Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Стадии и этапы создания. Часть 2

Продолжая серию постов по созданию Центров мониторинга инцидентов информационной безопасности, мы расскажем про основные стадии и этапы их создания, обратив внимание на то, что важно сделать на каждом этапе и какие можно встретить проблемы.

Как реализовать проект по созданию Центра мониторинга инцидентов информационной безопасности?
Перед инициацией проекта вам необходимо определить следующих действующих лиц:
Заказчик – должностные лица, заинтересованные в получении услуг мониторинга инцидентов ИБ.
При этом необходимо ответить на вопросы:

• Кому на вашем предприятии больше всего необходима данная услуга?
• Кто будет непосредственно пользоваться результатами услуги?
• Кто будет больше всех ждать завершения проекта и получения услуги?
  

Центр мониторинга – должностные лица или организация, предоставляющие услуги мониторинга инцидентов информационной безопасности.
При этом необходимо ответить на вопросы:

• Кто будет ответственен за предоставление услуг?
• Каковы критерии качества предоставления услуг?
• Каков состав услуг?
  

Далее проект создания Центра мониторинга инцидентов информационной безопасности проходит поэтапно вне зависимости от того, выполняется проект своими силами или сторонней компанией-интегратором. Центр мониторинга инцидентов информационной безопасности по сути является автоматизированной системой (далее – АС), поэтому его процесс построения проходит в соответствии со стадиями и этапами создания АС в соответствии с ГОСТ 34.601-90.

Мы позволим себе сокращенный вариант и свою версию названий стадий и этапов создания Центра мониторинга инцидентов информационной безопасности в данном руководстве, т.к. мы считаем это упростит понимание и лучше передаст их смысл.

Итак, основные стадии и этапы создания Центров мониторинга инцидентов информационной безопасности представлены схематично ниже. При этом следует учесть, что приведенные шаги являются общими для создания как корпоративных, так и ведомственных Центров ГосСОПКА, поэтому некоторые из них могут быть необязательными в случае создания корпоративных/ведомственных Центров.



Стадия 1. Обоснование и осознание необходимости создания Центра

Этап 1.1 Выполнение НИОКР (опционально для корпоративных Центров ГосСОПКА). Исследование проблематики и рынка. Чтение стандартов.
Первым и самым важным(!) этапом в создании Центра мониторинга инцидентов информационной безопасности является определение и осознание необходимости его создания на уровне высшего руководства предприятия. Вы должны сформулировать ответы на следующие вопросы:

• Действительно ли нужен такой Центр предприятию или целесообразно воспользоваться внешними услугами мониторинга?
• Что должен выполнять такой Центр и какова будет его ценность для подразделений предприятия?
• Возможно ли вообще создание Центра на вашем типе предприятия?
• Какие должны применяться технологии и методы организации работы сотрудников Центра?
• Какова специфика создания Центра на вашем предприятии? Какие будут особенности?
  

На данном этапе мы рекомендуем начать с чтения стандартов, законов, ресурсов и статей в Интернете, посвященных данной тематике. Обратиться в несколько компаний-интеграторов и проконсультироваться с ними по вопросам создания Центра. Оценить с консультантами примерную стоимость и сроки работ.

Здесь важно осознать, что данный проект принесет большие изменения в работу ваших ИТ/ИБ подразделений. Будьте к этому готовы, создайте команду из сотрудников, которые заинтересованы в этих изменениях и понимают возможности, которые открывает данный проект перед ними и предприятием.

Аналитики ФГУП «НПП «Гамма» оказывают консультации по этим вопросам. Они помогут с грамотным исследованием данной проблематики, проведут НИОКР. В случае выяснения действительной необходимости данного проекта, сформулируют грамотное обоснование и основные этапы по инициации проекта. Ассистируют вам в проведении презентации проекта для высшего руководства (например, совета директоров, акционеров) вашего предприятия.

Этап 1.2 Уведомление и согласование инициативы с ФСБ России (опционально для корпоративных Центров ГосСОПКА).



