Система управления инцидентами информационной безопасности

Содержание
  1. Управление заявками и инцидентами в платформе Security Vision
  2. Введение
  3. Модули платформы Security Vision
  4. Соответствие требованиям регуляторов
  5. Обзор работы модуля «Заявки» Security Vision
  6. Пример обработки инцидента с использованием модуля «Заявки» Security Vision
  7. Выводы
  8. PT ISIM
  9. О продукте
  10. Быстрый старт и масштабирование
  11. Непрерывная защита при нулевом влиянии на АСУ ТП
  12. Преимущества
  13. Предотвращение ущерба предприятию
  14. Варианты развертывания
  15. Отзывы
  16. Сопутствующие решения
  17. Учебный центр «Информзащита»
  18. Аннотация
  19. Аудитория
  20. Предварительная подготовка
  21. В результате обучения:
  22. Пакет слушателя
  23. Дополнительно
  24. Программа учебного курса
  25. Последующее обучение
  26. Система управления инцидентами информационной безопасности Jet Signal
  27. Система Jet Signal автоматизирует различные процессы:
  28. Свидетельства и сертификаты
  29. Пользовательская документация
  30. SIEM – Система управления событиями и инцидентами безопасности
  31.  ИБ
  32. Зачем внедрять SIEM?
  33. Немного занимательной теории

Управление заявками и инцидентами в платформе Security Vision

Система управления инцидентами информационной безопасности

На примере платформы Security Vision мы продемонстрируем, как отечественный разработчик систем управления информационной безопасностью ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» в своем решении реализует полноценный Ticketing workflow, и разберем кейс применения указанного подхода при автоматизации процесса обработки инцидентов информационной безопасности.

Введение

В условиях непрерывного, порой даже неконтролируемого процесса цифровизации нашей жизни проникновение современных технологий в корпоративную культуру предприятий становится неизбежным.

Постоянная модернизация ИТ-инфраструктуры и рост числа устройств провоцируют не только проблемы их технической поддержки и управляемости, но и усложняют поддержание необходимого уровня информационной безопасности в организации.

В помощь всем службам компании, которые заинтересованы в наведении порядка и внедрении процессного подхода при эксплуатации ИБ- и ИТ-решений, строятся (или заказываются в качестве услуги) Центры мониторинга и реагирования на инциденты (Security Operations Center — SOC), которые на рынке информационной безопасности появились уже давно, однако бум их развития и популярности в нашей стране продолжается и сегодня.

Одной из ключевых функций любого SOC является работа с инцидентами, уязвимостями, рисками информационной безопасности.

Важность выполнения этих задач задекларирована практически во всех международных стандартах и руководствах по ИБ, более того, их реализация является обязательным требованием в некоторых нормативных документах отечественных регуляторов.

Предоставляя инструменты для автоматизации указанных процессов, производителями решений для SOC, как правило, использовался традиционный подход, при котором запись о том или ином событии представляет собой статическую сущность с определенным набором свойств.

Security Vision предлагает собственную концепцию, при которой весь процесс работы с такого рода объектами построен на Ticketing workflow, т. е. работе с заявками в специальном модуле, о котором и пойдет речь в обзоре.

Модули платформы Security Vision

Чтобы далее понимать, как функционирует модуль «Заявки» (именно он в основном фокусе нашего обзора), пару слов скажем о самом решении Security Vision.

Security Vision представляет собой модульную платформу для автоматизации системы управления информационной безопасностью предприятия, включающую в себя элементы SGRC (Security Governance, Risk, Compliance), SOC (Security Operation Center), Security Intelligence, IRP (Incident Response Platform).

ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» разрабатывает решение уже с далекого 2007 года и провела множество крупных внедрений, среди которых встречаются действительно серьезные и публичные кейсы, вроде Сбербанка, ВТБ24, Ростеха и прочих. Подробно с решением можно ознакомиться в нашей статье — Обзор Security Vision 3.

4 — российской платформы SGRC.

