SlideShare a Scribd company logo

Чем пристальнее смотришь, тем меньше видишь

Alexey Komarov
Alexey Komarov

Мониторинг информационной безопасности
 Промышленная кибербезопасность

Technology
1 of 17
Download to read offline
30.09.2020 Код ИБ Онлайн - Безопасная среда Чем пристальнее смотришь, тем меньше видишь Мониторинг информационной безопасности Промышленная кибербезопасность Алексей Комаров
 https://ZLONOV.ru
@zlonov Содержание О чём будем говорить Термины Новый ГОСТ по мониторингу ИБ Влияние 187-ФЗ Типовые ошибки А может SOC? Не забудьте про ГосСОПКА
@zlonov В широком смысле слова • Мониторинг — система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов экономики. В рамках системы наблюдения происходит оценка, контроль объекта, управление состоянием объекта в зависимости от воздействия определённых факторов. Мониторинг
@zlonov Проект национального стандарта • мониторинг информационной безопасности: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в информационных (автоматизированных) системах. • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» Мониторинг ИБ
@zlonov ПланированиеРазвитие Мониторинг и контроль Реализация •• Анализ результатов функционирования СОИБ •• Разработка корректирующих мероприятий •• Разработка плана мероприятий по обеспечению безопасности •• Анализ угроз •• Управление СрЗИ •• Управление конфигурацией •• Реагирование на инциденты ИБ •• Действия в нештатных ситуациях •• Информирование и обучение персонала •• Контроль выполнения мероприятий по обеспечению защиты информации •• Аудит безопасности Средства управления СрЗИСистема анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрениемер Ликвидация последствийКИ Связь между процессами и технической архитектурой СОИБ
@zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости
@zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Выход 187-ФЗ
@zlonov Референсная модель системы мониторинга ИБ Готовый план создания системы мониторинга 1 2 3 4 • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» https://youtu.be/OGKK58zD0lM?t=204https://youtu.be/OGKK58zD0lM?t=204
@zlonov Из реального доклада Заказчика • >80 тыс. инцидентов для разбора • >140 сценариев выявления инцидентов • >30 типов источников событий • >2700 объектов, охваченных мониторингом • 1 аналитик и 2,4 FTE (Full-Time Equivalent) для сопровождения Ожидание vs Реальность
@zlonov • «Чем больше событий будем собирать, тем больше инцидентов будем выявлять» • Потребуются значительные вычислительные ресурсы • Замусоривание ложными срабатываниями • Трудность актуализации эталонных состояний активов Чем пристальнее смотришь…
@zlonov • Корректное отнесение событий к инцидентам • Корректные «белые списки» для процессов, ПО и подключенных устройств для объектов защиты • Агрегация и корреляция событий («схлопывание» событий в один реальный инцидент ) Чем пристальнее смотришь… …тем меньше видишь
@zlonov • «Оценка активов на регулярной основе не требуется» • Излишний анализ событий со всех объектов, а не только действительно критичных • Отсутствие актуальной информации для обогащения инцидентов • Инфраструктура АСУТП в действительности довольно часто меняется Большое видится…
@zlonov • Своевременна оценка и переоценка активов на всех этапах их жизненного цикла • Грамотный консалтинг на этапе проектирования и внедрения • Максимальное задействование типов источников событий (но не объектов мониторинга!) Большое видится… …на расстоянии
@zlonov • «Единожды внедрённая система мониторинга не требует непрерывного сопровождения и развития» • Рост системных требований у новых версий ПО средств мониторинга • Нужны специфичные знания у персонала • Без сопровождения система быстро деградирует Глаза страшатся…
@zlonov • Выбор многоуровневой иерархической системы • Аутсорсинг процесса мониторинга (полный либо частичный) • Аренда отдельных ключевых компонентов системы мониторинга (Software-as-a-Service) Глаза страшатся… …а руки делают
@zlonov GRC, SOAR, SOC… ГосСОПКА • Процедуры реагирования на инциденты • Процессы отработки выявленных уязвимостей • Расследование инцидентов • Совершенствование системы обеспечения информационной безопасности • Взаимодействие с НКЦКИ Мониторинг - не предел!!!
@zlonov Спасибо!https://ZLONOV.com

Recommended

Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
S-Terra CSP
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
КРОК
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 

Recommended

Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
S-Terra CSP
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
КРОК
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
Вячеслав Аксёнов
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
pesrox
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Расследование
РасследованиеРасследование
Расследование
pesrox
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
Sergey Borisov
 
пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
Sergey Borisov
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Expolink
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
Solar Security
 

More Related Content

What's hot

Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 

What's hot (20)

ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
Расследование
РасследованиеРасследование
Расследование
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 

Similar to Чем пристальнее смотришь, тем меньше видишь

Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
Expolink
 
Биометрическая система идентификации
Биометрическая система идентификацииБиометрическая система идентификации
Биометрическая система идентификации
Дмитрий Пасков
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
Expolink
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
Expolink
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 

Similar to Чем пристальнее смотришь, тем меньше видишь (20)

Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Биометрическая система идентификации
Биометрическая система идентификацииБиометрическая система идентификации
Биометрическая система идентификации
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
 
Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
 

More from Alexey Komarov

Кибербезопасность 2016-2017: От итогов к прогнозам
Кибербезопасность 2016-2017: От итогов к прогнозамКибербезопасность 2016-2017: От итогов к прогнозам
Кибербезопасность 2016-2017: От итогов к прогнозам
Alexey Komarov
 
Пять причин провести аудит информационной безопасности АСУ ТП в этом году
Пять причин провести аудит информационной безопасности АСУ ТП в этом годуПять причин провести аудит информационной безопасности АСУ ТП в этом году
Пять причин провести аудит информационной безопасности АСУ ТП в этом году
Alexey Komarov
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Alexey Komarov
 

More from Alexey Komarov (20)

[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
 
Субъекты КИИ: торопитесь не торопясь!
Субъекты КИИ: торопитесь не торопясь!Субъекты КИИ: торопитесь не торопясь!
Субъекты КИИ: торопитесь не торопясь!
 
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 годаКИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
 
Трудности реализации требований 187-ФЗ для промышленных предприятий
Трудности реализации требований 187-ФЗ для промышленных предприятий Трудности реализации требований 187-ФЗ для промышленных предприятий
Трудности реализации требований 187-ФЗ для промышленных предприятий
 
Писать или не писать?
Писать или не писать?Писать или не писать?
Писать или не писать?
 
Кибербезопасность 2016-2017: От итогов к прогнозам
Кибербезопасность 2016-2017: От итогов к прогнозамКибербезопасность 2016-2017: От итогов к прогнозам
Кибербезопасность 2016-2017: От итогов к прогнозам
 
SearchInform strange purchases
SearchInform strange purchasesSearchInform strange purchases
SearchInform strange purchases
 
Реестр отечественного программного обеспечения
Реестр отечественного программного обеспеченияРеестр отечественного программного обеспечения
Реестр отечественного программного обеспечения
 
Пять причин провести аудит информационной безопасности АСУ ТП в этом году
Пять причин провести аудит информационной безопасности АСУ ТП в этом годуПять причин провести аудит информационной безопасности АСУ ТП в этом году
Пять причин провести аудит информационной безопасности АСУ ТП в этом году
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТП
 
FireEye Современное решение по защите от угроз "нулевого дня"
FireEye Современное решение по защите от угроз "нулевого дня"FireEye Современное решение по защите от угроз "нулевого дня"
FireEye Современное решение по защите от угроз "нулевого дня"
 
Advanced Monitoring
Advanced MonitoringAdvanced Monitoring
Advanced Monitoring
 
ViPNet IDS. Система обнаружения компьютерных атак
ViPNet IDS. Система обнаружения компьютерных атакViPNet IDS. Система обнаружения компьютерных атак
ViPNet IDS. Система обнаружения компьютерных атак
 
Краткие сведения о продукте HP ArcSight Logger
Краткие сведения о продукте HP ArcSight LoggerКраткие сведения о продукте HP ArcSight Logger
Краткие сведения о продукте HP ArcSight Logger
 
Экспертный центр безопасности PT ESC
Экспертный центр безопасности PT ESCЭкспертный центр безопасности PT ESC
Экспертный центр безопасности PT ESC
 
АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.
АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.
АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.
 
Ланит. Информационная безопасность.
Ланит. Информационная безопасность.Ланит. Информационная безопасность.
Ланит. Информационная безопасность.
 