Если ваше предприятие является органом государственной власти, или организацией, действующей в интересах органов государственной власти, то мы рекомендуем заранее информировать ФСБ России о своем намерении создать Центр или обратиться с вопросом о целесообразности его создания, если представители ФСБ России еще не сообщили вам о такой необходимости.

Если вы собираетесь создавать корпоративный Центр и считаете необходимым согласовать это с ФСБ России, то делать это следует в соответствии с «Временным порядком включения корпоративных Центров в государственную Систему ГосСОПКА» от 05.04.2017. Перед выполнением данного действия внимательно ознакомьтесь с «Временным порядком» и «Методическими рекомендациями», поскольку они содержать минимальные требования к подключаемым Центрам.

Сотрудники компании ФГУП «НПП «Гамма» обладают многолетним опытом взаимодействия с представителями ФСБ России и могут проконсультировать вас по данным вопросам. Окажут помощь в оформлении корректной заявки на подключение вашего Центра к Системе ГосСОПКА и предоставят сопровождение на всех этапах взаимодействия с представителями ФСБ России.


Стадия 2. Оформление требований к Центру мониторинга инцидентов информационной безопасности

Этап 2.1 Определение миссии



Вторым важным этапом является определение миссии Центра мониторинга инцидентов информационной безопасности, т.е. определение конкретных целей создания и функций Центра, а также ответственных должностных лиц за его создание и функционирование.

Точное определение данных пунктов обеспечит долговечность существования Центра и должно исключить конфликтность с функционалом и задачами других подразделений предприятия.
Начните с составления краткого документа, в котором формально опишете следующие пункты:

• Цели создания Центра
• Задачи Центра
• Услуги (функции) Центра
• Ответственность (кто за что отвечает, что и кому передает, докладывает)
• Регламент работы
  

Определения в документе должны быть конкретными и четкими. Напишите, чего вы ожидаете от Центра.
Например, «Центр мониторинга инцидентов ИБ несет ответственность за мониторинг, обнаружение, предупреждение и ликвидацию инцидентов ИБ. Обеспечивает управление средствами защиты, сетевыми устройствами, защитой серверов и конечных устройств пользователей. Эти функции выполняются 7 дней в неделю, 24 часа в сутки. Центр является главным подразделением, где сосредоточены лучшие специалисты ИТ и ИБ нашего предприятия, его системы предназначены только для выполнения функций Центра».


После того как вы определили его зоны ответственности, необходимо определить перечень услуг (выполняемых сервисных функции), которые должен предоставлять Центр, например, они могут включать в себя:

• Инвентаризация защищаемых активов
• Мониторинг статусов и обнаружение инцидентов
  • Мониторинг консоли SIEM-системы
  • Мониторинг антивирусная консоли
  • Мониторинг консоли СОВ/СОА (IDS/IPS)
  • Мониторинг консоли DLP системы
    
• Первичная диагностика проблем
• Администрирование средств защиты
  • Управление антивирусной системой
  • Управление системой контроля защищенности
  • Управление МЭ и СОВ/СОА (IDS/IPS)
  • Управление обновлениями ОС и ПО
  • Управление “белыми” листами
  • Управление другими средствами защиты
    
• Расследование инцидентов
• Эскалация инцидентов на более высокий уровень руководства
• Закрытие инцидентов
• Исследование и устранение новых угроз ИБ
• Владение моделью угроз и нарушителей
• Предоставление периодической отчетности руководству о работе Центра
• Повышение осведомленности сотрудников других подразделений в области ИБ
• Взаимодействие с внешними подрядчиками
• И многие другие
  

Определение перечня сервисных функций повлияет на то, какие ежедневные процессы и рабочие процедуры будут выполняться сотрудниками Центра. Функции помогут на следующих этапах определить состав необходимых систем и средств, штатное расписание, состав персонала и иерархию взаимодействия персонала как в Центре, так и с внешними подразделениями и организациями. Не стоит на данном этапе подробно описывать, что включает в себя каждая функция.