Security Vision делится на три функциональных уровня: уровень управления, уровень ядра и уровень сбора. Непосредственно для предоставления пользователям интерфейса для работы с системой предназначен модуль управления, который включает следующие компоненты:

  • Модуль криминалистики
  • Модуль Ситуационного центра
  • Модуль взаимодействия с CERT
  • Модуль управления активами
  • Модуль управления внешними носителями
  • Модуль контроля за изменениями
  • Модуль визуализации данных
  • Модуль учета записей/логов
  • Модуль управления уязвимостями
  • Модуль управления рисками
  • Модуль управления инцидентами
  • Модуль управления непрерывностью бизнеса
  • Модуль взаимодействия с корпоративными системами
  • Модуль управления аудитами ИБ
  • Модуль отчетности
  • Модуль поддержки работы СУИБ в облачной инфраструктуре
  • Модуль ключевых показателей эффективности
  • Модуль управления контролем за соответствием
  • Модуль управления доступностью
  • Модуль управления знаниями
  • Модуль осведомленности (Awareness)
  • Модуль тестов на проникновение
  • Модуль учета лицензий
  • Модуль документации
  • Центр разделяемых сервисов (SSC) и аутсорсинг (MSSP)

Доступ ко всем модулям и ежедневная работа с продуктом осуществляется через удобный веб-интерфейс, который помимо стандартных дашбордов и классических окошек оснащен еще и множеством встроенных движков (графический 3D, рисования схем, шаблонов графиков, матрицы и др.).

Рисунок 1. Интерфейс Security Vision

Security Vision, как полноценный инструмент для SOC, поддерживает интеграцию с различными сторонними платформами и корпоративными решениями по информационной безопасности (SIEM, IRP и др.), используя как унифицированные протоколы обмена данными, так и коннекторы собственной разработки.

Соответствие требованиям регуляторов

ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» — исключительно отечественный разработчик, является резидентом «Сколково», старается максимально соответствовать нормам Российского законодательства и требованиям наших регуляторов в области информационной безопасности.

Компоненты платформы Security Vision присутствуют в Едином реестре российских программ для электронных вычислительных машин и баз данных Минкомсвязи России за номерами 343, 348, 364, 503.

В настоящее время Security Vision проходит процедуру сертификации в системе ФСТЭК России, получение сертификата ожидается летом 2018 года.

Обзор работы модуля «Заявки» Security Vision

Переходим к самому главному — обзору принципов функционирования и концепции применения модуля «Заявки» в платформе Security Vision.

Рисунок 2. Модуль «Заявки» Security Vision

Этот модуль используется для организации работы сотрудников службы ИБ в компании со следующим набором основных задач: выявление и устранение инцидентов, обработка уязвимостей, управление рисками.

За решением каждой из них кроется один или несколько процессов, от качества описания которых как раз и зависит степень возможной автоматизации. Security Vision предлагает применять подход, основанный на Ticketing workflow (управление жизненным циклом заявки).

Для каждой заявки необходимо задать тип, определить ее свойства, виды связей и, ключевое, описать жизненный цикл в виде рабочих процессов.

Рисунок 3. Настройки заявок Security Vision

Платформа предоставляет гибкий инструмент по выбору из предустановленных или созданию собственных свойств заявок, поддерживается огромное количество готовых типов данных.

Рисунок 4. Свойства заявок Security Vision

Как уже отмечалось, Security Vision предоставляет гибкий инструмент по работе с разного рода процессами, поэтому типы заявок можно создавать самостоятельно и сколько угодно много.

Рисунок 5. Типы заявок Security Vision

С каждым типом заявки обязательно должен быть связан свой рабочий процесс, который и определяет то, каким образом каждая из них будет обрабатываться. Это одна из ключевых фишек Security Vision, на ней мы остановимся чуть подробнее.

Рисунок 6. Конструктор Рабочего процесса заявки Security Vision

С помощью специально разработанного графического движка по принципу «блок-схемы» предлагается для каждой заявки описать сценарий действий.