Ланит. Ведомственные и корпоративные центры "ГОССОПКА"
Ланит. Ведомственные и корпоративные центры "ГОССОПКА"Ланит. Ведомственные и корпоративные центры "ГОССОПКА"
Ланит. Ведомственные и корпоративные центры "ГОССОПКА"
 
Центр Мониторинга компьютерных атак и управления инцидентами
Центр Мониторинга компьютерных атак и управления инцидентамиЦентр Мониторинга компьютерных атак и управления инцидентами
Центр Мониторинга компьютерных атак и управления инцидентами
 
ПАК InfoDiode
ПАК InfoDiodeПАК InfoDiode
ПАК InfoDiode
 

Чем пристальнее смотришь, тем меньше видишь

  • 1. 30.09.2020 Код ИБ Онлайн - Безопасная среда Чем пристальнее смотришь, тем меньше видишь Мониторинг информационной безопасности Промышленная кибербезопасность Алексей Комаров
 https://ZLONOV.ru
  • 2. @zlonov Содержание О чём будем говорить Термины Новый ГОСТ по мониторингу ИБ Влияние 187-ФЗ Типовые ошибки А может SOC? Не забудьте про ГосСОПКА
  • 3. @zlonov В широком смысле слова • Мониторинг — система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов экономики. В рамках системы наблюдения происходит оценка, контроль объекта, управление состоянием объекта в зависимости от воздействия определённых факторов. Мониторинг
  • 4. @zlonov Проект национального стандарта • мониторинг информационной безопасности: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в информационных (автоматизированных) системах. • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» Мониторинг ИБ
  • 5. @zlonov ПланированиеРазвитие Мониторинг и контроль Реализация •• Анализ результатов функционирования СОИБ •• Разработка корректирующих мероприятий •• Разработка плана мероприятий по обеспечению безопасности •• Анализ угроз •• Управление СрЗИ •• Управление конфигурацией •• Реагирование на инциденты ИБ •• Действия в нештатных ситуациях •• Информирование и обучение персонала •• Контроль выполнения мероприятий по обеспечению защиты информации •• Аудит безопасности Средства управления СрЗИСистема анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрениемер Ликвидация последствийКИ Связь между процессами и технической архитектурой СОИБ
  • 6. @zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости
  • 7. @zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Выход 187-ФЗ
  • 8. @zlonov Референсная модель системы мониторинга ИБ Готовый план создания системы мониторинга 1 2 3 4 • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» https://youtu.be/OGKK58zD0lM?t=204https://youtu.be/OGKK58zD0lM?t=204
  • 9. @zlonov Из реального доклада Заказчика • >80 тыс. инцидентов для разбора • >140 сценариев выявления инцидентов • >30 типов источников событий • >2700 объектов, охваченных мониторингом • 1 аналитик и 2,4 FTE (Full-Time Equivalent) для сопровождения Ожидание vs Реальность
  • 10. @zlonov • «Чем больше событий будем собирать, тем больше инцидентов будем выявлять» • Потребуются значительные вычислительные ресурсы • Замусоривание ложными срабатываниями • Трудность актуализации эталонных состояний активов Чем пристальнее смотришь…
  • 11. @zlonov • Корректное отнесение событий к инцидентам • Корректные «белые списки» для процессов, ПО и подключенных устройств для объектов защиты • Агрегация и корреляция событий («схлопывание» событий в один реальный инцидент ) Чем пристальнее смотришь… …тем меньше видишь
  • 12. @zlonov • «Оценка активов на регулярной основе не требуется» • Излишний анализ событий со всех объектов, а не только действительно критичных • Отсутствие актуальной информации для обогащения инцидентов • Инфраструктура АСУТП в действительности довольно часто меняется Большое видится…
  • 13. @zlonov • Своевременна оценка и переоценка активов на всех этапах их жизненного цикла • Грамотный консалтинг на этапе проектирования и внедрения • Максимальное задействование типов источников событий (но не объектов мониторинга!) Большое видится… …на расстоянии
  • 14. @zlonov • «Единожды внедрённая система мониторинга не требует непрерывного сопровождения и развития» • Рост системных требований у новых версий ПО средств мониторинга • Нужны специфичные знания у персонала • Без сопровождения система быстро деградирует Глаза страшатся…
  • 15. @zlonov • Выбор многоуровневой иерархической системы • Аутсорсинг процесса мониторинга (полный либо частичный) • Аренда отдельных ключевых компонентов системы мониторинга (Software-as-a-Service) Глаза страшатся… …а руки делают
  • 16. @zlonov GRC, SOAR, SOC… ГосСОПКА • Процедуры реагирования на инциденты • Процессы отработки выявленных уязвимостей • Расследование инцидентов • Совершенствование системы обеспечения информационной безопасности • Взаимодействие с НКЦКИ Мониторинг - не предел!!!