Этап 2.2 Разработка регламентов взаимодействия и обязанностей участников
На данном этапе важно определить и добавить в ваш краткий документ следующее:

• Обязанности Центра мониторинга инцидентов ИБ по отношению к Заказчику
• Обязанности Заказчика
  • Определение круга лиц, которым возможно выступать в роли Заказчика
    
• Условия разрешений споров при возникновении конфликта интересов
• Правила включения защищаемых активов в контур мониторинга
• Правила вывода защищаемых активов из контура мониторинга
  

Определите кто из ваших сотрудников будет руководить Центром, а кто выполнять функции Центра, достаточно ли у вас сотрудников с соответствующей квалификацией. По нашему опыту, а также по рекомендациям ФСБ России, минимальный состав персонала Центра начинается от 4-х человек, который должен включать в себя:

Название должности	Назначение
Руководитель Центра	Организует работу Центра Управляет персоналом и решает кадровые вопросы Планирует работу и развитие Центра Визирует и утверждает решения по работе Центра Контролирует выполнение задач и функций Центра Оценивает эффективность работы Центра и его работников
Специалист 1-ой линии	Проводит инвентаризацию защищаемых активов Эксплуатирует средства и системы Центра Управляет конфигурацией средств защиты Обнаруживает потенциальные атаки Фиксирует и анализирует сетевой трафик Собирает и уточняет сведения об инцидентах ИБ Регистрирует, локализует, ликвидирует последствия инцидентов ИБ Обменивается информацией с внешними организациями (включая другие Центры)
Специалист 2-ой линии	Проводит оценку эффективности мер защиты информации Анализирует данные о событиях безопасности Координирует действия смежных подразделений по прекращению воздействия компьютерных атак Устанавливает причины возникновения инцидентов ИБ и их возможных последствий Формирует рекомендации для совершенствования нормативных документов
Специалист 3-ей линии	Оказывает экспертную поддержку специалистов первой и второй линий Анализирует причины возникновения инцидентов ИБ Проводит оценку защищенности активов Разрабатывает нормативные и методические документы Центра

К этому моменту у вас появится достаточное количество материалов, которые станут хорошей основой для составления грамотного технического задания на проект по созданию, внимание (!), пилотного стенда Центра мониторинга инцидентов информационной безопасности.

Вначале инициируйте создание пилотного стенда Центра, который обеспечит мониторинг ограниченного количества защищаемых активов и будет включать минимальный набор сервисных функций. Обязательно заложите в проектирование пилотного стенда Центра возможность его дальнейшего масштабирования на всю ИТ-инфраструктуру вашего предприятия.

Однако, по завершению данного этапа не торопитесь формулировать требования технического задания, заключать договор или инициировать внутренний самостоятельный проект. Мы рекомендует вначале продумать реализацию следующей стадии проекта и после этого приступать к формированию Технического задания.


Стадия 3. Разработка пилотного стенда

Этап 3.1 Определение состава и инвентаризация защищаемых активов




Определите, какие защищаемые активы должны быть включены в объекты мониторинга. На инциденты по каким защищаемым активам Центр должен реагировать? Выполнять мониторинг всего и всех не целесообразно даже на стадии функционирования зрелого Центра.

Мы рекомендуем не включать в пилотную зону большое количество активов, т.к. большая пилотная зона сильно затормозит развертывание пилотного стенда, и обязательно включить несколько активов, которые несут высокую значимость для предприятия, риск нарушения безопасности которых может повлечь ощутимый ущерб предприятию. Только таким способом можно будет понять ценность услуг Центра.


Обязательно проведите инвентаризацию активов, подлежащих мониторингу и зафиксируйте в базе знаний их штатное состояние (или для начала в виде excel-таблицы). Запишите ответы на следующие вопросы по каждому активу:

• Каково назначение защищаемого актива? Кто за него отвечает и в чьих интересах его функционирование?
• Какие на нем функционируют сервисы? Каких версий? Как они должны быть сконфигурированы? В какое время они должны быть доступны? Возможен ли их простой?
• Какие должны быть средства защиты на защищаемом активе? Как они должны быть сконфигурированы?
• Какие сетевые порты должны быть открыты?
• Какое ПО и обновления должны быть установлены?
• Кому, что и когда разрешено делать с данным активом?
• Какова важность функционирования данного актива по отношению к другим активам? Проранжируйте ваши активы по важности для предприятия.
  