Конструктор состоит из следующих функциональных элементов: начало (темный овал — попадание заявки в систему), состояние (прямоугольник — этап жизненного цикла, в котором заявка находится в текущий момент), транзакции (стрелка — перевод заявки из одного состояния в другое), обработчики (автоматически выполняемые действия на заданных этапах жизненного цикла). Транзакции могут быть ручными (для их совершения необходимо действие пользователя системы) и автоматическими (совершаются Системой автоматически при выполнении заданных условий). Также в рамках их проведения может автоматически выполняться ряд действий. По клику на одну из таких транзакций доступна возможность настроить создание либо любое изменение определенной заявки, совершить операции с полями или выполнить взаимодействие в рамках интегрированных смежных систем. Иллюстрацией полезности такого рода автоматизации может служить, например, «попутное» выполнение ряда связанных с основной побочных задач в рамках процесса устранения инцидента (логирование, смена статусов, генерация отчетов и т. п.).

Рисунок 7. Автоматизация действий над заявками при транзакциях в Security Vision

Помимо транзакций рабочий процесс позволяет описывать правила, касающиеся свойств заявки.

Рисунок 8. Правила свойств заявки в Security Vision

Эта функциональность позволяет определять порядок взаимодействия с заявкой различных групп пользователей, в том числе в зависимости от текущего состояния и значений различных параметров (свойств), а также с учетом роли и прав пользователя, который в данный момент времени работает с ней.

Выбор возможностей доступа при совершении операций при работе пользователей с заявками задается в оснастке «Роли».

Рисунок 9. Настройка ролей при работе с заявками в Security Vision

А распределение сотрудников по функциональным подразделениям (группам) осуществляется в меню «Группы сотрудников».

Рисунок 10. Настройка групп сотрудников в Security Vision

Пример обработки инцидента с использованием модуля «Заявки» Security Vision

Одной из ключевых метрик при оценке эффективности работы команды SOC является показатель качества обработки инцидентов информационной безопасности. Рассмотрим, как можно максимально автоматизировать работу с данной задачей на примере ее реализации в модуле «Заявки» Security Vision.

Рисунок 11. Заявка типа «Инцидент» в Security Vision

Открыв карточку заявки, наблюдаем, что задача ни на кого не назначена, не определены варианты реагирования, и вообще каких-либо действий по задаваемым условиям не предусмотрено. Посмотрим, как можно автоматизировать процесс обработки инцидента. Имея права доступа и соответствующую задаче роль пользователя, кликаем «Взять в работу».

Рисунок 12. Действие «Взять заявку в работу» в Security Vision

Произошло выполнение транзакции, заявка перешла из одного состояния в другое, изменился набор свойств и параметров, а также дальнейшие варианты работы с заявкой. Причем некоторые из них, в соответствии с прописанным заранее сценарием, заполнились автоматически (статус, исполнитель, время взятия в работу).

Кроме того, сработали преднастроенные правила, не позволяющие перейти к следующему шагу, не заполнив обязательные поля (классификация, магнитуда, влияние, регион). Заполнив все, как положено, сохраняем заявку и наблюдаем снова смену состояния.

Занятно, не правда ли? А ведь мы по-прежнему работаем с одним и тем же инцидентом, в одном и том же интерфейсе, но как будто обладая каждый раз разными инструментами.

Рисунок 13. Действие «Передать на L2» в Security Vision

Равно как состояние и атрибуты заявки, при выполнении транзакции динамически изменяются также и права пользователя по работе ней. Так, при передаче инцидента в команду L2, для нашего текущего пользователя большинство полей становится нередактируемыми.

Рисунок 14. Результат действия «Передать на L2» в Security Vision

Важно отметить, что в итоге мы можем просмотреть весь процесс работы с инцидентом, кликнув на вкладку «История». Причем отображаются не только временные метки совершенных транзакций (как ручных, так и автоматических), но и подробности по каждой из них: заполненные поля, измененные свойства или параметры, назначенные исполнители и т. п.

Рисунок 15. История обработки инцидента в Security Vision

Выводы

В статье мы познакомились с концепцией по работе с заявками (Ticketing workflow) от отечественного разработчика ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», реализованной в их решении Security Vision, а также разобрали преимущества данного подхода на примере такой важной для ситуационного центра по управлению информационной безопасностью любой компании задачи, как работа с инцидентами. Целью автоматизации каждого подобного процесса всегда является создание интеллектуально саморегулируемого программно-технического решения, чтобы максимально освободить человека от участия в рутинных операциях. И команда Security Vision действительно сделала качественный шаг к автоматизации управления информационной безопасностью предприятия, создав полноценный Ticketing workflow с собственным конструктором процессов, обеспечивающим работу с любой сущностью заявки и позволяющим покрыть описательными инструментами весь ее жизненный цикл.

