Архитектура СУИБ в промышленной среде

По данным компании RED Security, в 2024 году число хакерских атак на бизнес в России в 2,5 раза превысило количество таких нападений в 2023-м. Всего их было совершено около 130 тысяч. При такой плотности угроз и в условиях глобальной цифровизации компаниям уже не сохранить свои данные нетронутыми злоумышленниками без эффективной системы управления информационной безопасностью (СУИБ) организации.

Консультант по информационной безопасности AKTIV.CONSULTING Владислав Крылов дал исчерпывающие ответы на вопросы о необходимости внедрения систем управления ИБ, их архитектуре и преимуществах.

Опираясь на экспертное мнение, в статье рассмотрим базовые составляющие СУИБ, проанализируем международные и отечественные стандарты в данной области, а также определим основные факторы успеха при её внедрении и эксплуатации. 

Особое внимание уделим практическим аспектам построения СУИБ с учётом современных вызовов и трендов в сфере ИБ.

СУИБ и её отличия от СОИБ

Прежде чем мы перейдём к обсуждению стратегии, необходимо разобраться в отличиях между похожими и взаимосвязанными комплексами.

Система управления информационной безопасностью (СУИБ) — это комплекс организационной структуры и ресурсов, направленных на безопасность информации и управление ею с учётом требований и рисков.

Система обеспечения информационной безопасности (СОИБ) — фокусируется на технических и операционных аспектах защиты информации. Включает в себя набор инструментов, технологий, направленных на защиту собственной информации и информационных активов от угроз.

По словам г-на Крылова, многие считают, что СОИБ больше формальная или «бумажная», а потому не имеет практического эффекта. Однако это не совсем так. Без неё невозможно обеспечить необходимые метрики для анализа и принятие управленческих решений в рамках системы управления ИБ, что подчёркивает важность их взаимодействия. Очень важно, чтобы они шли «рука об руку», потому что одно без другого не приносит пользы.

Базовые цели системы управления информационной безопасностью на предприятии

1. Управление информационными рисками.

Эта цель заключается в систематическом выявлении оценки и управлении рисками, которые связаны с информационными активами. Сюда входят регулярные оценки уязвимости и анализ угроз. Это позволяет минимизировать вероятность инцидентов и потенциальные их последствия.

2. Устойчивость к инцидентам.

СУИБ должна обеспечивать готовность организации к реагированию на инциденты и восстановлению после них. Сюда входит план реагирования на компьютерные инциденты и его тестирование. Например, в финансовой отрасли есть планы ОНИВД, которые обеспечивают непрерывность выполнения деятельности.

Другими словами, этот пункт посвящён рабочим регламентам, которые позволяют обеспечить устойчивость к инцидентам.

3. Усиление процессов безопасности в целом.

Внедрение СУИБ предполагает создание механизма для постоянного мониторинга и улучшения процессов управления информационной безопасностью.

4. Оптимизация бизнес-процессов.

СУИБ критически связана с бизнес-процессами организации. Как правило, её внедряют с учётом реальных условий взаимодействия предприятия с окружающим миром, в том числе с бизнес-процессами.

Таким образом, главная задача СУИБ — это без усложнения процессов сделать их безопасными и управляемыми.

Стандарты СУИБ

СУИБ управляется отечественным документом ГОСТ Р ИСО/МЭК 27000−2021, который идентичен международному стандарту ИСО/МЭК 27300:2018. Стандарт несёт рекомендательный характер и не включает в себя обязательных нормативов при реализации СУИБ.

Кроме того, комплекс для управления ИБ регулируется международным стандартом ISO/IEC 27001, который описывает требования к созданию, внедрению, поддержанию и постоянному улучшению его работы.

Также эксперт отметил рекомендации от Национального института стандартов и технологий США NIST SP 800-53, которые содержат советы по разработке и внедрению СУИБ. Закрывает список регламентов европейский свод правил по защите данных — GDPR. В нём прописаны конкретные меры, в том числе по защите данных, что подразумевает наличие эффективной СУИБ.

Владислав Крылов подчеркнул, что ни одно из указанных выше предписаний не содержит жёстких правил по созданию таких комплексов, однако каждое из них включает полезные рекомендации для применения компанией.

Если говорить о конкретных составляющих СУИБ, то такие системы, как правило, включают:

• Регламенты.

Пласт высокоуровневых документов, которые определяют стратегические направления и принципы управления информационной безопасностью в организации. В них прописаны чётко сформулированные цели в области ИБ, например, защита конфиденциальности целостной доступности данных. 

По словам г-на Крылова, в области безопасности регламенты — это не просто «бумажка», а полноценный рабочий инструмент. То есть меморандум должен предоставить сотрудникам чёткое руководство к действию в конкретных ситуациях.

• Процедуры.

Это задокументированные шаги и инструкции включают последовательность действий, которая фиксируется в регламентах, разработанных на предыдущем этапе. Прежде всего, они включают в себя планирование, внедрение, мониторинг и совершенствование. 