Все это позволит в дальнейшем с легкостью определять сценарии отклонения защищаемых активов от штатного состояния и определять приоритет реагирования на инциденты. Вы будите четко представлять, что именно вам предстоит защищать и мониторить. Мы также подчеркиваем, что ФСБ России считает функцию инвентаризации защищаемых активов одной из основных и первых функций Центров ГосСОПКА.


Этап 3.2 Анализ уязвимостей, угроз и нарушителей, требований политик информационной безопасности
Во-первых, проведите тщательный анализ и выявите возможные способы проведения атак на активы, выбранные для мониторинга. Учтите особенности реализованных на них технологий, состава сервисов, ПО, как пользователи используют сервисы, с использованием каких протоколов. Выработайте меры, которые можно и нужно предпринять для противодействия возможным атакам.


На данную тему существует достаточно много стандартов, рекомендаций и полезных инструкций. Например, вот некоторые из них:

• ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
• Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности
• ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»
• ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»
• И другие…
  

Во-вторых, на каждом предприятии принята своя политика информационной безопасности. Где-то ночная удаленная работа сотрудников является нормальным режимом работы, а где-то такой факт принимается за инцидент информационной безопасности. Необходимо изучить все политики и другие документы, регламентирующие информационной безопасности  на предприятии. Если данных документов на вашем предприятии нет или они слабо проработаны, то мы рекомендуем включить этап разработки таких документов до создания Центра. Утвержденные политики информационной безопасности дают четкое понимание, что на предприятии является инцидентов информационной безопасности, а что допустимо. Без данных документов вы не сможете определить сценарии инцидентов для мониторинга и реагирования.

Специалисты корпоративного Центра ГосСОПКА ФГУП «НПП «Гамма» обладают богатым опытом по предоставлению услуг анализа уязвимостей защищаемых активов, определения моделей угроз и нарушителей в соответствии с законодательством Российской Федерации. В том числе мы оказываем услуги по разработке всех видов внутренних политик и процедур по ИБ.

Этап 3.3 Определение сценариев инцидентов для мониторинга





Определив уязвимости и угрозы применимые к защищаемым активам, вы сможете сформулировать наиболее вероятные сценарии, по которым будут разыгрываться атаки. Следовательно, вы сможете определить логические последовательности событий и симптомов, которые будут предвещать моменты начала этих атак и инцидентов.

Цель данного этапа – разработать перечень таких сценариев и симптомов, описать их логику. На основании перечня вы сможете определить необходимые источники данных для подключения к центральной SIEM-системе мониторинга Центра (например, определенные средства защиты), чтобы SIEM-система могла автоматически регистрировать данные сценарии. По сути сценарии будут являться критическими показателями, обязательно подлежащие мониторингу для каждого защищаемого актива.
Примерами таких сценариев могут являться:

• Антивирус не смог удалить вредоносный объект
• Антивирус был отключен пользователем
• Ошибки антивируса в работе его внутренних модулей
• SMTP трафик с несанкционированного узла
• Повторяющиеся атаки с одного источника / на один и тот же актив
• Чрезмерный объем исходящего SMTP-трафика
• Чрезмерное количество исходящих запросов к вредоносному веб-сайту от внутреннего актива
• Сканирование сети с несанкционированного узла
• Источник перестал присылать события в SIEM-систему
• Очистка событий (логов) в журналах регистрации событий
• Создание учетной записи с правами администратора
• Внесены несанкционированные изменения в настройки сетевого оборудования
• Установлено запрещенное ПО на компьютере пользователя
• И многие другие…
  

Существует набор универсальных сценариев и симптомов, применимых к большинству активов вне зависимости от ИТ-инфраструктуры и предприятия. Почти все SIEM-системы обладают широким набором таких встроенных сценариев (правил корреляции).

Но практика показывает, что большинство из них не будет работать «из коробки» на этапе внедрения, поэтому обязательно потребуется их доработка и разработка сценариев, уникальных для ИТ-инфраструктуры вашего предприятия. А на этапе эксплуатации Центра, одной из важных задач специалистов Центра будет постоянное поддержание данных сценариев в SIEM-системе в актуальном состоянии, поскольку уязвимости, угрозы и векторы атак могут часто изменяться, т.к. со временем изменяется ИТ-инфраструктура и само предприятие в целом.

