Критерии готовности к переходу на результативную кибербезопасность

Одной из ключевых особенностей результативной кибербезопасности (РКБ) является то, что её обеспечением занимаются все сотрудники: от топ-менеджмента, определяющего список недопустимых событий, до рядовых специалистов отделов ИБ и ИТ, реализующих методологию.

С РКБ топ-менеджмент начинает понимать необходимость вложений в кибербезопасность, получает возможность объективно и независимо оценить результаты, повысить доверие к организации.
Руководители подразделений ИБ могут повышать уровень кибербезопасности компании при поддержке и участии топ-менеджмента, получают возможность наладить диалог между бизнесом и технарями.
Специалисты по ИБ и ИТ начинают понимать свои роли в обеспечении кибербезопасности.

Для перехода на РКБ желательно, чтобы компания достигла определенного уровня обеспечения информационной безопасности. Мы подготовили рекомендации, которые позволят определить готовность вашей компании к трансформации ИБ.

Для начала рассмотрим пример, основанный на профилях двух компаний:

КАТЕГОРИИ	КОМПАНИЯ 1	КОМПАНИЯ 2
Реализация функций ИБ	Функции ИБ возложены на команду ИТ	Функции ИБ выполняют специалисты отдела ИБ
Отношение менеджмента к ИБ	Топ-менеджмент не видит необходимости инвестировать в ИБ	Топ-менеджмент вовлечен в процессы ИБ, понимает важность этой области и риски при отсутствии ее развития
Подход к построению системы защиты	Сознательно не используют средства защиты информации	Потребности в защите удовлетворяются с помощью грамотно подобранных СЗИ, подходящих ИТ -инфраструктуре компании. Выстроен свой SOC
Контроль ИТ-активов внутри компании	Внутри компании никак не ведется контроль ИТ-активов	Организация использует различные средства для тщательного контроля ИТ-активов
Контроль прав доступа	Для удобства сотрудников каждый пользователь имеет права локального администратора. Отключение учетных записей не контролируется	Привилегии пользователей ограничены до того минимума, который позволяет выполнять им свои рабочие обязанности. Пересмотр прав осуществляется периодически. Отключение учетных записей выполняется по истечении определенного срока бездействия
Управление сегментацией в корпоративной сети	Смогли разделить гостевой и корпоративный Wi-Fi	Выстроена грамотно сегментированная сеть
Управление рисками (НС)	Отсутствует процесс управления рисками	Специалисты ИБ и ИТ направлений определяют риски и управляют ими
Вовлеченность топ-менеджмента в процессы ИБ	Топ-менеджмент не принимает участие и не интересуется функционированием ИБ	Топ-менеджмент заинтересован в реальной безопасности инфраструктуры своей компании

Из таблицы мы видим, что Компания 1 ни морально, ни технически не готова перейти на РКБ:

топ-менеджмент не только ограничивает возможности выстраивания процессов ИБ, но и не заинтересован в функции ИБ в целом;
у ИТ-специалистов нет возможности выстроить базовую кибербезопасность;
полностью отсутствуют необходимые регламенты ИБ: регулярный пересмотр прав, переоценка ИТ-активов, ранее собранной информации и т.д.

Тем временем у Компании 2 достаточно зрелая функция ИБ, что позволяет планировать переход на РКБ:

топ-менеджмент заинтересован в развитии информационной безопасности компании;
функция ИБ обеспечивается профильными специалистами с необходимой компетенцией;
грамотно выстроена инфраструктура организации.

ЧЕК-ЛИСТ

На портале Резбеза опубликована «». В статье есть файл с пошаговой инструкцией для определения зрелости ИБ. Его заполнение может занять немало времени, поэтому мы подготовили небольшой чек-лист для того, чтобы подготовиться к переходу на РКБ. Если какие-либо пункты чек-листа еще не реализованы, то мы рекомендуем их выполнить.

В этой таблице рекомендации разделены по доменам. Если в вашей компании реализованы не менее, чем 21 из 24 пунктов чек-листа, значит, у вас уже есть возможность выстроить стратегию перехода на РКБ. Но даже если в вашей организации соблюдено меньше пунктов, чем рекомендуется, то это вовсе не означает, что вы не можете начать подготовку к переходу на результативную кибербезопасность. Например, можно при любом уровне зрелости ИБ.

