#Run-Change-Disrupt

Последовательное повышение уровня Информационной Безопасности

Информационная безопасность (ИБ) в современной компании — это не просто набор технологий, а сложная система процессов, стратегий и инструментов, встроенная в Бизнес. Для оценки и управления развитием ИБ используются модели зрелости управления ИТ-проектами, процессами,  адаптированные под задачи ИБ. 

Эта статья представляет собой обзор уровней зрелости информационной безопасности, акцентируя внимание на зарождении и развитии предиктивного реагирования на угрозы. Мы также обсудим, почему последовательное развитие ИБ критически важно для устойчивости бизнеса.

 

Уровни зрелости информационной безопасности: путь к предиктивному реагированию

Информационная безопасность (ИБ) оценивается по уровням зрелости, которые отражают степень защищенности компании от угроз и степень интеграции процессов ИБ в бизнес. 

Модель зрелости ИБ помогает систематизировать развитие процессов и технологий, деля его на четыре основных уровня. Каждый уровень характеризуется определенными угрозами, подходами к их устранению и применяемыми инструментами.

Нулевой уровень зрелости

На этом этапе компания не имеет формализованных процессов управления ИБ. Все действия носят хаотичный и реактивный характер, а инциденты устраняются вручную.

Первый уровень зрелости (Управляемый, но хаотичный)

На этом уровне осознание угроз начинает формироваться, внедряются базовые политики и инструменты. Однако процессы остаются фрагментарными, а управление угрозами хаотично.

Второй уровень зрелости (Определенный и документированный)

Этот этап характеризуется систематизацией и стандартизацией процессов ИБ. Документируются политики, и ИБ начинает интегрироваться в бизнес.

Третий уровень зрелости (Управляемый и измеряемый)

Это уровень полной интеграции ИБ в бизнес. Все процессы измеримы, оптимизируемы и поддерживаются передовыми технологиями.

Рассмотрим уровни зрелости, начиная с нулевого, с их характеристиками, типовыми угрозами и используемыми инструментами.

Нулевой уровень зрелости информационной безопасности (ИБ)

ИБ как дисциплина отсутствует или практически отсутствует. Все действия носят реактивный характер, системы защиты реализуются "как придется"на интуитивных действиях отдельных сотрудников уровня системного администратора

Используются минимальные встроенные средства защиты:

  1. Базовый антивирус операционной системы, бесплатные антивирусы.
  2. Простейший межсетевой экран операционной системы, роутера (не NGFW).
  3. Ручное резервное копирование от случая к случаю, часто без тестирования восстановления данных.
  4. Бесконтрольный незащищенный удаленный доступ к RDP
  5. Несовместимые сервисы сети зачастую функционируют на одном физическом сервере

Реагирование на угрозы на нулевом уровне зрелости информационной безопасности 

На этом уровне компании неспособны прогнозировать инциденты, полностью отсутствует предиктивное реагирование.

#IT (nosoc)

Первый уровень зрелости информационной безопасности (Управляемый, но хаотичный)

ИБ начинает формализоваться и выполняться сотрудниками ИТ. Внедряются базовые политики, например, политика смены паролей. Выделяются ресурсы для управления инцидентами. Появляется осознание ценности данных, хотя их классификация обычно отсутствует.

Используются минимальные средства защиты:

  1. Централизованный межсетевой экран UTM
  2. Антивирусное ПО корпоративного уровня.
  3. RDP over VPN
  4. Простая система управления инцидентами (например, Service | Help Desk).
  5. Ограниченный контроль доступа к файлам и данным (ACL).
  6. Элементарное резервное копирование с проверкой восстановления данных.
  7. Виртуализация

 

Реагирование на угрозы на первом уровне зрелости информационной безопасности 

Процессы остаются фрагментарными, а управление угрозами хаотичными. Зарождаются системы мониторинга, но корреляции с угрозами отсутствует. Основной подход остается реактивным

#SOC

Второй уровень зрелости информационной безопасности (Определенный и документированный)

Выделяются выделенные роли для управления безопасностью - SOC (отдельная единица или группа, ответственная за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы)

Используются средства защиты:

  1. Next Generation Firewall (NGFW)
  2. EDR - расширенный функционал c детектированием угроз на конечных станциях и централизованным управлением
  3. NTA - мониторинг сетевого трафика для выявления аномалий
  4. SWG/SEG: фильтрация веб-угроз и электронной почты
  5. Контейнеризация и микросегментация сети
  6. Выделенный специалист по информационной безопасности

 

Реагирование на угрозы на втором уровне зрелости информационной безопасности 

Этот этап характеризуется систематизацией и стандартизацией процессов ИБ. Документируются политики, и ИБ начинает интегрироваться в бизнес. Начинает формироваться предиктивный подход.

#IT (nosoc)

Третий уровень зрелости информационной безопасности  (Управляемый и измеряемый)

Формируется выделанная группа специалистов по информационной безопасности с полной интеграцией ИБ в бизнес-процессы предприятия

Используются средства защиты:

  1. Next Generation Firewall (NGFW) кластеризация и эшелонирование
  2. EDR/ NDR / XDR корреляция событий по всем конечным точкам, полный стек решений для защиты от современных угроз
  3. SIEM-системы для централизованного сбора и анализа событий безопасности
  4. Автоматизация процессов ИБ с использованием SOAR
  5. Продвинутая Sandbox с использованием Threat Intelligence для анализа сложных угроз
  6. Постоянное тестирование на проникновение (Red Teaming) и коммерческие тесты на устойчивость информационной безопасности

 

Реагирование на угрозы на третьем уровне зрелости информационной безопасности 

Это уровень полной интеграции ИБ в бизнес. Все процессы измеримы, оптимизируемы и поддерживаются передовыми технологиями. • Предиктивное реагирование достигает зрелости.

Эволюция предиктивного реагирования: последовательность — ключ к успеху

Развитие предиктивного реагирования тесно связано с последовательным повышением зрелости процессов ИБ. Попытка внедрения сложных инструментов, таких как SOAR или NTA, на низких уровнях зрелости приводит к:

  • Низкой эффективности из-за отсутствия инфраструктуры.
  • Избыточным затратам на управление ненастроенными системами.
  • Снижению доверия сотрудников к процессам ИБ. 

Нулевой уровень зрелости

реагирование только на последствия (инциденты)

Первый уровень зрелости (Управляемый, но хаотичный)

начало систематизации, но без анализа угроз

Второй уровень зрелости (Определенный и документированный)

зарождение предиктивного подхода через мониторинг и аналитические инструменты

Третий уровень зрелости (Управляемый и измеряемый)

зрелое предиктивное реагирование с использованием автоматизации и аналитики

В качестве заключения

Последовательное развитие информационной безопасности — это основа устойчивости и конкурентоспособности компании. Только при системном подходе внедрение предиктивных технологий, таких как NTA, Sandbox, Threat Intelligence и SOAR, станет действительно эффективным.
Если ваша организация заинтересована в повышении зрелости ИБ, начните с оценки текущего уровня и определения долгосрочных стратегических целей. 

Максим Черномазов

Автор статьи, директор, основатель ООО "АЙТИЛЕКТ"

За основу статьи взята модель зрелости управления ИТ-проектами, где ключевым является процесс управления информационной безопасностью

 
Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Понятно Подробнее
Cookies
онлайн

Получите бесплатную консультацию

Задайте вопросы нашему эксперту и получите квалифицированную помощь

Задать вопрос
Заряжено Битрикс24 — Бесплатные Сайты и CRM. Создать сайт
Пожаловаться на контент cайта в Битрикс24