Источник: https://www.anti-malware.ru/practice/methods/Security-Vision

PT ISIM

Система управления инцидентами информационной безопасности

73%

Промышленных компаний недостаточно защищены от внешних кибератак

82%

Промышленных организаций не готовы противостоять внутреннему нарушителю

100%

Словарные пароли и устаревшее ПО с известными уязвимостями были выявлены в сетях каждой промышленной компании

67%

Векторов атак с целью проникновения в сеть АСУ ТП характеризуются низким уровнем сложности

64%

В 64% случаев недостатки и ошибки в фильтрации и сегментации сетей АСУ ТП были внесены администраторами предприятий

61%

Выявленных уязвимостей в компонентах АСУ ТП относятся к критической и высокой степени риска

175

Тысяч компонентов АСУ ТП доступно онлайн в Интернет

О продукте

PT ISIM — программно-аппаратный комплекс глубокого анализа технологического трафика.

Обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА).

Простота подключения к сети АСУ ТП и механизм автоматического обучения PT ISIM позволяет развернуть продукт даже в условиях недостатка кадровых ресурсов на местах.

PT ISIM дополняет инструментарий центра оперативного реагирования (SOC) необходимыми средствами анализа трафика. Позволяет специалисту SOC полностью видеть картину действий нарушителя, в том числе ретроспективно.

PT ISIM позволяет обеспечить эффективное управление защитой большого количества географически распределенных объектов.

Быстрый старт и масштабирование

Благодаря гибкому набору компонентов, в том числе не требующих сложной предварительной настройки, PT ISIM может быть легко и быстро внедрен в инфраструктуру предприятия любой отрасли промышленности и масштабирован в зависимости от поставленных задач любого уровня сложности.

Непрерывная защита при нулевом влиянии на АСУ ТП

Архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс — в отличие от других популярных средств защиты информационной безопасности АСУ ТП.

Преимущества

Архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс, а система автоматического обучения позволяет снизить затраты на внедрение и эксплуатацию.

PT ISIM непрерывно инвентаризирует элементы сети АСУ ТП, контролирует её целостность и оповещает о критических изменениях, которые могут являться признаком нарушения информационной безопасности и требовать немедленного реагирования.

PT ISIM использует встроенную базу данных индикаторов промышленных угроз (PT ISTI) и благодаря комбинации сигнатурных методов обнаружения атак и механизма поведенческого анализа позволяет эффективно выявлять кибератаки на ранней стадии.

Благодаря гибкому набору компонентов PT ISIM может быть легко и быстро внедрен в инфраструктуру предприятия любой отрасли промышленности и масштабирован в зависимости от поставленных задач.

PT ISIM позволяет контролировать векторы атак, уникальные для конкретного промышленного объекта. Для этого используются данные, получаемые в результате исследования защищенности АСУ ТП предприятия.

PT ISIM обеспечивает реализацию широкого перечня мер защиты АСУ ТП в соответствии с 187-ФЗ, требованиями приказов ФСТЭК № 31, 239 и является ключевым звеном для системы ГосСОПКА.

Предотвращение ущерба предприятию

Контроль каналов управления АСУ ТП в условиях, когда наладка и обслуживание производятся различными подрядчиками, в том числе удаленно, — один из самых сложных и важных элементов ИБ в АСУ ТП.

Неавторизованное управление системами может повлечь за собой нарушение технологического процесса и прямой экономический ущерб.

PT ISIM позволяет оперативно выявлять факты нелегитимного управления (например, загрузку проекта в ПЛК, изменение конфигурации, пуск и остановку ПЛК и других компонентов АСУ ТП и так далее).

Варианты развертывания

Оборудование PT ISIM устанавливается на стороне клиента. Доступны несколько вариантов серверного шасси (в том числе промышленного исполнения) для сенсоров, выполняющих анализ трафика сети АСУ ТП.

