Как построить ИБ в большой компании? Алексей Лукацкий, независимый эксперт

28 июня 2021

В крупных организациях ИТ-безопасность, как правило, уже находится на определенном уровне зрелости. Однако, когда в компании запускаются процессы цифровой трансформации или же она сталкивается с необходимостью авральной цифровизации (как это произошло в прошлом году), требования к ИТ-безопасности меняются. На какие ключевые точки надо обращать внимание в этом случае, рассказал независимый эксперт по ИБ Алексей Лукацкий на встрече клуба «Аспекты информационной безопасности».

Представьте, что какой-то компании нужно построить ИБ с нуля. Обычно для этого выбирается один из четырех сценариев.

7f4d50f8c1d490ab541bebe05b30f56a (1) (1).jpgС точки зрения активов - классический ИТшник. Защищаем то, что есть в инфраструктуре – ЦОДы, облака, унифицированные коммуникации, Wi-Fi, ERP, OT/ICS и т.п. 
С точки зрения угроз - начинающий ИБшник. Защищаем не «ЧТО», а «ОТ ЧЕГО», даже если эти угрозы никак не влияют на бизнес или ИТ.
С точки зрения требований регуляторов - прожжённый силовик. Законодательство создано для того, чтобы его соблюдать. Бизнес и ИТ должны выполнять все требования регуляторов.
С точки зрения защитных мер - продвинутый ИБшник. Современные защитные меры позволяют нейтрализовать все угрозы, защитить современные ИТ и даже выполнить требования регуляторов (наверное).

Выполнение требований регуляторов – один из самых популярных сценариев в крупных компаниях. Вот, к примеру, набор нормативных документов по безопасности для банков.

картинка к материалу.pngДля других сфер есть свой набор нормативных документов, выполняя которые последовательно можно получить некую систему ИБ, которая будет удовлетворять требованиям регуляторов.

А вот необходимые шаги по обеспечению ИТ по требованиям ФСТЭК.

  • Назначение ответственных

  • Моделирование угроз

  • Выработка защитных мер

  • Разработка организационно-распорядительной и эксплуатационной документации

  • Выбор, приобретение, внедрение и эксплуатация защитных средств

  • Управление ИБ

  • Реагирование на инциденты

  • Анализ уязвимостей

  • Мониторинг ИБ

По словам Алексея Лукацкого, самые большие вопросы возникают во время выработки защитных мер. Количество требований настолько большое, что их невозможно реализовать последовательно, да и бюджета может не хватить. Особенно в контексте появления новых требований и вовлечения новых регуляторов.

Так как же в этом случае подходить к ИБ в крупной компании? Чтобы, с одной стороны, снизить количество угроз, а с другой – уложиться в регуляторные нормы?

По мнению Алексея Лукацкого, нужно руководствоваться принципом Парето: то есть расставить приоритеты и выбирать те меры, которые максимально влияют на защиту информации.

Например, если говорить о требованиях ФСТЭК, то начать можно со следующих 10 базовых мер.

ОПС.3 - Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов

АНЗ.2 - Контроль установки обновлений ПО, включая обновление ПО средств защиты информации

АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации

АНЗ.5 - Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализация прав разграничения доступа, полномочий пользователей в информационной системе

УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

ИАФ.1 - Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.2 - Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

ОДТ.4 - Периодическое резервное копирование информации на резервные машинные носители информации

ОДТ.2 - Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы

ЗИС.17 - Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.

Эти 10 мер позволят выстроить защиту от 80% угроз.

Если посмотреть на ИБ не с точки зрения требований регулятора, а с точки зрения защиты от угроз, то здесь также есть свои рекомендации и руководства.

Алексей Лукацкий рекомендует обратить внимание на топ-4 защитные меры по версии австралийского регулятора, которые закрывают 85% всех угроз.

1.  Application whitelisting (замкнутая программная среда)

2. Обновление приложений (установка патчей)

3. Обновление операционных систем

4. Ограничение административных привилегий

Чтобы усилить защиту до 90%, можно добавить такие меры, как конфигурация настроек макросов в MS Office, усиление защиты приложений пользователей (отключение Flash, блокирование Java и скриптов и т.п.), многофакторная аутентификация, ежедневное резервное копирование.

Подробнее о том, как строится архитектура ИБ, что такое фреймворк по ИБ, как провести оценку зрелости ИБ в вашей компании, — в презентации и видео-выступлении Алексея Лукацкого.

Читать еще

DDoS-атаки на сети: цифровизация бизнеса и «удалёнка» увеличили риски

Шифрование, смарт-карты и биометрия: как разработчики средств ИБ ответили на вызовы «удаленки».

Модель Zero Trust: пять шагов к безопасности

1789
Поделиться
Предметная область
Отрасль
Управление