Бизнес28 августа 2024
Александр КиричукАлександр КиричукАлександр КиричукАлександр КиричукОдной из ключевых особенностей результативной кибербезопасности (РКБ) является то, что её обеспечением занимаются все сотрудники: от топ-менеджмента, определяющего список недопустимых событий, до рядовых специалистов отделов ИБ и ИТ, реализующих методологию.
Для перехода на РКБ желательно, чтобы компания достигла определенного уровня обеспечения информационной безопасности. Мы подготовили рекомендации, которые позволят определить готовность вашей компании к трансформации ИБ.
Для начала рассмотрим пример, основанный на профилях двух компаний:
Из таблицы мы видим, что Компания 1 ни морально, ни технически не готова перейти на РКБ:
Тем временем у Компании 2 достаточно зрелая функция ИБ, что позволяет планировать переход на РКБ:
На портале Резбеза опубликована «». В статье есть файл с пошаговой инструкцией для определения зрелости ИБ. Его заполнение может занять немало времени, поэтому мы подготовили небольшой чек-лист для того, чтобы подготовиться к переходу на РКБ. Если какие-либо пункты чек-листа еще не реализованы, то мы рекомендуем их выполнить.
В этой таблице рекомендации разделены по доменам. Если в вашей компании реализованы не менее, чем 21 из 24 пунктов чек-листа, значит, у вас уже есть возможность выстроить стратегию перехода на РКБ. Но даже если в вашей организации соблюдено меньше пунктов, чем рекомендуется, то это вовсе не означает, что вы не можете начать подготовку к переходу на результативную кибербезопасность. Например, определить недопустимые события можно при любом уровне зрелости ИБ.
Теперь вы знаете, что для перехода на результативную кибербезопасность нужно заранее подготовить почву.
Мы также предлагаем вам пройти интерактивный тест «» и узнать состояние кибербезопасности вашей компании.
| Начните процедуру классификации и приоритизации ключевых активов, учитывая ключевые риски ИБ |
| 3.1 | Процесс мониторинга событий | Формализуйте процесс мониторинга событий и закрепите роли за участниками по возможности с детализацией функций и обязанностей |
| 3.2 | Область мониторинга событий ИБ | Определите перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации и подключите источники событий ИБ к решению класса SIEM |
| 3.3 | Обработка и анализ событий ИБ | Начните использовать базовые правила обработки событий, предустановленные в автоматизированном решении |
| 4.1 | Процесс управления событиями | Формализуйте процесс управления событиями в верхнеуровневых документах и закрепите роли в процессе за участниками по возможности с детализацией функций и обязанностей |
| 4.2 | Реагирование на инциденты | Разработайте верхнеуровневые планы реагирования на инциденты ИБ и запустите управление инцидентами |
| 5.1 | Процесс управления уязвимостями | Формализуйте процесс управления узявимостями в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей |
| 5.2 | Анализ уязвимостей | Наладьте процесс сканирования на наличие уязвимостей и приоритизируйте обработку выявленных уязвимостей |
| 5.3 | Контроль устранения уязвимостей | Установите сроки устранения уязвимостей и периодический контроль за их устранением |
| 6.1 | Процесс управления доступами | Формализуйте процесс управления доступами в верхнеуровневых документах и закрепите роли за участниками по возможности с детализацией функций и обязанностей |
| 6.2 | Права доступа и учетные записи | Удостоверьтесь, что права доступа назначаются согласно роли и должностным (функциональным) обязанностям и периодически пересматриваются |
| 6.3 | Удаленный доступ | Настройте удаленный доступ к системам и приложениям с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга) и механизмы отключения сеансов удаленного доступа |
| 7.1 | Безопасные конфигурации | Разработайте и внедрите стандарты безопасных конфигураций с процессом периодического пересмотра требований |
| 8.1 | Технологическая устойчивость | Убедитесь, что для большинства критически значимого ПО, сервисов и средств защиты у вас имеется поддержка вендора |
| 8.2 | Безопасность унаследованных систем | Ведите учет унаследованных (legacy) систем и разработайте планы по минимизации рисков, связанных с эксплуатацией унаследованных систем |
| 9.1 | Сетевая безопасность | Сегментируйте сеть, используйте средства межсетевого экранирования на границе сети и технологии безопасного соединения пользователей с корпоративной сетью (например, VPN и двухфакторная аутентификация) |
| 9.2 | Защита конечных точек | Обеспечьте защиту конечных точек с помощью антивирусного ПО с актуальными базами сигнатур вредоносного кода и введите ограничения на установку ПО |
| 9.3 | Безопасность приложений | Обеспечьте контроль приложений и версий ПО. Разделите среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используйте решения класса WAF |
| 10.1 | Контроль защищенности | Обеспечьте проведение периодических штабных учений по реагированию на инциденты ИБ. Регулярно оценивайте соответствия требованиям ИБ с привлечением внешних организаций |