Наши аналитики Центра ГосСОПКА «ФГУП «НПП «Гамма» занимаются разработкой индивидуальных сценариев инцидентов ИБ с учетом специфики ИТ-инфраструктуры вашего предприятия. Следует учитывать, что для качественного предоставления данной услуги нашим специалистам потребуется проведение предварительного анализа защищенности активов и применяемых к ним средств защиты.

Этап 3.4 Определение необходимых источников данных для мониторинга
На этом этапе вы должны определить какие источники данных должны быть подключены к центральной системе мониторинга инцидентов информационной безопасности (SIEM-системе). На основании данных от источников сотрудники Центра смогут регистрировать и определять атаки и инциденты информационной безопасности.

В процессе определения вполне может оказаться, что для обнаружения некоторых сценариев вам потребуется докупить или до развернуть дополнительные меры защиты, в противном случае обнаружение некоторых атак и сценариев будет не возможным.

Составьте полный перечень источников данных (включая номер версии), подключаемых к вашей системе мониторинга. Он пригодится вам при выборе технического решения для системы мониторинга Центра на следующем этапе. Различные решения поддерживают «из коробки» определенный набор источников и, возможно, для подключения ваших уникальных источников потребуется разработка дополнительных коннекторов (парсеров) для того, чтобы система мониторинга смогла «понимать» получаемые от них данные.


Этап 3.5 Определение параметров и выбор технических решений для Центра
Выбор технических решений для создания Центра сильно зависит от тех сервисных услуг, которые он должен выполнять. Мы не будем останавливаться на всех необходимых решениях (Системы управления заявками, Базы знаний Wiki, сканеры уязвимостей и другие), но одним из самых важных элементов Центра является система мониторинга класса SIEM. Она будет являться главным центром управления, выполнять сбор событий, регистрацию и обработку инцидентов, визуализацию и долговременное хранение данных.


Есть SIEM-системы, ориентированные на заказчиков разного уровня. Большие, сложные и дорогие решения требуют огромных трудозатрат по их разворачиванию и внедрению, но для крупных предприятий это того стоит. Для средних и малых предприятий есть варианты поменьше и попроще, они представляют из себя некую «коробку», которую достаточно легко внедрить. Есть ряд open-source решений, они вообще бесплатны, но потребуют довольно кропотливой настройки и специалистов способных её «победить» на этапе внедрения.

На что мы рекомендуем обратить внимание при выборе SIEM-системы:

• Согласованность с общей стратегией компании. Например, если руководство является сторонником облачных решений, то следует отдать предпочтение партнерам соответствующих облачных провайдеров.
• Сфокусируйтесь на обязательных и самых необходимых функциях, чтобы не переплатить. Выбирайте инструмент с минимальным набором функций, без которых вы не обойдетесь.
• Квалификация ваших специалистов. Инструмент должен соответствовать навыкам вашей команды, либо нужно быть готовым потратить деньги на обучение персонала.
• Интеграция. Убедитесь, что SIEM-система интегрируется с существующими источниками данных. Не забудьте подумать об интеграциях, которые могут пригодиться в будущем.
• Выберите SIEM-систему, которая легко развертывается и проста в сопровождении. Чем сложнее инструмент, тем больше усилий требуется для развертывания и настройки. Соотнесите эти характеристики с навыками вашей команды.
• Возможность анализа первопричины. SIEM-система должна в реальном времени генерировать топологические представления и карты зависимостей, чтобы можно было докопаться до первопричины сбоя.
• Учитывайте различия между локальными и облачными SIEM-системами. Не стоит ожидать, что функции в одном сервисе будут доступны в другом, даже если поставщик у них один и тот же.
  

Зарубежные производители (HP, IBM, RSA, McAfee, Splunk и другие) начинали разработку таких систем около 10 лет назад. Они обладают очень широким функционалом, стабильностью и длинным списком поддерживаемых источников данных. Но за широкий функционал приходиться платить высокую цену и обучать сотрудников управлению всеми функциями.

