Точки соприкосновения с процессом управления событиями

Точки соприкосновения с процессом управления событиями
Вчера принял участие в научно-практической конференции «Информационная безопасность в банковско-финансовой сфере», организованной на базе Финансового университета при Правительстве Российской Федерации, с темой: «Процесс управления событиями как составная часть системы менеджмента информационной безопасности предприятия».


В данной заметке я хочу остановиться на ключевом, на мой взгляд, моменте из данного выступления, а именно на взаимосвязи процесса управления событиями с другими процессами управления.

Почему именно взаимосвязи?

Дело в том, что практика показала, что несмотря на идеальную реализацию каждого отдельного компонента системы менеджмента информационной безопасности предприятия (в данном случае каждого отдельного процесса управления), именно от качества взаимосвязей зависит результативность и эффективность работы всей системы. В противном случае мы получаем классическую ситуацию (автор А.И. Райкин):

Я говорю:
- Ребята, кто сшил костюм?
Они говорят:
- Мы!
Я говорю:
- Кто это «мы»?
Они говорят:
- У нас узкая специализация. Один пришивает карман, один - проймочку, я лично пришиваю пуговицы. К пуговицам претензии есть?
- Нет! Пришиты насмерть, не оторвёшь! Кто сшил костюм?


Плюс к этому, стоит отметить, что без наличия взаимосвязей невозможно говорить о системе как таковой, т.к. система – это совокупность взаимосвязанных компонентов.

Несколько лет назад я уже подходил к схожей теме в разрезе методологии ITIL, тогда меня в первую очередь интересовала взаимосвязь в рамках решения задач, связанных с инцидентами (incident), проблемами (problem) и катастрофами (disaster).

Актуальность данный документ не потерял, поэтому публикую его здесь.
6256dbfd8cfe54ad147013e016dfc95d.jpg


Сейчас же в разрезе тематики Центров операционной безопасности (Security Operations Center, SOC) этого уже явно недостаточно. Ключевым недостатком мною любимой методологии ITIL в данном случае является рассмотрение аспектов информационной безопасности в виде одного единственного процесса – Information Security Management. Конечно, если «копать глубже», то ITIL отправляет читателя в международные стандарты серии ISO/IEC 27000, но это другой вопрос.

В связи с этим пришлось декомпозировать, при этом на прошедшем Уральском форуме я бегло этот вопрос затрагивал, отметив, что список процессов управления является открытым и каждое предприятие дополняет его с учетом своих потребностей.
314642a5e36a3905174f44403da17dc3.jpg


За прошедшее время на базе полученного практического опыта я расширил этот список и сейчас, на мой взгляд, процесс управления событиями имеет следующие взаимосвязи (при этом список по-прежнему остается открытым):

- односторонняя взаимосвязь с процессом управления инцидентами;
- односторонняя взаимосвязь с процессом управления проблемами;
- односторонняя взаимосвязь с процессом управления изменениями;
- односторонняя взаимосвязь с процессом управления соответствия требованиям;
- двухсторонняя взаимосвязь с процессом управления активами;
- двухсторонняя взаимосвязь с процессом управления уязвимостями;
- двухсторонняя взаимосвязь с процессом киберразведки (Threat Intelligence).


81317a53b1c09ce3d819d123e1ada7dc.jpg

Сразу же отмечу, что обратная связь в виде формирования события по результатам или в процессе выполнения действий в рамках других процессов управления не рассматривается (при этом она есть всегда), т.е. считаем, что они к нам попадают опять же через ИТ-инфраструктуру, в противном случае это будет ненаглядно для восприятии.

Что касается наиболее интересных, двухсторонних связей, то здесь «вход» в процесс управления событиями нацелен на обогащение событий сведениями об:

- активах предприятия;
- уязвимостях, присущих активам предприятия;
- индикаторах компрометации (Indicator of Compromise).


Данная информация позволяет приоритизировать финансовые, материальные, трудовые и/или временные ресурсы специалистов по защите информации для выявления (детектирования) действительно реальных инцидентов информационной безопасности (подозрений на них), затрагивающих наиболее критичные активы предприятия, а не распыляться на все подряд.

Успехов при внедрении процесса управления событиями и его встраивании в существующую систему менеджмента информационной безопасности предприятия!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только