Мониторинг и управление ИБ АСУ ТП

Transcript

1. Управление и мониторинг ИБ АСУ ТП

2. СОИБ – процессная модель 2 Что такое управление и мониторинг

   ИБ? Планирование Совершенствование Контроль Реализация • Мероприятия по обеспечению функционирования СБОКИИ • Мероприятия по обеспечению безопасности ОКИИ • Реализация мероприятий по обеспечению функционирования СБОКИИ • Реализация (внедрение) мероприятий по обеспечению безопасности ОКИИ • Внутренний контроль • Государственный контроль • Анализ функционирования СБОКИИ • Предложения по совершенствованию • Оценка руководства управление ИБ: часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности ISO 27001 Мониторинг ИБ: непрерывное получение информации о состоянии информационной безопасности, уязвимостях и угрозах, используемой в процессе оценки рисков NIST SP 800-137

3. 3 «Бумажная» и «реальная» безопасность Планирование Развитие Мониторинг и контроль

   Реализация  Анализ результатов функционирования СОИБ  Разработка корректирующих мероприятий  Разработка плана мероприятий по обеспечению безопасности  Анализ угроз  Управление СрЗИ  Управление конфигурацией  Реагирование на инциденты ИБ  Действия в нештатных ситуациях  Информирование и обучение персонала  Контроль выполнения мероприятий по обеспечению защиты информации  Аудит безопасности Средства управления СрЗИ Система анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрение мер Ликвидация последствий КИ СОИБ

4. 4 Рост уровня зрелости процессов ИБ здорового человека Уровень 0

   • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Уровень зрелости

5. 5 Рост уровня зрелости процессов ИБ курильщика субъекта КИИ Уровень

   0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Уровень зрелости Выход 187-ФЗ

6. 6 Плоды революции

7. 7 Автоматизация – способ выжить в условиях действующей СОИБ «Service

   Desk для безопасника» • Механизм рабочих процессов • Оповещение и постановка задач участникам процесса • Контроль за сроками выполнения «CMDB для безопасника» • Каталог активов • Сведения о категориях, критичностях, уязвимостях и пр. СЭД для безопасника • Хранилище эталонных копий ОРД • Автоматизация процессов пересмотра и согласования • Стандартные отчеты Купить специализированную Security GRC платформу? Модифицировать Service Desk ИТшников

8. 8 SOAR – когда уже мало экселя •Выполняется вручную •Частично

   автоматизи ровано • Service • Desk • SIEM + • IDS\IPS Обнаруже ние Информи рование Анализ Реагирова ние Много ли вы реально успеваете отработать инцидентов? Много ложных срабатываний Зона риска Автоматизировано

9. 9 А что мониторинг? как мерить? чем мерить? что делать

   с результатом?

10. 10 Мониторинг ИБ по версии ФСТЭК

11. 11 Он же по версии NIST

12. 12 Мониторинг безопасности сегодня Сложное настройка безагентного сбора Автоматическое определение

    сетевой топологии АСУ ТП Невероятное количество различных протоколов Анализ трафика при помощи алгоритмов с нулевым знанием Трудозатратное описание правил нормализации событий ИБ Построение модели защищаемой системы и анализ отклонений Полностью «ручной» режим реагирования Интеграция с решениями класса SOAR Мониторинг безопасности завтра Практически невозможно согласовать использование агента

13. 13 Давайте обсудим… 1 Удалась ли революция? Будет ли массовый

    переход от СрЗИ к СОИБ? 2 Автоматизировать ли управление ИБ или наймем больше людей? 3 ИТшники поделятся Service Desk или надо внедрять специализированное решение? 4 Есть ли в действительности проблема «слепоты» СОИБ? Как дела с мониторингом? 5 SOAR, моделирование безопасности – баззворды? Или будущее средств мониторинга и управления ИБ?