Центр противодействия киберугрозам (ЦПК) — организационная структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимых событий, реагирует на эти факторы и минимизирует негативные последствия действий злоумышленников. Мониторингу подлежат только системы, которые являются целями злоумышленников при реализации недопустимых событий или служат источниками таких событий. Это позволяет сократить время и финансовые затраты на построение защиты. Таким образом, ЦПК включает в себя набор программных и программно-аппаратных средств, персонал, утвержденные процессы и процедуры.
Для создания эффективно функционирующего ЦПК необходимо провести оценку зрелости информационной безопасности в организации. Для получения максимально полной оценки рекомендуется построить операционную модель информационной безопасности и с помощью различных методик, например CMMI (Capability Maturity Model Integration), оценить зрелость процессов. Такая модель является абстрактным описанием применяемых способов и порядка реализации корпоративной стратегии в повседневной деятельности компании, используется для более четкого определения областей деятельности и помогает понять, как наилучшим образом организовать людей, технологии и процессы для достижения поставленных стратегических целей.
Операционная модель состоит из трех уровней:
- стратегический, отвечающий за долгосрочное общее планирование и управление деятельностью ЦПК;
- операционный, отвечающий за деятельность, ведущуюся по принятым планам;
- технологический, отвечающий за системы и данные, поддерживающие операционную и стратегическую деятельность.
На основании проведенной оценки уровня зрелости информационной безопасности разрабатывается целевая архитектура ЦПК в виде трех представлений:
- процессное представление, которое будет учитывать все необходимые для функционирования ЦПК процессы;
- представление организационной структуры, которое будет учитывать роли работников, необходимые для выполнения процессов, определенных в процессном представлении;
- технологическое представление, которое будет учитывать системы (технологии), обеспечивающие поддержание всех процессов, определенных в процессном представлении.
На основании целевой архитектуры в рамках программы кибертрансформации организации разрабатывается программа построения ЦПК, которая включает в себя список инициатив (выполнение которых обеспечит достижение целевого состояния) с кратким описанием каждой, и план-график, показывающий последовательность выполнения инициатив и вложения денежных средств.
Программа кибертрансформации ЦПК, как правило, состоит из нескольких этапов: построение базового ЦПК, модернизация базового ЦПК и проведение киберучений. Пример поэтапного создания ЦПК представлен в таблице ниже.
| Наименование этапа | Результаты этапа | Работы |
|---|
| Построение базового ЦПК | - Возможность раннего автоматического обнаружения инцидентов ИБ, предшествующих недопустимым событиям.
- Формализованное (ручное), но эффективное реагирование на инциденты ИБ.
- Сфокусированное на недопустимых событиях приложение усилий по устранению уязвимостей | - Установка и настройка основных средств мониторинга событий ИБ (SIEM, vulnerability scanner, application firewall и т. д.).
- Проведение базовых интеграций (SIEM-ticketing), подключение релевантных источников событий ИБ.
- Внедрение основных процессов ЦПК (управление инцидентами, уязвимостями).
- Разработка use case для мониторинга недопустимых событий.
- Формирование и актуализация базы информационных активов, релевантных недопустимым событиям |
| Модернизация базового ЦПК | - Значительное снижение времени реагирования на инциденты ИБ, предшествующие недопустимым событиям.
- Оперативная постановка на мониторинг новых релевантных угроз.
- Повышение прозрачности деятельности ЦПК для бизнеса | - Внедрение процессов ЦПК второй очереди (поиск и анализ угроз, управление исключениями, управление рисками, управление отчетностью, управление SLA).
- Внедрение и настройка процессов автоматизации.
- Разработка и внедрение (автоматизация) сценариев реагирования (плейбуков) на инциденты ИБ, релевантные для недопустимых событий.
- Оперативная разработка новых сценариев мониторинга и реагирования на основе продуктов аналитики (threat intelligence, threat hunting).
- Разработка и внедрение систем стратегических и операционных метрик, переориентирование ключевых показателей эффективности (KPI) на прозрачность и эффективность |
| Киберучения | - Способность ЦПК предотвращать недопустимые события проверена и подтверждена киберучениями.
- Персонал ЦПК имеет постоянные возможности для развития, удержание талантов в области ИБ больше не является проблемой | - Внедрение остальных запланированных процессов ЦПК.
- Регулярное проведение киберучений, оперативное устранение недостатков (знания (умения), технологии, процессы).
- Активное внедрение и использование кросс-функциональности сотрудников.
- Использование элементов искусственного интеллекта и машинного обучения для мониторинга инцидентов ИБ и поиска угроз |
Таким образом, программа кибертрансформации должна включать в себя ряд инициатив (мероприятий), которые необходимо выполнить для того, чтобы ЦПК достиг целевого состояния. Такие мероприятия могут включать в себя:
- создание новых или доработку существующих процессов информационной безопасности;
- создание новых взаимосвязей процессов информационной безопасности;
- создание и (или) внедрение новых или доработку старых систем (технологий);
- создание новых и (или) изменение старых ролей работников;
- другие задачи, выполнение которых необходимо для достижения целевого состояния.
Все указанные работы должны быть сгруппированы и распределены во времени.
После окончания работ по кибертрансформации организации необходимо провести цикл киберучений, в результате которого должна быть подтверждена возможность ЦПК своевременно предотвращать все утвержденные недопустимые события.
Константин Смирнов
Алексей Халин