Новости

Національні особливості інформаційної безпеки 2018. Частина 2.

На сьогоднішній день експерти визначають такі ключові напрямки, які повинні потрапити в сферу уваги при визначенні пріоритетних напрямків розгортання систем інформаційної та кібернетичної безпеки [ http://bit.ly/2Jdj4GY , http://bit.ly/2q0GTd9 ]:

  • аналіз поточних атак і сучасні вимоги до ІТ та ІБ технологій;
  • аутентифікація, шифрування і створення білих списків додатків;
  • аналіз і зіставлення прийнятих рішень за існуючими методологіями і галузевими рекомендаціями;
  • підходи до застосування систем забезпечення інформаційної безпеки;
  • проведення тестування на наявність вразливостей і перевірки на відповідність стандартам безпеки;
  • використання рекомендацій світового співтовариства при створенні галузевих систем інформаційної безпеки.

Тут повною мірою можна використовувати ключові рекомендації CIS Controls [ http://bit.ly/2Jdj4GY , http://bit.ly/2q0GTd9 ] Для визначення критичних профілів захисту інформаційних систем державних і приватних організацій. Ці профілі повинні включати в себе підходи та методики щодо перевірок елементів ІТ-інфраструктури, конфігурацій, прав доступу, привілеїв, системних журналів, заходів і засобів реагування на інциденти і принципи ініціювання перевірок.

В 7 редакції керівництва CIS Controls дані елементи розділені на три категорії, які враховують сучасний ландшафт інформаційних загроз (рис. 2) - базові, фундаментальні і організаційні.

Базові категорії містять ключові напрямки для забезпечення інформаційної та кібернетичної безпеки державних і приватних організацій:

1) інвентаризація авторизованих і неавторизованих пристроїв;
2) інвентаризація авторизованого і неавторизованого програмного забезпечення;
3) кошти управління уразливими;
4) використання адміністративних привілеїв;
5) захищені конфігурації для мобільних пристроїв, ноутбуків, робочих станцій і серверів;
6) обслуговування, моніторинг та аналіз журналів аудиту.

Мал
Мал. 2. Категорії CIS V7 (картинка клікабельні для збільшення)

Фундаментальні категорії містять рекомендації, необхідні для застосування кращих практик з метою забезпечення переваг при використанні передових технологій інформаційної та кібербезпеки:

7) захист електронної пошти та web-браузерів;
8) захист від шкідливих програм;
9) обмеження і контроль мережевих портів;
10) можливість відновлення даних;
11) захист конфігурацій мережевих пристроїв (фаєрволи, роутери, комутатори);
12) захист периметра;
13) захист даних;
14) контроль доступу
15) контроль доступу бездротових мереж;
16) контроль облікових записів.

Організаційні категорії містять рекомендації, орієнтовані на організаційні процеси і адміністративні заходи, пов'язані із забезпеченням інформаційної безпеки і орієнтовані на підвищення обізнаності персоналу та проведення тестування на проникнення. А саме:
17) контроль рівня обізнаності персоналу;
18) контроль прикладного програмного забезпечення;
19) реагування на інциденти;
20) тестування на проникнення.

Пріоритети стратегічного планування захисту інформаційних активів тут, ймовірно, можна визначити трьома напрямками, які ми повинні враховувати в першу чергу:

  1. Безпека повинна бути заснована на обізнаності. Внутрішні порушники, зовнішні атаки, нові інфраструктурні сервіси та бізнес-додатки сьогодні складають багатовимірне безліч активів і ризиків. Розібратися в ньому аналітичним способом стає практично неможливо. В умовах недостатнього фінансування, ключовим напрямом оптимізації ресурсів ІБ, відповідно до визначених векторами загроз, можуть стати кращі світові практики. Вони дозволяють в умовах обмежених фінансових ресурсів визначити ключові напрямки мінімізації ризиків і загроз шляхом здійснення контролю внутрішніх процесів (моніторинг мережевої безпеки, профілювання активності користувачів і сервісів, сегментація мережі, шифрування і т.д.) і зовнішніх процесів (використання ЗМІ, баз даних і підписок про погрози). Без урахування кращих світових практик, останній і повної інформації про якість управлінських рішень та ефективності систем кібербезпеки говорити про захист інформаційних активів стає безглуздим.
  2. Державні і приватні організації приступили до тотальної інформатизації та цифрової трансформації, в результаті якої навіть традиційно консервативні в плані ІТ, бізнеси реального сектора вже не можуть реалізовувати свої бізнес-процеси без надійної роботи інформаційних систем. Управління вимогами до ІТ з боку бізнесу і, неминуче виникають конфлікти пріоритетів, вимагають створення узгоджених регулятивних вимог до певних напрямків бізнесу з точки зору ІБ. При виробленні узгоджених вимог повинно бути розуміння не тільки завдань бізнесу, а й розуміння проблем ІТ та ІБ для того, щоб «амортизувати» корпоративні тертя і оптимізувати часові та фінансові витрати при виробленні загального ефективного вирішення.
  3. Проведення регулярних оцінок стану ІБ. Без здійснення безперервного тестування, оцінки загроз, ризиків і стану захищеності ключових корпоративних інформаційних активів втрачається сенс в цифровий трансформації бізнесу. Якщо процеси трансформації не захищені, дані можуть бути, рано чи пізно, викрадені або знищені, то очевидно, що рух до цифрової трансформації буде генерувати тільки збитки для організацій. Тут державним і приватним організаціям потрібно створювати систему внутрішньої безперервної експертизи ІБ, а для виконання рутинних і трудомістких операцій, використовувати ресурси і фахівців MSSP провайдерів.