№	КАТЕГОРИЯ	ОПИСАНИЕ
1.1	Стратегия	Начните диалог с топ-менеджментом, презентуя ключевые проекты ИБ на понятном бизнесу языке
1.2	Управление недопустимыми событиями и ключевыми рисками ИБ	Оцените текущие риски ИБ совместно с подразделением ИТ
1.3	Функция ИБ	Сформируйте отдельную функцию ИБ в организации, в задачи которой будет входить снижение рисков ИБ
2.1	Процесс управления активами	Формализуйте процесс управления активами и закрепите основные роли за ключевыми участниками
2.2	Инвентаризация активов	Актуализируйте сведения об активах и их владельцах, начните выстраивание процесса создания единой базы активов
2.3	Классификация и определение значимости активов	Начните процедуру классификации и приоритизации ключевых активов, учитывая ключевые риски ИБ
3.1	Процесс мониторинга событий	Формализуйте процесс мониторинга событий и закрепите роли за участниками по возможности с детализацией функций и обязанностей
3.2	Область мониторинга событий ИБ	Определите перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации и подключите источники событий ИБ к решению класса SIEM
3.3	Обработка и анализ событий ИБ	Начните использовать базовые правила обработки событий, предустановленные в автоматизированном решении
4.1	Процесс управления событиями	Формализуйте процесс управления событиями в верхнеуровневых документах и закрепите роли в процессе за участниками по возможности с детализацией функций и обязанностей
4.2	Реагирование на инциденты	Разработайте верхнеуровневые планы реагирования на инциденты ИБ и запустите управление инцидентами
5.1	Процесс управления уязвимостями	Формализуйте процесс управления узявимостями в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей
5.2	Анализ уязвимостей	Наладьте процесс сканирования на наличие уязвимостей и приоритизируйте обработку выявленных уязвимостей
5.3	Контроль устранения уязвимостей	Установите сроки устранения уязвимостей и периодический контроль за их устранением
6.1	Процесс управления доступами	Формализуйте процесс управления доступами в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей
6.2	Права доступа и учетные записи	Удостоверьтесь, что права доступа назначаются согласно роли и должностным (функциональным) обязанностям и периодически пересматриваются
6.3	Удаленный доступ	Настройте удаленный доступ к системам и приложениям с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга) и механизмы отключения сеансов удаленного доступа
7.1	Безопасные конфигурации	Разработайте и внедрите стандарты безопасных конфигураций с процессом периодического пересмотра требований
8.1	Технологическая устойчивость	Убедитесь, что для большинства критически значимого ПО, сервисов и средств защиты у вас имеется поддержка вендора
8.2	Безопасность унаследованных систем	Ведите учет унаследованных (legacy) систем и разработайте планы по минимизации рисков, связанных с эксплуатацией унаследованных систем
9.1	Сетевая безопасность	Сегментируйте сеть, используйте средства межсетевого экранирования на границе сети и технологии безопасного соединения пользователей с корпоративной сетью (например, VPN и двухфакторная аутентификация)
9.2	Защита конечных точек	Обеспечьте защиту конечных точек с помощью антивирусного ПО с актуальными базами сигнатур вредоносного кода и введите ограничения на установку ПО
9.3	Безопасность приложений	Обеспечьте контроль приложений и версий ПО. Разделите среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используйте решения класса WAF
10.1	Контроль защищенности	Обеспечьте проведение периодических штабных учений по реагированию на инциденты ИБ. Регулярно оценивайте соответствия требованиям ИБ с привлечением внешних организаций

Теперь вы знаете, что для перехода на результативную кибербезопасность нужно заранее подготовить почву.

Мы также предлагаем вам пройти интерактивный тест «» и узнать состояние кибербезопасности вашей компании.

КАТЕГОРИИ

КОМПАНИЯ 1

КОМПАНИЯ 2

Реализация функций ИБ

Функции ИБ возложены на команду ИТ

Функции ИБ выполняют специалисты отдела ИБ

Отношение менеджмента к ИБ

Топ-менеджмент не видит необходимости инвестировать в ИБ

Топ-менеджмент вовлечен в процессы ИБ, понимает важность этой области и риски при отсутствии ее развития

Подход к построению системы защиты

Сознательно не используют средства защиты информации

Потребности в защите удовлетворяются с помощью грамотно подобранных СЗИ, подходящих ИТ -инфраструктуре компании. Выстроен свой SOC

Контроль ИТ-активов внутри компании

Внутри компании никак не ведется контроль ИТ-активов

Организация использует различные средства для тщательного контроля ИТ-активов

Контроль прав доступа

Для удобства сотрудников каждый пользователь имеет права локального администратора. Отключение учетных записей не контролируется

