Принципы построения центра противодействия киберугрозам

Центр противодействия киберугрозам (ЦПК) — организационная структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимых событий, реагирует на эти факторы и минимизирует негативные последствия действий злоумышленников. Мониторингу подлежат только системы, которые являются целями злоумышленников при реализации недопустимых событий или служат источниками таких событий. Это позволяет сократить время и финансовые затраты на построение защиты. Таким образом, ЦПК включает в себя набор программных и программно-аппаратных средств, персонал, утвержденные процессы и процедуры.

Для создания эффективно функционирующего ЦПК необходимо провести оценку зрелости информационной безопасности в организации. Для получения максимально полной оценки рекомендуется построить операционную модель информационной безопасности и с помощью различных методик, например CMMI (Capability Maturity Model Integration), оценить зрелость процессов. Такая модель является абстрактным описанием применяемых способов и порядка реализации корпоративной стратегии в повседневной деятельности компании, используется для более четкого определения областей деятельности и помогает понять, как наилучшим образом организовать людей, технологии и процессы для достижения поставленных стратегических целей.

Операционная модель состоит из трех уровней:

стратегический, отвечающий за долгосрочное общее планирование и управление деятельностью ЦПК;
операционный, отвечающий за деятельность, ведущуюся по принятым планам;
технологический, отвечающий за системы и данные, поддерживающие операционную и стратегическую деятельность.

На основании проведенной оценки уровня зрелости информационной безопасности разрабатывается целевая архитектура ЦПК в виде трех представлений:

процессное представление, которое будет учитывать все необходимые для функционирования ЦПК процессы;
представление организационной структуры, которое будет учитывать роли работников, необходимые для выполнения процессов, определенных в процессном представлении;
технологическое представление, которое будет учитывать системы (технологии), обеспечивающие поддержание всех процессов, определенных в процессном представлении.

На основании целевой архитектуры в рамках программы кибертрансформации организации разрабатывается программа построения ЦПК, которая включает в себя список инициатив (выполнение которых обеспечит достижение целевого состояния) с кратким описанием каждой, и план-график, показывающий последовательность выполнения инициатив и вложения денежных средств.

Программа кибертрансформации ЦПК, как правило, состоит из нескольких этапов: построение базового ЦПК, модернизация базового ЦПК и проведение киберучений. Пример поэтапного создания ЦПК представлен в таблице ниже.

Таким образом, программа кибертрансформации должна включать в себя ряд инициатив (мероприятий), которые необходимо выполнить для того, чтобы ЦПК достиг целевого состояния. Такие мероприятия могут включать в себя:

создание новых или доработку существующих процессов информационной безопасности;
создание новых взаимосвязей процессов информационной безопасности;
создание и (или) внедрение новых или доработку старых систем (технологий);
создание новых и (или) изменение старых ролей работников;
другие задачи, выполнение которых необходимо для достижения целевого состояния.

Все указанные работы должны быть сгруппированы и распределены во времени.

После окончания работ по кибертрансформации организации необходимо провести цикл киберучений, в результате которого должна быть подтверждена возможность ЦПК своевременно предотвращать все утвержденные недопустимые события.

Наименование этапа	Результаты этапа	Работы
Построение базового ЦПК	- Возможность раннего автоматического обнаружения инцидентов ИБ, предшествующих недопустимым событиям. - Формализованное (ручное), но эффективное реагирование на инциденты ИБ. - Сфокусированное на недопустимых событиях приложение усилий по устранению уязвимостей	- Установка и настройка основных средств мониторинга событий ИБ (SIEM, vulnerability scanner, application firewall и т. д.). - Проведение базовых интеграций (SIEM-ticketing), подключение релевантных источников событий ИБ. - Внедрение основных процессов ЦПК (управление инцидентами, уязвимостями). - Разработка use case для мониторинга недопустимых событий. - Формирование и актуализация базы информационных активов, релевантных недопустимым событиям
Модернизация базового ЦПК	- Значительное снижение времени реагирования на инциденты ИБ, предшествующие недопустимым событиям. - Оперативная постановка на мониторинг новых релевантных угроз. - Повышение прозрачности деятельности ЦПК для бизнеса	- Внедрение процессов ЦПК второй очереди (поиск и анализ угроз, управление исключениями, управление рисками, управление отчетностью, управление SLA). - Внедрение и настройка процессов автоматизации. - Разработка и внедрение (автоматизация) сценариев реагирования (плейбуков) на инциденты ИБ, релевантные для недопустимых событий. - Оперативная разработка новых сценариев мониторинга и реагирования на основе продуктов аналитики (threat intelligence, threat hunting). - Разработка и внедрение систем стратегических и операционных метрик, переориентирование ключевых показателей эффективности (KPI) на прозрачность и эффективность
Киберучения	- Способность ЦПК предотвращать недопустимые события проверена и подтверждена киберучениями. - Персонал ЦПК имеет постоянные возможности для развития, удержание талантов в области ИБ больше не является проблемой	- Внедрение остальных запланированных процессов ЦПК. - Регулярное проведение киберучений, оперативное устранение недостатков (знания (умения), технологии, процессы). - Активное внедрение и использование кросс-функциональности сотрудников. - Использование элементов искусственного интеллекта и машинного обучения для мониторинга инцидентов ИБ и поиска угроз

Наименование этапа

Результаты этапа

Работы

Построение базового ЦПК

- Возможность раннего автоматического обнаружения инцидентов ИБ, предшествующих недопустимым событиям.
- Формализованное (ручное), но эффективное реагирование на инциденты ИБ.
- Сфокусированное на недопустимых событиях приложение усилий по устранению уязвимостей

- Установка и настройка основных средств мониторинга событий ИБ (SIEM, vulnerability scanner, application firewall и т. д.).
- Проведение базовых интеграций (SIEM-ticketing), подключение релевантных источников событий ИБ.
- Внедрение основных процессов ЦПК (управление инцидентами, уязвимостями).
- Разработка use case для мониторинга недопустимых событий.
- Формирование и актуализация базы информационных активов, релевантных недопустимым событиям

Модернизация базового ЦПК

- Значительное снижение времени реагирования на инциденты ИБ, предшествующие недопустимым событиям.
- Оперативная постановка на мониторинг новых релевантных угроз.
- Повышение прозрачности деятельности ЦПК для бизнеса

- Внедрение процессов ЦПК второй очереди (поиск и анализ угроз, управление исключениями, управление рисками, управление отчетностью, управление SLA).
- Внедрение и настройка процессов автоматизации.
- Разработка и внедрение (автоматизация) сценариев реагирования (плейбуков) на инциденты ИБ, релевантные для недопустимых событий.
- Оперативная разработка новых сценариев мониторинга и реагирования на основе продуктов аналитики (threat intelligence, threat hunting).
- Разработка и внедрение систем стратегических и операционных метрик, переориентирование ключевых показателей эффективности (KPI) на прозрачность и эффективность

Киберучения

- Способность ЦПК предотвращать недопустимые события проверена и подтверждена киберучениями.
- Персонал ЦПК имеет постоянные возможности для развития, удержание талантов в области ИБ больше не является проблемой

- Внедрение остальных запланированных процессов ЦПК.
- Регулярное проведение киберучений, оперативное устранение недостатков (знания (умения), технологии, процессы).
- Активное внедрение и использование кросс-функциональности сотрудников.
- Использование элементов искусственного интеллекта и машинного обучения для мониторинга инцидентов ИБ и поиска угроз