Российские производители SIEM-систем (ФГУП «НПП «Гамма», НПО «Эшелон», Positive Technologies, Перспективный мониторинг, RuSIEM и другие) начали заниматься разработкой сравнительно недавно – 3-4 года назад, поэтому функционал и стабильность большинства из них пока конечно не сравнима с зарубежными аналогами. Разработка систем такого класса требует времени. Но зато отечественные системы стоят относительно дешевле зарубежных, вы получаете прямой доступ к разработчикам систем, что дает возможность быстрой индивидуальной доработки системы под ваши требования.


На текущий момент рынок SIEM-систем и услуг предоставления мониторинга ИБ представлен следующими игроками:




Мы подчеркиваем, что если вы создаете собственный Центр мониторинга инцидентов ИБ (корпоративный или ведомственный Центр ГосСОПКА), то на данный момент, вы можете использовать не сертифицированные SIEM-системы. Однако, если вы собираетесь создавать Центр для оказания услуг мониторинга внешним заказчикам, то в основе вашего Центра должна применяться сертифицированная SIEM-система в соответствии с «Перечнем контрольно-измерительного и испытательного оборудования, средств защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденных постановлением Правительства РФ от 03 февраля 2012 г. № 79» .

Компания ФГУП «НПП «Гамма» занимается разработкой собственной платформы мониторинга инцидентов информационной безопасности Visor с 2015 года. Платформа Visor:

• Обладает всем необходимым функционалом для создания Центра мониторинга инцидентов информационной безопасности
• Является основой нашего корпоративного Центра ГосСОПКА
• Ожидает получения сертификата ФСТЭК (2018)
• Имеет ряд преимуществ относительно других отечественных систем
  

Для получения более подробной информации посетите веб-сайт платформы Visor: www.isvisor.ru .


Стадия 4. Тестирование пилотного стенда



В начале данной стадии Вы должны официально инициировать внутренний проект, либо заключить контракт с подрядной организацией на создание пилотного стенда Центра.

Этап 4.1 Создание пилотного стенда
На данном этапе проводятся пуско-наладочные работы SIEM-системы, работы по подключению и настройке источников данных к SIEM-системе. Настраиваются правила корреляции, виджеты на дашбордах и отчеты для выявления сценариев атак и инцидентов информационной безопасности в рамках пилотной зоны.

Этап 4.2 Тестовая эксплуатация пилотного стенда
Перед началом проекта следует определить временной период и методику проведения тестовой эксплуатации пилотного стенда. На данном этапе в установленный срок должны быть проведены реальные действия по использованию SIEM-системы, сотрудниками Центра должны быть отработаны действия в соответствии с сервисными функциями, за которые ответственен Центр. Важно на данном этапе оценить возможность развития Центра и масштабирования сервисных функций на остальную ИТ-инфраструктуру предприятия.

Этап 4.3 Выводы из результатов тестовой эксплуатации
По завершению периода тестовой эксплуатации должен быть проведен анализ работы Центра мониторинга инцидентов информационной безопасности. На выходе анализа формируется отчет, в котором отражаются результаты тестирования.

В первую очередь следует обратить внимание на проблемы, выявленные в ходе тестирования пилотного стенда, как в системах Центра, так и в организации взаимодействия сотрудников Центра при выполнении сервисных функций. Описываются препятствия, которые могут возникнуть при полноценном внедрении Центра. Выявленные недостатки и проблемы должны быть учтены на следующей стадии создании полноценного Центра.

С учетом результатов отчета и опыта, полученного в ходе тестирования, должно быть разработано техническое задание, содержащее описание дальнейших этапов по внедрению и организации работы полноценного Центра мониторинга инцидентов информационной безопасности.


Мы рекомендуем не торопиться и не приступать к следующей стадии, а найти силы для проведения повторной тестовой эксплуатации, предварительно внеся изменения в пилотный стенд с учетом выявленных недостатков. Это поможет снизить риски неправильного внедрения.