Привилегии пользователей ограничены до того минимума, который позволяет выполнять им свои рабочие обязанности. Пересмотр прав осуществляется периодически. Отключение учетных записей выполняется по истечении определенного срока бездействия

Управление сегментацией в корпоративной сети

Смогли разделить гостевой и корпоративный Wi-Fi

Выстроена грамотно сегментированная сеть

Управление рисками (НС)

Отсутствует процесс управления рисками

Специалисты ИБ и ИТ направлений определяют риски и управляют ими

Вовлеченность топ-менеджмента в процессы ИБ

Топ-менеджмент не принимает участие и не интересуется функционированием ИБ

Топ-менеджмент заинтересован в реальной безопасности инфраструктуры своей компании

ЧЕК-ЛИСТ

№	КАТЕГОРИЯ	ОПИСАНИЕ
1.1	Стратегия	Начните диалог с топ-менеджментом, презентуя ключевые проекты ИБ на понятном бизнесу языке
1.2	Управление недопустимыми событиями и ключевыми рисками ИБ	Оцените текущие риски ИБ совместно с подразделением ИТ
1.3	Функция ИБ	Сформируйте отдельную функцию ИБ в организации, в задачи которой будет входить снижение рисков ИБ
2.1	Процесс управления активами	Формализуйте процесс управления активами и закрепите основные роли за ключевыми участниками
2.2	Инвентаризация активов	Актуализируйте сведения об активах и их владельцах, начните выстраивание процесса создания единой базы активов
2.3	Классификация и определение значимости активов	Начните процедуру классификации и приоритизации ключевых активов, учитывая ключевые риски ИБ
3.1	Процесс мониторинга событий	Формализуйте процесс мониторинга событий и закрепите роли за участниками по возможности с детализацией функций и обязанностей
3.2	Область мониторинга событий ИБ	Определите перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации и подключите источники событий ИБ к решению класса SIEM
3.3	Обработка и анализ событий ИБ	Начните использовать базовые правила обработки событий, предустановленные в автоматизированном решении
4.1	Процесс управления событиями	Формализуйте процесс управления событиями в верхнеуровневых документах и закрепите роли в процессе за участниками по возможности с детализацией функций и обязанностей
4.2	Реагирование на инциденты	Разработайте верхнеуровневые планы реагирования на инциденты ИБ и запустите управление инцидентами
5.1	Процесс управления уязвимостями	Формализуйте процесс управления узявимостями в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей
5.2	Анализ уязвимостей	Наладьте процесс сканирования на наличие уязвимостей и приоритизируйте обработку выявленных уязвимостей
5.3	Контроль устранения уязвимостей	Установите сроки устранения уязвимостей и периодический контроль за их устранением
6.1	Процесс управления доступами	Формализуйте процесс управления доступами в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей
6.2	Права доступа и учетные записи	Удостоверьтесь, что права доступа назначаются согласно роли и должностным (функциональным) обязанностям и периодически пересматриваются
6.3	Удаленный доступ	Настройте удаленный доступ к системам и приложениям с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга) и механизмы отключения сеансов удаленного доступа
7.1	Безопасные конфигурации	Разработайте и внедрите стандарты безопасных конфигураций с процессом периодического пересмотра требований
8.1	Технологическая устойчивость	Убедитесь, что для большинства критически значимого ПО, сервисов и средств защиты у вас имеется поддержка вендора
8.2	Безопасность унаследованных систем	Ведите учет унаследованных (legacy) систем и разработайте планы по минимизации рисков, связанных с эксплуатацией унаследованных систем
9.1	Сетевая безопасность	Сегментируйте сеть, используйте средства межсетевого экранирования на границе сети и технологии безопасного соединения пользователей с корпоративной сетью (например, VPN и двухфакторная аутентификация)
9.2	Защита конечных точек	Обеспечьте защиту конечных точек с помощью антивирусного ПО с актуальными базами сигнатур вредоносного кода и введите ограничения на установку ПО
9.3	Безопасность приложений	Обеспечьте контроль приложений и версий ПО. Разделите среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используйте решения класса WAF
10.1	Контроль защищенности	Обеспечьте проведение периодических штабных учений по реагированию на инциденты ИБ. Регулярно оценивайте соответствия требованиям ИБ с привлечением внешних организаций

Теперь вы знаете, что для перехода на результативную кибербезопасность нужно заранее подготовить почву.

Мы также предлагаем вам пройти интерактивный тест «» и узнать состояние кибербезопасности вашей компании.