Журнал "Information Security/ Информационная безопасность" #1, 2023

Шаг 2. Свои или чужие? На этом этапе нужно оценить челове- ческие ресурсы. Сколько специалистов по защите информации можно выделить для реагирования на инциденты? Например, при численности отдела по защите информации в 10 человек необходимо оставить на первой линии двух специалистов, которые будут зани- маться непосредственно реагированием на сработки, еще двух специалистов – на технические задачи (установка, настройка, задание правил), еще двух – назначить аналитиками (разбор спорных случаев, контроль 1-й линии, формиро- вание правил), и еще одного – менед- жером, который будет отвечать за целе- полагание и контроль. На одно только реагирование придется забрать семь человек из 10, что не все- гда осуществимо. Чаще всего изначаль- но в ИБ-отделе нет и семи человек. Но бывает и так, что ИБ-подразделение вовсе отсутствует, а его функции, допол- нительно к своим основным обязанно- стям, выполняют ИТ-специалисты. Тогда можно либо выделять отдельные часы на разбор инцидентов, либо воспользо- ваться услугами сторонних организаций. Вариантов сотрудничества, подразуме- вающего разную степень вовлеченности сторонней организации, существует мно- жество, но стоит здесь уделить особое внимание проработке SLA и решить вопрос доверия и ответственности при предоставлении доступов сторонней организации (см табл.). Шаг 3. Оснащение Переходим к техническому оснаще- нию. Сторонняя организация предложит вам готовые варианты систем реагиро- вания, в том числе состоящие из раз- личных средств защиты информации. Дальнейшую работу можно будет срав- нить с покупкой продуктов по готовому списку (SOAR, SIEM, IRP, SGRC, UEBA, DLP и другие, в различных комбинациях). При выборе варианта построения центра реагирования собственными силами или с частичным привлечением аутсорсеров формирование списка ляжет на ваши плечи. Здесь будет действовать принцип "необходимо и достаточно". Начните с запроса коммерческих пред- ложений у сторонних организаций. Изучите средства мониторинга, с кото- рыми они работают. Проконсультируй- тесь. Возможно, уже на этом этапе вам захочется поменять свою точку зрения и обратиться к аутсорсу. В процессе изучения тонкостей построения системы реагирования при- дет понимание основных тенденций этого рынка. Не стоит забывать о базо- вых средствах защиты информации, без которых реагирование на инциденты не будет иметь смысла (межсетевые экра- ны, антивирусные средства и средства разграничения доступа) – бессмысленно ставить сигнализацию в помещение без замка на двери. Помните, что реагирование на инци- денты – непрерывный процесс, при кото- ром требования к безопасности будут меняться, всегда будет необходимость в приобретении новых средств монито- ринга и выводе из эксплуатации уже имеющихся. Шаг 4. Правила После установки средств мониторинга их необходимо настроить. События будут сыпаться как из рога изобилия, и плохо организованный мониторинг может пол- ностью парализовать работу всех имею- щихся специалистов. В качестве приме- ра можно привести неправильно рабо- тающий фильтр корпоративной почты: если ключевые слова выбраны неверно и встречаются в каждом втором письме, то половина почты будет маркирована как спам. А дальше начнется долгая и трудная работа специалистов по раз- гребанию этих завалов вручную. С дру- гой стороны, если правила настроены слишком мягко, то главному бухгалтеру легко может прийти письмо с вирусом- шифровальщиком, имитирующее письмо от контрагента. Формирование адекватных правил базируется на квалификации специали- стов, на их опыте. Во многих случаях невозможно с первого раза настроить систему оптимально. Нужен долгий и кропотливый процесс подстройки, когда первая линия в связке с аналитиком меняет строгость правил в ту или иную сторону, чтобы минимизировать ошибки первого и второго рода. Шаг 5. Эффективность Оценка эффективности центра реаги- рования – процесс творческий. В первую очередь должны выполняться требова- ния законодательства, в частности отправка информации об инцидентах в установленные сроки в ГосСОПКА. Эффективность будет измеряться в отсутствии наказаний за нарушения. Можно измерять эффективность в обна- руженных вирусах, количестве спама и выявленных утечках информации. l • 35 УПРАВЛЕНИЕ www.itsec.ru Таблица Преимущества аутсорсинга Проблемы, возникающие из-за привлечения сторонней организации Услуга стандартизирована, значит, будут предложены типовые решения Не учитываются уникальные особенности вашей инфраструктуры Бюджет заранее определен и, в отличие от собственных расчетов для создания центра реагирования, не будет вызывать вопросов у руководства Бюджет может быть слишком высоким, а время собственных специалистов может восприниматься руководством как практически бесплатное Оперативное реагирование – на аутсорсинге центры реагирования работают круглосуточно и специалистов всегда достаточно Сторонняя организация не знает всех нюансов, поэтому некоторые "звоночки" могут быть пропущены, если в явном виде не прописаны в правилах фильтрации событий Разделение ответственности в соответствии с договором в части соблюдения сроков реагирования и оповещения Ответственность, в том числе перед субъектами персональных данных, за инциденты и формирование правил все так же остается на заказчике Ограничение в правах доступа минимизирует риск влияния на критичные системы Ограничение в правах доступа не позволяет увидеть больше, чем задано правилами (которые могут быть слишком строгими), физически центр реагирования находится далеко, и человеческий фактор не учитывается. Собственные специалисты знают больше, например типичные графики работы пользователей (главный бухгалтер всегда остается после работы, а отдел продаж уходит вовремя, системный администратор выходит работать по субботам для проведения плановых работ, директор в командировке и т.д.) Ваше мнение и вопросы присылайте по адресу is@groteck.ru