Бывает и так, что только на данном этапе вы осознаете, что создание собственного Центра мониторинга инцидентов информационной безопасности не целесообразно по различным причинам и слишком ресурсоёмко, трудозатратно для вашего предприятия. Следует помнить, что в большинстве случаев стоимость защиты не должна превышать стоимости (ценности) защищаемого объекта. Возможным решением данной задачи будет прибегнуть к услуге внешнего Центра мониторинга инцидентов информационной безопасности.


Стадия 5. Внедрение полноценного Центра мониторинга инцидентов информационной безопасности
В начале данном стадии вы уже можете инициировать внутренний проект, либо заключить контракт с подрядной организацией на создание полноценного Центра мониторинга информационной безопасности на вашем предприятии.

Этап 5.1 Разработка нормативных и методических документов
Этим этапом необходимо узаконить и регламентировать деятельность Центра мониторинга инцидентов информационной безопасности на предприятии. Необходимо разработать комплект документации, который очерчивает ответственность и дает все необходимые полномочия сотрудникам Центра мониторинга инцидентов информационной безопасности для возможности выполнения своих сервисных функций (услуг). Разрабатываются документы и выполняются внутренние процедуры для внедрения нового подразделения и центра финансирования внутри вашего предприятия.


Если вы создаете Центр ГосСОПКА, то данный комплект документов, как минимум должен включать в себя:

• Положение о Центре ГосСОПКА, утвержденного руководителем предприятия
• Регламент деятельности Центра ГосСОПКА (описание сервисных функций, возложенных на Центр, порядок взаимодействия с участниками Системы ГосСОПКА)
• Штатное расписание Центра ГосСОПКА
  

Этап 5.2 Обучение сотрудников, повышение квалификации
По нашему опыту бОльшая часть сотрудников Центра (руководитель, специалисты 2-ой и 3-ей линии) должны иметь сравнительно высокую квалификацию в ИТ/ИБ областях (от 6 лет опыта работы в индустрии, и иметь опыт от 1-2 лет в мониторинге и решении инцидентов ИБ).

Помимо этого, специалисты Центра должны иметь опыт работы со средствами защиты, используемыми на предприятии, понимать принципы рабочих процессов предприятия. В том числе иметь опыт работы с SIEM-системой и другими инструментами, предполагаемыми для закупки и использования в Центре. Постепенно персонал будет привыкать к новым схемам рабочих процессов внутри Центра, к правильным последовательностям действий при обработке и расследовании инцидентов, взаимодействию со смежными подразделениями.

Поэтому учтите, что потребуется какое-то время (в среднем 2-3 месяца, после начала работы), чтобы персонал обучился новым функциональным обязанностям и технологиям, смог перестроиться на новый рабочий лад Центра.

Для облегчения данного перехода ваши сотрудники могут пройти соответствующие курсы по мониторингу инцидентов ИБ и управлению платформой Visor в Учебном Центре ФГУП «НПП «Гамма».

Этап 5.3 Расширение Центра на всю ИТ-инфраструктуру предприятия
На данном этапе, как и на стадии пилотного стенда, проводятся пуско-наладочные работы SIEM-системы, работы по подключению и настройке источников данных к SIEM-системе, только в рамках всей ИТ-инфраструктуры предприятия. Настраиваются правила корреляции, виджеты на дашбордах и отчеты для выявления сценариев атак и инцидентов информационной безопасности в рамках пилотной зоны. Выполняется внедрение и настройка других вспомогательных систем Центра (системы управления заявками, базы данных Wiki и другие).

Этап 5.4 Интеграция в другие процессы предприятия
На этом этапе происходит информирование работников предприятии о факте создания Центра, его компетенциях, полномочиях и ответственностях. Рассылается инструкция по реагированию на инциденты для каждого работника предприятия, указываются способы коммуникации с Центром. Проводятся необходимые работы для интеграции Центра в другие рабочие процессы предприятия.


Стадия 6. Эксплуатация Центра мониторинга информационной безопасности




Этап 6.1 Процессы непрерывно улучшаются, система до настраивается
Так же, как и на этапе пилотного тестирования, в процессе эксплуатации у сотрудников Центра будут возникать новые идеи по улучшению и оптимизации работы Центра, которые будут повышать его операционную эффективность и устранять недостатки. Данный процесс должен быть непрерывным.


