Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Мониторинг и управление ИБ АСУ ТП

Мониторинг и управление ИБ АСУ ТП

"Мониторинг и управление ИБ АСУ ТП". Николая Домуховского

В своем докладе Николай Домуховский коснется вопроса построения комплексной системы обеспечения безопасности АСУ ТП и роли в ней процессов управления и мониторинга ИБ. В докладе будут рассмотрены подходы к реализации процессов мониторинга и управления ИБ АСУ ТП, в том числе, с применением средств автоматизации. В заключении доклада будут предложены к обсуждению участниками встречи открытые вопросы и проблемы, связанные с выстраиванием процессов управления и мониторинга ИБ АСУ ТП.

9f6c1823c8b51c8b33a389fd198068ad?s=128

RUSCADASEC

May 21, 2020
Tweet

Transcript

  1. Управление и мониторинг ИБ АСУ ТП

  2. СОИБ – процессная модель 2 Что такое управление и мониторинг

    ИБ? Планирование Совершенствование Контроль Реализация • Мероприятия по обеспечению функционирования СБОКИИ • Мероприятия по обеспечению безопасности ОКИИ • Реализация мероприятий по обеспечению функционирования СБОКИИ • Реализация (внедрение) мероприятий по обеспечению безопасности ОКИИ • Внутренний контроль • Государственный контроль • Анализ функционирования СБОКИИ • Предложения по совершенствованию • Оценка руководства управление ИБ: часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности ISO 27001 Мониторинг ИБ: непрерывное получение информации о состоянии информационной безопасности, уязвимостях и угрозах, используемой в процессе оценки рисков NIST SP 800-137
  3. 3 «Бумажная» и «реальная» безопасность Планирование Развитие Мониторинг и контроль

    Реализация  Анализ результатов функционирования СОИБ  Разработка корректирующих мероприятий  Разработка плана мероприятий по обеспечению безопасности  Анализ угроз  Управление СрЗИ  Управление конфигурацией  Реагирование на инциденты ИБ  Действия в нештатных ситуациях  Информирование и обучение персонала  Контроль выполнения мероприятий по обеспечению защиты информации  Аудит безопасности Средства управления СрЗИ Система анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрение мер Ликвидация последствий КИ СОИБ
  4. 4 Рост уровня зрелости процессов ИБ здорового человека Уровень 0

    • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Уровень зрелости
  5. 5 Рост уровня зрелости процессов ИБ курильщика субъекта КИИ Уровень

    0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Уровень зрелости Выход 187-ФЗ
  6. 6 Плоды революции

  7. 7 Автоматизация – способ выжить в условиях действующей СОИБ «Service

    Desk для безопасника» • Механизм рабочих процессов • Оповещение и постановка задач участникам процесса • Контроль за сроками выполнения «CMDB для безопасника» • Каталог активов • Сведения о категориях, критичностях, уязвимостях и пр. СЭД для безопасника • Хранилище эталонных копий ОРД • Автоматизация процессов пересмотра и согласования • Стандартные отчеты Купить специализированную Security GRC платформу? Модифицировать Service Desk ИТшников
  8. 8 SOAR – когда уже мало экселя •Выполняется вручную •Частично

    автоматизи ровано • Service • Desk • SIEM + • IDS\IPS Обнаруже ние Информи рование Анализ Реагирова ние Много ли вы реально успеваете отработать инцидентов? Много ложных срабатываний Зона риска Автоматизировано
  9. 9 А что мониторинг? как мерить? чем мерить? что делать

    с результатом?
  10. 10 Мониторинг ИБ по версии ФСТЭК

  11. 11 Он же по версии NIST

  12. 12 Мониторинг безопасности сегодня Сложное настройка безагентного сбора Автоматическое определение

    сетевой топологии АСУ ТП Невероятное количество различных протоколов Анализ трафика при помощи алгоритмов с нулевым знанием Трудозатратное описание правил нормализации событий ИБ Построение модели защищаемой системы и анализ отклонений Полностью «ручной» режим реагирования Интеграция с решениями класса SOAR Мониторинг безопасности завтра Практически невозможно согласовать использование агента
  13. 13 Давайте обсудим… 1 Удалась ли революция? Будет ли массовый

    переход от СрЗИ к СОИБ? 2 Автоматизировать ли управление ИБ или наймем больше людей? 3 ИТшники поделятся Service Desk или надо внедрять специализированное решение? 4 Есть ли в действительности проблема «слепоты» СОИБ? Как дела с мониторингом? 5 SOAR, моделирование безопасности – баззворды? Или будущее средств мониторинга и управления ИБ?