасности в контексте недопустимого события. Выяснив, воздействие на какие системы может повлечь реализацию недопустимого события, и понимая, что это за воздействие, можно обеспечить более узконаправленную защиту вместо того, чтобы защищать все системы от всевозможных угроз на одинаковом уровне.
Какая информация необходима для описания целевых систем
Для каждой целевой системы должны быть определены:
- наименование;
- IP-адрес и доменное имя (при наличии);
- действие в системе или воздействие на систему, которое приводит к реализации недопустимого события (оно должно быть конкретизировано применительно к целевой системе).
Как определить целевые системы
К работе по определению целевых систем рекомендуется привлекать:
- владельцев бизнес-процессов, в рамках которых возможна реализация недопустимых событий (целевых бизнес-процессов);
- специалистов подразделения информационных технологий;
- специалистов по кибербезопасности и тестированию на проникновение;
- представителей профильных подразделений, участвующих в целевых бизнес-процессах;
- других специалистов, чьи компетенции могут быть полезны рабочей группе для решения задач в рамках данной методологии.
Исходными данными для определения целевых систем являются:
- информация о недопустимых событиях и сценариях их реализации;
- описание бизнес-процессов организации;
- результаты инвентаризации информационных ресурсов;
- документация на сети и системы (включая схемы сетей);
- результаты тестирования на проникновение или верификации недопустимых событий;
- другая информация об объектах информационной инфраструктуры.
На этапе создания IT-инфраструктур целевые системы определяются на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктур, в том числе при их модернизации, целевые системы определяются для реальных архитектуры и условий функционирования.
Определение целевых систем проводится в два этапа:
Этап 1
Основой для определения целевых систем служат сценарии реализации недопустимых событий . Так как каждый из сценариев связан с одним или несколькими целевыми бизнес-процессами, к определению целевых систем обязательно должны быть привлечены владельцы таких бизнес-процессов. Как правило, это функциональные (операционные) руководители ключевых подразделений.
Определить целевые бизнес-процессы можно еще на этапе формирования сценариев, но, если это не было сделано, необходимо выбрать те направления деятельности организации, в которых определены недопустимые события, провести интервью с руководителями ключевых функциональных подразделений в этих направлениях и выяснить, в чьей зоне ответственности находятся утвержденные сценарии реализации недопустимых событий.
Если сценарий реализуется в рамках бизнес-процесса проведения платежей контрагентам, то владельцем бизнес-процесса может быть директор финансово-экономического департамента. Если сценарий связан с выводом из строя производственного конвейера в цехе, то владельцем бизнес-процесса может быть главный инженер или главный технолог предприятия.
Определение целевых систем проводится в рамках рабочего совещания (или серии совещаний) с каждым владельцем целевых бизнес-процессов в отдельности. На таком совещании формируются гипотезы о целевых системах, которые впоследствии проверяются на практике. Гипотезы формулируются на основе определения конечной точки кибератаки — той системы и того действия злоумышленника в системе, которые вызывают наступление недопустимого события (реализацию соответствующего сценария). Как основу для подготовки плана совещания можно использовать примеры вопросов, приведенные в конце статьи в приложении А.
Для эффективного проведения совещания воспользуйтесь следующими рекомендациями:
Этап 2
Для целевых систем, наименования которых сформулированы руководителями функциональных направлений на первом этапе, необходимо указать адреса и доменные имена (при наличии). Такая информация может быть получена в подразделении информационных технологий.
По результатам выполнения двух шагов составляется перечень целевых систем, в котором указываются:
- недопустимое событие;
- сценарии реализации недопустимого события;
- целевые системы (с привязкой к соответствующим сценариям);
- IP-адреса и доменные имена целевых систем;
- действия в целевой системе (или воздействие на систему), которые приведут к реализации недопустимого события.
Пример того, как может быть оформлен перечень целевых систем, приведен в конце статьи в приложении Б.
От чего зависит количество целевых систем
Количество целевых систем зависит от:
- количества недопустимых событий;
- количества сценариев реализации недопустимых событий;
- сложности целевых-бизнес-процессов.
Для каждого сценария реализации недопустимого события должна быть определена как минимум одна целевая система. Чем больше недопустимых событий и сценариев их реализации, тем больше целевых систем потребуется определить.
Сложность целевого бизнес-процесса может приводить к увеличению числа целевых систем: чем сложнее процесс, тем больше в нем может быть точек отказа.
Как убедиться, что целевые системы определены правильно
Убедиться в правильности выбора целевых систем можно по результатам практической верификации недопустимых событий или киберучений . При организации таких работ одной из задач исполнителя должно стать выявление возможных неучтенных ранее сценариев реализации недопустимых событий и целевых систем, не вошедших в перечень недопустимых событий. При выявлении новых целевых систем и (или) сценариев реализации недопустимых событий, соответствующие перечни должны быть актуализированы.
До проведения практической верификации или киберучений определить правильность выбора целевых систем можно оценочно, используя критерии. Целевой может быть признана система, отвечающая следующим критериям:
- система задействована в целевом бизнес-процессе;
- существует такое действие в системе или воздействие на систему, которое приводит к реализации недопустимого события (непосредственно либо при условии связанной цепочки воздействий на другие системы).
Как использовать перечень целевых систем
Наименования целевых систем добавляются в перечень (реестр) недопустимых событий.
На этапе «приземления» недопустимых событий на IT-инфраструктуру целевые системы накладываются на бизнес-процессы .
На этапе практической проверки реализуемости недопустимых событий целевые системы указываются в качестве конечных целей кибератаки для исполнителя работ.
При составлении программы кибертрансформации целевые системы становятся приоритетными точками приложения усилий по защите IT-инфраструктуры от кибератак.
В итоге перечень целевых систем позволяет перейти от недопустимых событий, сформулированных на языке бизнеса, к конкретным объектам в информационной инфраструктуре организации, сузить круг тех систем, которые требуют усиленной защиты и мониторинга в контексте реализации недопустимых событий.