Управление и мониторинг ИБ АСУ ТП
Что такое управление и мониторинг ИБ?
управление ИБ: часть общей
системы управления организации,
основанной на оценке бизнес
рисков, которая создает,
реализует, эксплуатирует,
осуществляет мониторинг,
пересмотр, сопровождение и
совершенствование
информационной безопасности
ISO 27001
Мониторинг ИБ: непрерывное
получение информации о
состоянии информационной
безопасности, уязвимостях и
угрозах, используемой в процессе
оценки рисков
NIST SP 800-137
СОИБ – процессная модель
Планирование
• Мероприятия по обеспечению
функционирования СБОКИИ
• Мероприятия по обеспечению
безопасности ОКИИ
Совершенствование Реализация
• Анализ функционирования
• Реализация мероприятий по
обеспечению
СБОКИИ
функционирования СБОКИИ
• Предложения по
• Реализация (внедрение)
совершенствованию
мероприятий по обеспечению
• Оценка руководства
безопасности ОКИИ
Контроль
• Внутренний контроль
• Государственный контроль
2
«Бумажная» и «реальная» безопасность
Развитие Планирование
 Анализ результатов  Разработка плана мероприятий по
функционирования СОИБ обеспечению безопасности
 Разработка корректирующих
мероприятий

СОИБ
Мониторинг и контроль Реализация
 Контроль выполнения мероприятий  Анализ угроз
по обеспечению защиты  Управление СрЗИ
информации  Управление конфигурацией
 Аудит безопасности  Реагирование на инциденты ИБ
 Действия в нештатных ситуациях
 Информирование и обучение персонала

последствий КИ
Внедрение мер

Ликвидация
Управление
Инвентаризация
защищенности

СрЗИ
Инциденты

Контроль

Система анализа и мониторинга состояния ИБ Средства управления СрЗИ

Наложенные и встроенные средства защиты информации

3
Объекты защиты
Рост уровня зрелости процессов ИБ здорового человека

Уровень зрелости

Уровень 0 Уровень 1 Уровень 2 Уровень 3

• Для руководства ИБ • ИБ есть! (внешние • Понимание роли и • Диалог ИБ и
не существует требования) места ИБ в бизнеса
• Бюджета нет • Денег – нет организации • Риск-
(минимум) • Комплексный ориентированный
• Минимизация подход подход
CapEx • Оптимизация TCO

Уровень зрелости
4
Рост уровня зрелости процессов ИБ курильщика субъекта КИИ

Уровень зрелости

Уровень 0 Уровень 3
• Для руководства ИБ • Диалог ИБ и
не существует бизнеса
• Бюджета нет • Риск-
ориентированный
подход

Уровень зрелости
Выход 187-ФЗ 5
Плоды революции

6
Автоматизация – способ выжить в условиях действующей
СОИБ

«CMDB для безопасника»

• Каталог активов
• Сведения о категориях, критичностях,
уязвимостях и пр. Купить
специализированную
«Service Desk для безопасника» Security GRC
• Механизм рабочих процессов платформу?
• Оповещение и постановка задач
участникам процесса
• Контроль за сроками выполнения

СЭД для безопасника

Модифицировать
• Хранилище эталонных копий ОРД Service Desk ИТшников
• Автоматизация процессов пересмотра и
согласования
• Стандартные отчеты

7
SOAR – когда уже мало экселя

Автоматизировано
• SIEM + • Service
• IDS\IPS • Desk
Много ложных
срабатываний

Обнаруже Информи
ние рование

Зона риска
Реагирова
Анализ
ние

•Частично •Выполняется
автоматизи вручную
ровано

Много ли вы реально успеваете отработать инцидентов?

8
А что мониторинг?

как мерить?

чем мерить?

что делать с результатом?

9
Мониторинг ИБ по версии ФСТЭК

10
Он же по версии NIST

11
Мониторинг безопасности Мониторинг безопасности
сегодня завтра
Автоматическое определение сетевой
Сложное настройка безагентного сбора
топологии АСУ ТП
Практически невозможно согласовать Анализ трафика при помощи алгоритмов с
использование агента нулевым знанием

Невероятное количество различных Построение модели защищаемой системы и

протоколов анализ отклонений

Трудозатратное описание правил Интеграция с решениями класса SOAR

нормализации событий ИБ

Полностью «ручной» режим реагирования

12
Давайте обсудим…

1 Удалась ли революция? Будет ли массовый переход от СрЗИ к СОИБ?

2 Автоматизировать ли управление ИБ или наймем больше людей?

3 ИТшники поделятся Service Desk или надо внедрять специализированное решение?

4 Есть ли в действительности проблема «слепоты» СОИБ? Как дела с мониторингом?

SOAR, моделирование безопасности – баззворды? Или будущее средств мониторинга и управления

5 ИБ?

13