• Персонал.

Именно сотрудники организации являются как защитниками всех информационных активов, так и потенциальными источниками угроз. К сожалению, как мы говорили в начале статьи, число хакерских атак только нарастает.  

Кроме того, ранее мы писали, что с 2024 года хакеры изменили стратегию своих нападений на АСУ ТП. В частности, они стали чаще использовать методы, связанные с компрометацией учётных данных. Кроме того, злоумышленники начали атаковать партнёров и подрядчиков компании, а также устройства, подключённые к интернету.

В том числе по этим причинам компаниям важно организовать культуру безопасности внутри коллектива, где каждый человек будет иметь свою роль в общей инфраструктуре.

• Технические средства.

 К этой категории относятся технические меры, направленные на защиту информационных активов. Речь идёт о конкретных DLP, IDS, IPS-системах обнаружения и предотвращения атак, а также о разных межсетевых экранах и антивирусах.

С помощью этих технических средств компании получают различные показатели, которые затем используют для разработки внутренних регламентов.

Таким образом, эти четыре компонента: регламенты, процедуры, технические средства и персонал, — формируют основу для эффективного комплекса управления информационной безопасностью в организации.

Жизненный цикл СУИБ

Внедрение системы управления ИБ состоит из трёх этапов:

1. Подготовка — определение целей и задач, а также оценка текущего состояния и положения дел в компании.

По словам г-на Крылова, компании предстоит сформировать как целевые показатели, так и недопустимые события. После чего провести инвентаризацию ИТ-активов и комплектность текущих регламентов, для которых будет актуальна СУИБ.

Затем оценивается инфраструктура, что помогает найти уязвимые места. Параллельно стоит проверить уровень компетенций персонала, чтобы нанять новых специалистов или обучить существующих.

Спикер предложил рассмотреть этот этап и его составляющие на примере сталелитейного завода.

Вернёмся к постановке задач, которые на заводе заключаются в техническом процессе — отливке стали. Этот аспект также напрямую связан с продажей готовой продукции и выполнением государственных заказов. Поэтому компании необходимо сформировать целевые показатели — непрерывное безаварийное производство и отсутствие потери прибыли.

Следующим шагом будет проработка перечня событий, которые недопустимы в процессе достижения цели: всё связанное с остановкой производства — от отключения электричества до затопления цеха.

В процессе поиска рисков важно сформировать общую топологию сети после проведения полной инвентаризации телекоммуникационных активов. Это позволит выявить уязвимые места в работе комплекса. Например, устаревшие технические средства или устройства, на которых по каким-то причинам не установлена защита. После этого нужно разработать план по устранению выявленных проблем и протестировать персонал на знания в сфере ИБ.  

2. Внедрение — разработка политик, регламентов, стандартизация процессов, обучение сотрудников или проведение оценки компетенций персонала.

Этот шаг также включает и установку технических средств, которые позволят получить необходимые метрики.

Итак, на примере того же сталелитейного завода критически необходимые акты — стратегия управления рисками и политика информационной безопасности. А также более конкретные регламенты, например, обновления ПО в компании. 

Эксперт обратил внимание на то, что в этих документах не должны быть закреплены конкретные лица. Если эти сотрудники уволятся, в структуре произойдёт сбой.

Вместе с тем на заводе нужно разработать план действий в нештатных ситуациях, порядок работы с технологическим оборудованием и другие операционные акты.

3. Сопровождение — постоянное улучшение системы на основании мониторинга работы СУИБ и сетевой активности пользователей.

В первую очередь этот этап включает мониторинг и оценку сетевой активности и действий пользователей. Эти процессы подразумевают сравнительный анализ текущего состояния дел после временного промежутка с начала внедрения СУИБ.

«Мы можем определить, что в работе системы нуждается в улучшении, и на основе этого провести оптимизацию. Возможно, мы упустили какие-то важные моменты или не до конца использовали имеющиеся ресурсы. Именно для этого и проводятся GAP-анализы», — отмечает Владислав Крылов.

Также на этапе сопровождения важно проводить аудит технологий и компетенций персонала. В первом случае стоит улучшить техническое оснащение, а во втором повышать квалификацию сотрудников.

Преимущества построения СУИБ

По мнению Владислава Крылова, внедрение СУИБ на предприятии сопровождается рядом положительных аспектов.

В первую очередь, это системный подход к информационной безопасности, из которого вытекает возможность контролировать риски. Компания имеет разработанные на основании своей инфраструктуры политики безопасности и другие регламенты, которые помогут в условиях непредвиденных обстоятельств.

Кроме того, на предприятии развивается культура безопасности. Ведь каждый задействованный сотрудник осознаёт свою роль и важность в реализации задач по ИБ. Это позволяет повысить доверие клиентов и партнёров, поскольку они понимают уровень защиты и насколько снижен риск хакерской атаки.