PT ISIM выполняет пассивный анализ сети АСУ ТП и поддерживает доставку копии трафика как напрямую с порта зеркалирования сетевого коммутатора (SPAN-port), так и через диод данных (Data diod).

На каждую из защищаемых площадок устанавливается минимальный набор компонентов (сенсор PT ISIM netView Sensor и при необходимости однонаправленный шлюз данных) для мониторинга информационной безопасности силами специалистов заказчика.

Не требует глубокого предварительного обследования сети АСУ ТП и технологического процесса. Каждый сенсор управляется отдельно. Минимальные усилия по развертыванию – не требует специальных знаний.

Подходит для защиты небольших инфраструктур, а также для поэтапного масштабирования решения на больших предприятиях с распределенной инфраструктурой.

Необходимо провести анализ защищенности технологических сегментов и компонентов АСУ ТП для достижения максимальной эффективности системы мониторинга.

При использовании сенсоров PT ISIM proView Sensor векторы атак, найденные в ходе анализа защищенности, могут быть учтены в конфигурии системы мониторинга.

Это дает возможность оперативно реагировать на сложные кибератаки, специфичные для конкретной АСУ ТП, включая эксплуатацию уязвимостей нулевого дня.

Организуется общий ситуационный центр для обработки инцидентов. PT ISIM Overview Center централизованно управляет всеми компонентами PT ISIM. Инциденты обрабатываются централизованно в SIEM-системе.

На удаленных и слабонагруженных сетях сегментов с АСУ ТП устанавливается недорогой, компактный PT ISIM Sensor без пользовательского интерфейса. В точках косолидации или в SOC устанавливаются серверы PT ISIM View Point, которые позволяют управлять сенсорами и получать доступ к результатам анализа трафика. Инциденты обрабатываются централизованно в SIEM-системе

Отзывы

В. А. Гросс

Первый заместитель генерального директора ООО «Бомбардье Транспортейшн (Сигнал)»

12 Июля 2018

25 Октября 2017

12 Сентября 2017

Сопутствующие решения

Источник: https://www.ptsecurity.com/ru-ru/products/isim/

Учебный центр «Информзащита»

Система управления инцидентами информационной безопасности

Авторский курс Учебного центра “Информзащита”

Аннотация

Несмотря на кажущуюся проработанность темы обеспечения информационной безопасности организации как системы (СОИБ), вопросов в процессе совершенствования СОИБ всегда возникает много, особенно на этапе становления компании и осознания руководством значимости этого вопроса.

Основная цель создания системы управления инцидентами как основы СОИБ — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски, а также доказать адекватность используемых средств контроля и парирования рисков для оптимизации операционных затрат.

Сегодня не вызывает сомнений необходимость финансовых вложений в обеспечение информационной безопасности бизнеса. Для достижения максимальной эффективности этих инвестиций особенно важно направить их на адекватные инструменты контроля рисков.

Обосновывая вложения и представляя руководству перечень существующих рисков, важно не только просто и коротко изложить информацию на понятном для менеджмента бизнес-языке, устранив таким образом коммуникационный барьер, но и четко сформулировать причинно-следственную связь между объемами вложений и достигаемыми результатами.

Построение в организации системы управления информационными инцидентами позволяет оптимизировать финансы в сфере ИБ.

Курс построен на опыте реализации практик управления информационными инцидентами в компаниях.

В нем рассматриваются апробированные методики подготовки и реализации правовых, организационных и технических мер защиты конфиденциальных сведений, отечественные и зарубежные подходы к управлению инцидентами, сформулированные в стандартах ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001), ISO/IEC 27002 (ГОСТ Р ИСО/МЭК 17799) ISO/IEC 27005:2011, ISO/IEC 27035:2011 (ISO/IEC 18044:2004), и др.

Цель курса: сформировать у слушателей знания и навыки, необходимые им для организации процессов управления инцидентами, являющихся основой обеспечения информационной безопасности предприятий.

Задачи курса: обучить слушателей основам организации СОИБ, разработке документов по информационной безопасности и выбору практических мероприятий по управлению безопасностью и непрерывностью бизнеса организации на основе управления инцидентами.