З огляду на наші «національні» особливості ІБ, ми можемо сформулювати мінімальні умови, при яких можна, на основі аналізу сучасних загроз і оцінок ризиків, здійснити оптимізацію фінансових витрат із захисту інформаційних активів державних і приватних організацій:

  1. мінімізація шляхів атак за рахунок побудови сегментованої і багатошарової системи захисту на базі рішень Open Source (це, наприклад, використання систем для формування безпечних конфігурацій апаратного і програмного забезпечення, контрольоване використання адміністративних привілеїв, захист електронної пошти та веб-браузерів, обмеження і контроль мережевих портів , управління безпечними конфігураціями для мережевих пристроїв, контрольований доступ на основі ролей користувача, моніторинг і контроль облікових записів, сегментація се і і т.д.);
  2. побудова ефективної системи захисту мережевого периметра (тут ми можемо використовувати, наприклад, фаєрволи нового покоління pfSense, OPNsense і ін.)
  3. шифрування критичних даних (наприклад, OpenPGP, GnuPGP і ін.)
  4. резервне копіювання (наприклад, Veeam Backup, Effector saver та ін.)
  5. забезпечення внутрішньої і зовнішньої оцінок вразливостей (за рахунок використання, наприклад, Kali Linux) або використання ресурсів вищих навчальних закладів в якості MSSP провайдерів (може виявитися досить цікавим, ряд ВНЗ мають і технічну базу і «рвуться в бій» молодих фахівців).

Зрозуміло, що комерційні продукти в багатьох випадках виграють наявністю поліпшеної підтримки і більш проблемно орієнтованим набором інструментальних рішень для спрощення їх впровадження і використання. Але коли у нас немає або не вистачає фінансових ресурсів, такий гібридний підхід може стати одним із шляхів забезпечення ефективного захисту інформаційних активів.

Все це, з урахуванням «національних» особливостей і кращих світових практик, дозволить досить ефективно формувати стратегію інформаційного та кібернетичного захисту критичних інформаційних активів в умовах обмежених фінансових ресурсів на ІТ та ІБ. І тут вже в кожному конкретному випадку буде прийматися рішення з боку бізнесу, яким чином оптимізувати фінансові витрати і мінімізувати ризики.

Сучасні проблеми глобалізації та висока ефективність перспективних ІТ технологій підвищує ймовірність реалізації сучасних інформаційних і кібернетичних загроз і, як наслідок, може сприяти виникненню загального світового колапсу. І ми в Україні вже на власному прикладі побачили (наприклад, атака шифрувальника notPetya), як кібератаки все частіше перетворюються в інструмент швидкого досягнення необхідних результатів як в економічній, так і політичній сферах.

Очевидно, що в даний час питання цифрової трансформації і ефективного забезпечення безпеки ключових інформаційних активів в державних і приватних організаціях стоїть досить гостро в усьому світі. Тому сформовані експертами рекомендації та вимоги з прикладних аспектів побудови стратегії захисту в умовах обмежених фінансових ресурсів можуть бути використані при розробці політик захисту інформаційних активів державних і приватних організацій. Тут можуть виявитися корисними типові політики, процедури та інструкції з різних аспектів інформаційної та кібернетичної безпеки. Ряд робіт в цьому напрямку, незважаючи на «національні» особливості фінансування, вже ведеться фахівцями з інформаційної безпеки.


Ви можете підписатися на наш Telegram-канал для отримання найбільш цікавої інформації

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции