Принципы построения центра противодействия киберугрозам

Центр противодействия киберугрозам (ЦПК) — организационная структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимых событий, реагирует на эти факторы и минимизирует негативные последствия действий злоумышленников. Мониторингу подлежат только системы, которые являются целями злоумышленников при реализации недопустимых событий или служат источниками таких событий. Это позволяет сократить время и финансовые затраты на построение защиты. Таким образом, ЦПК включает в себя набор программных и программно-аппаратных средств, персонал, утвержденные процессы и процедуры.

Для создания эффективно функционирующего ЦПК необходимо провести оценку зрелости информационной безопасности в организации. Для получения максимально полной оценки рекомендуется построить операционную модель информационной безопасности и с помощью различных методик, например CMMI (Capability Maturity Model Integration), оценить зрелость процессов. Такая модель является абстрактным описанием применяемых способов и порядка реализации корпоративной стратегии в повседневной деятельности компании, используется для более четкого определения областей деятельности и помогает понять, как наилучшим образом организовать людей, технологии и процессы для достижения поставленных стратегических целей.

Операционная модель состоит из трех уровней:

стратегический, отвечающий за долгосрочное общее планирование и управление деятельностью ЦПК;
операционный, отвечающий за деятельность, ведущуюся по принятым планам;
технологический, отвечающий за системы и данные, поддерживающие операционную и стратегическую деятельность.

На основании проведенной оценки уровня зрелости информационной безопасности разрабатывается целевая архитектура ЦПК в виде трех представлений:

процессное представление, которое будет учитывать все необходимые для функционирования ЦПК процессы;
представление организационной структуры, которое будет учитывать роли работников, необходимые для выполнения процессов, определенных в процессном представлении;
технологическое представление, которое будет учитывать системы (технологии), обеспечивающие поддержание всех процессов, определенных в процессном представлении.

На основании целевой архитектуры в рамках программы кибертрансформации организации разрабатывается программа построения ЦПК, которая включает в себя список инициатив (выполнение которых обеспечит достижение целевого состояния) с кратким описанием каждой, и план-график, показывающий последовательность выполнения инициатив и вложения денежных средств.

Программа кибертрансформации ЦПК, как правило, состоит из нескольких этапов: построение базового ЦПК, модернизация базового ЦПК и проведение киберучений. Пример поэтапного создания ЦПК представлен в таблице ниже.

Наименование этапа	Результаты этапа	Работы
Построение базового ЦПК	- Возможность раннего автоматического обнаружения инцидентов ИБ, предшествующих недопустимым событиям. - Формализованное (ручное), но эффективное реагирование на инциденты ИБ. - Сфокусированное на недопустимых событиях приложение усилий по устранению уязвимостей	- Установка и настройка основных средств мониторинга событий ИБ (SIEM, vulnerability scanner, application firewall и т. д.). - Проведение базовых интеграций (SIEM-ticketing), подключение релевантных источников событий ИБ. - Внедрение основных процессов ЦПК (управление инцидентами, уязвимостями). - Разработка use case для мониторинга недопустимых событий. - Формирование и актуализация базы информационных активов, релевантных недопустимым событиям
Модернизация базового ЦПК	- Значительное снижение времени реагирования на инциденты ИБ, предшествующие недопустимым событиям. - Оперативная постановка на мониторинг новых релевантных угроз. - Повышение прозрачности деятельности ЦПК для бизнеса	- Внедрение процессов ЦПК второй очереди (поиск и анализ угроз, управление исключениями, управление рисками, управление отчетностью, управление SLA). - Внедрение и настройка процессов автоматизации. - Разработка и внедрение (автоматизация) сценариев реагирования (плейбуков) на инциденты ИБ, релевантные для недопустимых событий. - Оперативная разработка новых сценариев мониторинга и реагирования на основе продуктов аналитики (threat intelligence, threat hunting). - Разработка и внедрение систем стратегических и операционных метрик, переориентирование ключевых показателей эффективности (KPI) на прозрачность и эффективность
Киберучения	- Способность ЦПК предотвращать недопустимые события проверена и подтверждена киберучениями. - Персонал ЦПК имеет постоянные возможности для развития, удержание талантов в области ИБ больше не является проблемой	- Внедрение остальных запланированных процессов ЦПК. - Регулярное проведение киберучений, оперативное устранение недостатков (знания (умения), технологии, процессы). - Активное внедрение и использование кросс-функциональности сотрудников. - Использование элементов искусственного интеллекта и машинного обучения для мониторинга инцидентов ИБ и поиска угроз

Таким образом, программа кибертрансформации должна включать в себя ряд инициатив (мероприятий), которые необходимо выполнить для того, чтобы ЦПК достиг целевого состояния. Такие мероприятия могут включать в себя:

создание новых или доработку существующих процессов информационной безопасности;
создание новых взаимосвязей процессов информационной безопасности;
создание и (или) внедрение новых или доработку старых систем (технологий);
создание новых и (или) изменение старых ролей работников;
другие задачи, выполнение которых необходимо для достижения целевого состояния.

Все указанные работы должны быть сгруппированы и распределены во времени.

После окончания работ по кибертрансформации организации необходимо провести цикл киберучений, в результате которого должна быть подтверждена возможность ЦПК своевременно предотвращать все утвержденные недопустимые события.