Аудитория

  • Руководители служб информационной безопасности и служб автоматизации.
  • Аналитики по вопросам информационной безопасности.
  • Специалисты по вопросам защиты информации.
  • Аудиторы информационных систем (внешние и внутренние).
  • Сотрудники служб поддержки качества и внутреннего контроля.

Предварительная подготовка

Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.

В результате обучения:

Вы приобретете знания:

  • о месте и роли анализа управления инцидентами в общем комплексе мероприятий по ОИБ;
  • об общих проблемах безопасности информационных систем;
  • об основных видах информационных инцидентов, их отличиях от других видов инцидентов;
  • о методах и средствах управления информационными инцидентами;
  • о методах и средствах защиты информации и контроля широко используемых информационных технологий;
  • об основных международных стандартах и рекомендациях по управлению информационными инцидентами;

Вы сможете:

  • разрабатывать корпоративную методику управления ИБ на основе управления информационными инцидентами;
  • проводить классификацию критичных информационных ресурсов, анализ угроз и рисков автоматизированных систем;
  • выбирать и разрабатывать меры защиты информации (контрмеры по снижению рисков) и оценивать их эффективность;
  • разрабатывать предложения по совершенствованию политики безопасности компании;
  • обоснованно вырабатывать методики обработки информационных инцидентов.

Пакет слушателя

  • Фирменное учебное пособие.
  • Организационно-распорядительные и основные нормативно-правовые акты и методические материалы, на основе которых ведется обучение, дополнительная и справочная информация по тематике курса в электронном виде.

Дополнительно

Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа учебного курса

Раздел 1. Построение СОИБорганизации на основе системы управления инцидентами ИБ

  • Базовые принципы построения системы обеспечения информационной безопасности. Место и роль управления инцидентами в общей системе обеспечения информационной безопасности и защиты информации.
  • Методологические основы обеспечения информационной безопасности. Понятия и определения в области обеспечения информационной безопасности, управления рисками (возможными последствиями информационных инцидентов).
  • Актуальность проблемы и нормативно-правовая база обеспечения информационной безопасности организации. Управление инцидентами в основных международных и национальных стандартах информационной безопасности. Базовые категории безопасности. Формирование основы (среды) и контекста обеспечения информационной безопасности.
  • Основы управления инцидентами информационной безопасности в организации. Основополагающие термины и определения. Процессы менеджмента инцидентов ИБ. Метрики инцидентов. Примерная структура действий и реагирования при возникновении возможных инцидентов информационной безопасности.
  • Особенности организации системы управления информационными инцидентами. Распределение обязанностей по информационной безопасности. Аудит ИБ – контрольно-координирующая функция СОИБ. Связи с государственными и другими органами, обеспечивающими информационную безопасность. Влияние внешних сторон на обеспечение информационной безопасности организации.

Раздел 2. Технологические основы управления инцидентами ИБ

  • Роль управления информационными инцидентами в политике информационной безопасности организации. Порядок разработки, структура и содержание политики ИБ. Минимальное содержание политики ИБ. Основные этапы разработки политики информационной безопасности. Описание границ системы и построение модели ИС с позиции безопасности. Вариант содержания политики ИБ.
  • Управление информационными активами организации. Ответственность за активы. Классификация и идентификация активов. Определение уровней защиты активов.
  • Персонал компании и безопасность информационных активов. Группы угроз, представляющих наибольшую опасность. Факторы и уязвимости, усиливающие действие угроз от персонала. Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу.
  • Защита информационных активов от физических воздействий. Физический периметр безопасности. Защита офисов, комнат и оборудования. Защита от внешних и экологических угроз.
  • Защита конфиденциальной информации при управлении передачей данных и в процессе операционной деятельности.
  • Основные вопросы управления доступом к информации.
  • Управление техническими уязвимостями. Стратегия управления техническими уязвимостями. Средства управления эксплуатационным программным обеспечением. Безопасность в процессах разработки и поддержки.

