Журнал "Information Security/ Информационная безопасность" #1, 2023

Чтобы решить задачу по организа- ции/модернизации системы реагирова- ния на инциденты, задайте себе несколь- ко следующих вопросов. Почему вам нужна модернизация/организация? Для ответа на этот вопрос проанали- зируйте требования законов: о КИИ – 187-ФЗ, о персональных данных – 152-ФЗ, о коммерческой тайне – 98-ФЗ, о бан- ковской тайне – ФЗ № 395-I, требования подзаконных нормативных актов (ФСТЭК, ФСБ, Роскомнадзора и т.д.), требования отраслевых и локальных нормативных актов предприятия по информационной безопасности, чтобы определить, какие из них предприятие должно выполнять обязательно, а какие – опционально. Что необходимо модернизировать/организовать? Сделайте несколько важных шагов, чтобы упорядочить свои действия. l Определитесь с объектами монито- ринга, узлов и каналов связи, которые необходимо отслеживать. l Составьте список лиц с указанием прав доступа (администраторы, пользо- ватели). l Проведите инвентаризацию всей инфраструктуры. l Оцените риски и смоделируйте угрозы для выделения критичных процессов, узлов, привилегированных пользователей. l Определите виды и категории защи- щаемой информации. Кто будет заниматься организацией? Следующим важным моментом будет назначение лиц, ответственных за орга- низацию/модернизацию системы реаги- рования. Для этого вам необходимо: l определить количественные (сколько человек) и качественные показатели (компетенции), применяемые к персо- налу. Возможно, понадобится дополни- тельно нанять людей; l решить, нужно ли обучать сотрудников. Если обучение необходимо, то прорабо- тайте детали: предмет обучения, коли- чество часов, место, стоимость курсов; l определить обязанности сотрудников. Выделите в SOC первую линию, анали- тиков, технических специалистов и управленца. При необходимости при- влеките стороннюю организацию (SOC на аутсорсинге). Где будет находиться центр реагирования? На данном этапе нужно определиться с месторасположением центра реагиро- вания, будет ли это одно рабочее место или распределенная сеть, в головном офисе или в филиалах. Когда будет работать центр реагирования? Здесь все очевидно: устанавливаем режим работы центра реагирования. Для первой линии более актуален сменный график, для аналитика – 5/2, для техни- ческих специалистов и управленца – ненормированный. Составляем регламент работы с уче- том оперативного реагирования в празд- ничные и выходные дни. Учитываем тре- бования законодательства: например, приказ ФСБ России от 13.02.2023 г. № 77 регламентирует передачу инфор- мации об инциденте в НКЦКИ в течение 24 часов после обнаружения. Как будем защищаться? Здесь необходимо определиться со средствами мониторинга с учетом спе- цифики инфраструктуры и выполняемых информационными системами задач, а также выделенного бюджета. Сколько денег необходимо вложить? После того как вы ответили на все предыдущие вопросы, необходимо рас- считать бюджет: определите его, обоснуйте и защитите перед руковод- ством. Решите, что выгоднее в вашем случае, мониторинг собственными сила- ми, аутсорсинг, или подойдет гибридный вариант. Процесс организации реагирования на инциденты небыстрый и очень слож- ный, поэтому его нужно разделить на понятные и простые шаги. Шаг 1. Инфраструктура Как и в других задачах по информа- ционной безопасности, начать предстоит с анализа инфраструктуры. Что предстоит проанализировать? l Виды защищаемой информации – персональные данные, коммерческая тайна, служебная тайна, банковская тайна и т.д. l Форму представления защищаемой информации – визуальная, звуковая, так- тильная и т.д. В большинстве случаев мы будем иметь дело с визуальной и звуковой информацией, но в некоторых случаях важны и другие характеристики, например при разработке новых материалов важно, какие они "на ощупь", а в парфюмерной промышленности при создании новых ароматов важно обоняние. l Технологический процесс обработки информации – как появляется информа- ция, куда она передается. Нужно изучить все каналы обработки информации, отра- зить все взаимосвязи с филиалами, дочерними организациями, головным офисом, государственными органами и т.д. Может оказаться, что в текущем состоянии система не работает опти- мально и ее необходимо перестраивать. l Схему локальной сети предприятия – нужно нанести на карту все узлы, все линии связи, в том числе соединения с сетью "Интернет" и другими информа- ционными системами, которые органи- зации не принадлежат. l Контролируемую зону – необходимо отметить все помещения, в которых ведется обработка информации, все входы и выходы, зоны свободного досту- па посторонних лиц, общие зоны с дру- гими организациями. l Списки персонала – составляются пофа- мильно, с указаниями должностей и ролей пользователей, а также прав доступа. По результатам этого анализа система будет модернизирована, чтобы стать оптимальной и соответствовать требо- ваниям законодательства в полной мере. 34 • УПРАВЛЕНИЕ ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ рганизация реагирования на инциденты – одно из важнейших направлений работы по обеспечению информационной безопасности. О Ксения Шудрова, эксперт по информационной безопасности