Мы рекомендуем при организации работы и выполнении сервисных функций Центра мониторинга ИБ применять лучшие практики стандартов ITIL/ ITSM, предназначенных для компаний и подразделений, занимающихся предоставлением услуг в области информационных технологий. Данные практики позволят обеспечивать постоянное высокое качество сервисных функций (услуг) Центра и повысить степень удовлетворенности ваших непосредственных Заказчиков.

Этап 6.2 Техническая поддержка, сопровождение систем Центра мониторинга инцидентов информационной безопасности, периодические проверки эффективности
Следует помнить, что системы и технологические инструменты Центра необходимо будет поддерживать. Мы рекомендуем следить за продлением договоров на оказание технической поддержки, чтобы у сотрудников была возможность обратиться с проблемами и вопросами по работе систем и инструментов Центра к квалифицированным специалистам производителей.

Обязательно регламентируйте и периодически проверяйте эффективность рабочих процессов и функций Центра. Только таким образом вы сможете оценить текущее состояние работы Центра и качество предоставляемых им услуг.

В качестве одной из эффективных проверок качества работы Центра мы рекомендуем проведение периодических внешних и внутренних тестирований на проникновение (пентестов) сторонней организацией, без информирования руководства и сотрудников вашего Центра о дате проведения данных тестов.


Стадия 7. Подключение Центра к Системе ГосСОПКА

Этап 7.1 Приведение Центра в соответствии с требованиями ФСБ России
Если вы планируете подключить к Системе ГосСОПКА созданный ранее Центр мониторинга инцидентов информационной безопасности, то вначале вам необходимо привести его в соответствие с «Временным порядком включения корпоративных Центров в государственную Систему ГосСОПКА» от 05.04.2017 и Методическими рекомендациями по созданию Центров ГосСОПКА, они содержат минимальные требования к подключаемым Центрам мониторинга инцидентов информационной безопасности.

Этап 7.2 Подключение к Системе ГосСОПКА
Подключение уже работающих (и соответствующих требованиям ФСБ России) корпоративных Центров к Системе ГосСОПКА выполняется в соответствии с «Временным порядком включения корпоративных Центров в государственную Систему ГосСОПКА» от 05.04.2017.


Характерные ошибки при создании Центров мониторинга инцидентов ИБ





Очень часто процесс создания Центра заканчивается покупкой дорогостоящей SIEM-системы, после чего она никем не используется. Те сотрудники, для которых создавалась система, забывают о её существовании, при этом сервера, на которых развернута система, продолжают простаивать и потреблять энергию.

Причины, по которым это происходит, как правило следующие:

• На этапе инициирования проекта, ни у кого нет понимания, для кого и что должна отслеживать система мониторинга инцидентов ИБ
• Система засыпает консоль и почту тех, кто её настраивал о серьёзных инцидентах и нарушениях ИБ, но времени просматривать, выявлять действительно серьёзные инциденты, реагировать и расследовать их – не остаётся
• Как правило считают, что достаточно покупки и первичной настройки SIEM-системы, а нанимать новый персонал, обучать его, снимать текущий персонал с их функциональных обязанностей и обучать новым, разработать прозрачную мотивацию работы персонала в Центре, считают не уместным или об этом некогда задуматься
• Многие предприятия не доверяют качеству предоставляемых внешних услуг мониторинга, как результат, пытаются решить проблему своими силами или не задумываются о мониторинге. А ресурсов (материальных, временных, кадровых) на решение собственными силами как правило не хватает.
• Уязвимости, угрозы, нарушители и векторы атак со временем всегда меняются, т.к. меняется ИТ-структура предприятия. Времени, квалификации и кадров актуализировать средства защиты и сценарии обнаружения инцидентов в SIEM-системе, тоже не остаётся.
  

В следующем посте (Часть 3) мы приблизительно посчитаем стоимость создания собственного Центра. Оценим насколько это выгоднее по сравнению с использованием сторонних услуг мониторинга.