Раздел 3. Реализация концепции системы управления информационными инцидентами на практике

  • Примеры анализа и моделирование событий и инцидентов информационной безопасности в различных организациях. Использование Метрик управления ИБ.
  • Практика ИБ \ CERT – Руководство по обработке инцидентов, связанных с DDoS-атаками. Руководство по обработке инцидентов, связанных с утечкой внутренней информации. Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера. Руководство по обработке инцидентов, связанных с действиями внутренних злоумышленников (инсайдеров).
  • Практика ИБ \ SANS – Топ 20 наиболее критичных защитных мер и средств.
  • Проработка тестов по анализу и оценке угроз, уязвимостей и информационных инцидентов организаций.
  • Практические примеры отработки отчетов по инцидентам ИБ с применением систем контроля инцидентов (на примере Secret Net).
  • Вопросы управления непрерывностью бизнеса на основе управления информационными инцидентами.

Последующее обучение

Источник: https://itsecurity.ru/catalog/kp43/

Система управления инцидентами информационной безопасности Jet Signal

Система управления инцидентами информационной безопасности

Jet Signal – собственное программное решение компании «Инфосистемы Джет», предназначенное для повышения эффективности обработки инцидентов информационной безопасности.

Решение дает возможность службам ИБ работать в едином информационном пространстве: расследовать инциденты, назначать поручения и контролировать их исполнение, использовать накопленный опыт в базе знаний, общаться во встроенном чате и многое другое.

Система Jet Signal автоматизирует различные процессы:

  • Управление и контроль жизненного цикла инцидентов ИБ
  • Импорт информации об инцидентах ИБ из SIEM и других систем
  • Планирование, учет и контроль работы дежурных смен операторов SOC/CERT в единой типовой форме
  • Автоматическое определение плана мероприятий по реагированию в зависимости от типа инцидента
  • Контроль исполнения поручений в рамках решения задач по устранению причин и последствий инцидентов ИБ, а также по обеспечению защиты объектов и активов ИБ
  • Ведение базы знаний
  • Обмен формализованной информацией об инцидентах между подразделениями организации
  • Обмен быстрыми сообщениями между операторами системы
Подсистема управления инцидентами предназначена для информационного и процессного обеспечения работы подразделений, задействованных в обнаружении, предотвращении, а также расследовании инцидентов ИБ. Подсистема поддерживает процессы работы с инцидентами на протяжении всего их жизненного цикла: классификация и приоритизация инцидентов, принятие решений о мерах реагирования, контроль выполнения мер.
Подсистема управления дежурными сменами дает возможность планировать работу дежурных смен – составлять графики дежурства, назначать роли операторам, формировать отчеты для передачи дежурных смен и т.д.
Подсистема управления поручениями позволяет назначать задания сотрудникам и подразделениям – как в рамках работы с конкретным инцидентом, так и с целью повышения уровня информационной безопасности организации в целом, – а также контролировать ход их исполнения. Реализованный в подсистеме модуль «Распорядительные документы» позволяет оперативно распространять информацию о приказах, распоряжениях и т.п. по всей вертикали управления – от центрального аппарата до территориальных отделений компании, и фиксировать факт ознакомления с распорядительным документом.
Новостная лента предназначена для публикации новостей и сообщений, в том числе об актуальных угрозах информационной безопасности и уязвимостях в ручном режиме. Для упрощения создания и форматирования текста поддерживается формат Markdown.
База знаний позволяет управлять статьями по принципу Wikipedia.
Подсистема веб-чата дает возможность пользователям быстро обмениваться конфиденциальными сообщениями, не выходя из системы. Такая функция особенно актуальна для предприятий, где использование общедоступных мессенджеров запрещено политикой безопасности. Поддерживает работу участников группы «Дежурная смена» с сохранением истории чата в соответствии с заданным графиком дежурства.
Подсистема администрирования позволяет управлять учетными записями пользователей, редактировать роли, просматривать журналы системных событий, производить настройку работы системы.
Подсистема взаимодействия обеспечивает единый интерфейс обмена данными между узлами системы, функционирующими в разных сегментах корпоративной инфраструктуры, в том числе распределенных территориально. При организации информационного обмена учитывается класс защиты каждого сегмента. Подсистема выполняет первичный контроль входящей информации, включая проверку ее состава и полноты. Реализован прием сообщений, передаваемых из внешней SIEM-системы.

Гибкая архитектура системы Jet Signal позволяет оперативно адаптировать решение к изменениям на рынке и потребностям пользователей.

Решение предназначено для предприятий любых сфер деятельности, в том числе, обладающих территориально-распределенной инфраструктурой. Может применяться для обработки информации разной степени конфиденциальности с возможностью односторонней связи между контурами защиты.

Свидетельства и сертификаты

  • Свидетельство о государственной регистрации программы для ЭВМ № 2017612966.
  • Сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны РФ № 3712.

Пользовательская документация

Чтобы получить демоверсию системы на тестирование, ознакомиться с пользовательской и эксплуатационной документацией, направьте запрос на jetsignal@jet.su.

Цена системы рассчитывается по запросу.

Источник: https://jet.su/services/software-development/products/jet-signal/

SIEM – Система управления событиями и инцидентами безопасности

Система управления инцидентами информационной безопасности

  • Централизованный сбор и хранение событий

  • Инвентаризация информационных активов

  • Контроль изменений конфигурации информационных ресурсов

  • Контроль за действиями пользователей и администраторов информационных систем

  • Оповещение администраторов информационных систем о сбоях

  • Мониторинг состояния информационных активов

 ИБ

  • Централизованный сбор, хранение и обработка событий ИБ

  • Оперативный контроль защищенности информационных ресурсов

  • Оперативное реагирование и управление инцидентами ИБ

  • Проведение аудита и pentest

  • Оповещение ответственных лиц об инцидентах ИБ

В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов.

Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report).

Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).

Зачем внедрять SIEM?

  • Повышение защищенности информационных систем от внешних и внутренних угроз ИБ
  • Снижение возможного ущерба от инцидентов ИБ за счет предотвращения и/или оперативного реагирования на них

  • Получение данных для процессов анализа и управления рисками ИБ

  • Поддерживание принятия обоснованных решений в области ИБ

  • Снижение операционных затрат за счет автоматизации процессов обработки и управления событиями ИБ от различных источников

  • Выполнение ретроспективного анализа инцидентов ИБ

  • Анализ эффективности принятых мер по ИБ

  • Своевременное обнаружение несанкционированных изменений в информационных системах

  • Формирование доказательной базы при расследовании инцидентов

  • Своевременное обнаружение и реагирование на сбои в работе ИТ- и ИБ-систем

Немного занимательной теории

Системы сбора и корреляции событий безопасности, как можно судить по определению, сами по себе не способны что-либо предотвращать или защищать.

Их задача в другом — анализировать информацию, поступающую от различных систем, таких как DLP, IDS, антивирусы, маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент.

В основе работы таких систем лежат, в основном, статистические и математические технологии, работа с большими потоками событий, хранение и поиск информации в десятках терабайт данных.

  • Заместитель генерального директора по корпоративной защите – начальник СКЗ Уважаемый Александр Валерьевич! В рамках договора подряда ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» выполняло работы по сопровождению эксплуатации объекта «Системы безопасного доступа в интернет» в ООО «Газпром трансгаз Краснодар». Работы …
  • Заместитель генерального директора по корпоративной защите – начальник СКЗ Уважаемый Александр Валерьевич! В рамках договора подряда ООО «ИЦРЕГИОНАЛЬНЫЕ СИСТЕМЫ» выполняло работы по сопровождению эксплуатации объекта «Комплексная система защиты информации информационно-управляющей системы производственн…
  • Заместитель генерального директора по корпоративной защите – начальник СКЗ Уважаемый Александр Валерьевич! В рамках договора подряда ООО «ИЦРЕГИОНАЛЬНЫЕ СИСТЕМЫ» выполняло работы по сопровождению эксплуатации объекта «Системы защиты информации Единого информационно-технологического пространства диспет…
  • Руководство АО «Завод «Метеор» выражает глубокую признательность и благодарность компании ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» за высокий профессионализм и качественный сервис при оказании услуги по аттестации автоматизированного рабочег…

Источник: https://www.ec-rs.ru/resheniya/siem-sistema-upravleniya-sobytiyami-i-intsidentami-bezopasnosti/

О бухгалтерии
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: