Реестр защитных мер

Все, что делает служба информационной безопасности можно описать через защитные меры.

В контексте SECURITM защитная мера – это любая упорядоченная активность службы безопасности.

Цель любой защитной меры – влиять на риски безопасности и/или исполнение требований. В некоторых случаях защитная мера сама по себе может никак не влиять на риски, но быть необходима для реализации других защитных мер.

Защитная мера — это не средство защиты (СЗИ), средство защиты это лишь один из возможных инструментов для реализации защитной меры.

Перейти к разделу Защитные меры

Возможности

Сервис позволяет построить управление процессами службы безопасности через защитные меры реализуя следующие функции:

Создание реестра защитных мер;
Многомерная классификация защитных мер;
Планирование, ведение жизненного цикла защитной меры;
Создание операционной активности (задач) на базе защитных мер, в том числе регулярных задач (процессов);
Определение влияния защитной меры на риски безопасности и/или соответствие требованиям;
Определение ресурсов, необходимых для внедрения и поддержания защитной меры;
Оценка эффективности средств защиты и иных инструментов через оценку защитных мер, для реализации которых они используются.

Классификации

Классификация защитных мер отображает контекст защитной меры и не меняет уровень её влияния на риски и требования. В сервисе к карточкам защитных мер применяются различные классификации:

по типу;
по способу реализации;
по периодичности;
по текущему статусу.

По статусу

Классификация защитных мер по статусу позволяет отразить весь жизненный цикл защитной меры и включает следующие состояния: Не определен > Потребность > Проект > Внедрение > Реализовано > Поломка > Отменено.

Не определен
Статус Не определен назначается защитным мерам при их создании или при добавлении защитной меры из базы Community. Этот статус означает что защитная мера добавлена в реестр команды, но по ее статусу отсутствует информация, неясно требуется ли ее реализовывать. Такие меры никак не влияют на расчет рисков или соответствие требованиям и требуют дальнейшей проработки.
Потребность
Статус Потребность означает, что принято решение о необходимости внедрения защитной меры, но еще не определено, как именно и когда мера будет реализовываться. Мера в данном статусе участвует в оценке рисков и контроле соответствия для определения будущих, планируемых показателей и требует дальнейшего анализа с целью определения механизмов и сроков реализации.
Проект
Статус Проект означает, что в отношении меры понятны механизмы ее реализации (например, используемые средства защиты), проведена всесторонняя классификация меры, запланированы даты внедрения, определены ответственные за внедрение лица.
Внедрение
Статус Внедрение означает, что на текущий момент мера находится в процессе внедрения. Такие меры отображаются в разделе Мои дела у ответственных за внедрение лиц.
Реализовано
Статус Реализовано означает, что мера была успешно внедрена и действует на текущий момент. Влияние меры учитывается при расчете текущих показателей уровня рисков безопасности и соответствия требованиям.
Поломка
Статус Поломка устанавливается если в результате аудита, инцидентов безопасности или иных событий выявлено, что мера не функционирует должным образом. Текущее влияние меры на риски безопасности и соответствие требованиям отменяется.
Отменено
Статус Отменено означает что мера выведена из эксплуатации, она более не влияет и не учитывается при оценке рисков и контроле соответствия требованиям. Такие меры хранятся в реестре для сохранения целостности и ретроспективной оценки развития системы защиты.

В зависимости от текущего статуса к защитным мерам в сервисе применяются различные алгоритмы обработки. Так, например, для того чтобы на базе защитной меры создавались регулярные задачи ее статус должен быть Реализовано. А для того, чтобы защитная мера попала в План работ ее статус должен быть Проект, Внедрение или Реализовано.

По типу

Классификация защитных мер по типу состоит из двух групп классификаций – базовой и расширенной.
Базовая классификация мер состоит из следующих типов:

Организационные (процедурные, административные) меры
Это меры, направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации.
Технические (логические) меры
Это различные технологические решения и меры, в частности использование технических средств обеспечения безопасности – антивирусов, межсетевых экранов, систем обнаружения вторжений и т. д.
Физические меры
Это меры, направленные на ограждение и физическую изоляцию, физический контроль доступа, запирающие устройства и хранилища.

Расширенная классификация защитных мер по способу их воздействия на риски безопасности включает следующие типы:

Превентивные меры
Эти меры направлены на предотвращение инцидентов безопасности, блокируя или останавливая кого-либо или что-либо, реализуются до возникновения предполагаемого инцидента.
Примеры:
- Блокировка несанкционированного трафика на межсетевых экранах;
- Обнаружение и блокировка атак системой предотвращения вторжений;
- Обнаружение и блокировка вредоносного ПО антивирусом;
- Двухфакторная аутентификация при входе в систему;
- Шифрование жестких дисков;
- Повышение осведомленности работников;
- Установка заборов вокруг территории.
Детективные меры
Эти меры применяются для выявления любых вредоносных действий, нарушений и инцидентов. Эти меры не останавливают и не смягчают попытки вторжения, они только идентифицируют и сообщают о них.
Примеры:
- Обнаружение атак системой обнаружения вторжений IDS;
- Обнаружение аномалий в журналах событий через корреляции в SIEM системе;
- Детектор движения в серверном помещении;
- Охранники на территории;
- Видеонаблюдение;
- Ведение журналов событий.
Корректирующие меры
Эти меры направлены на смягчение последствий в момент инцидента безопасности или возвращение системы в нормальное состояние после инцидента.
Примеры:
- Восстановление операционной системы или данных из резервной копии;
- Обновление устаревшего антивируса;
- Установка патчей.
  Примечание: приведенные примеры являются частью процесса управления инцидентами безопасности и не вносятся в реестр защитных мер. Вносить корректирующие меры в реестр следует только если их внедрение растянуто во времени, направлено не только на устранение последствий конкретного инцидента, но и на снижение рисков безопасности / исполнение требований.
Восстановительные (резервирующие) меры
Эти меры направлены на подготовку к инцидентам безопасности и используются для возвращения системы в нормальное состояние, в состояние до инцидента безопасности. Эти меры дополняют работу корректирующих контрмер.
Примеры:
- Регулярное резервное копирование данных;
- Создание площадки аварийного восстановления;
- Подключение резервного канала Интернет-провайдера.
Удерживающие (сдерживающие) меры
Эти меры направлены на то, чтобы отговорить злоумышленников атаковать компанию. Другими словами, сдерживающая контрмера используется, чтобы заставить злоумышленника дважды подумать о своих злонамеренных намерениях.
Примеры:
- Отображение баннеров с предупреждением при входе систему;
- Напоминание работникам об ответственности за нарушение информационной безопасности;
- Установка поста охраны при входе на территорию;
- Видеонаблюдение.
Компенсирующие меры
Этим меры обеспечивают альтернативные варианты защиты, когда иные меры либо невозможно, либо слишком дорого реализовать.

Каждая защитная мера может относиться к нескольким типам. Например, охранники считаются превентивной, детективной и сдерживающей мерой.
Стоит отметить, что в смежных с информационной безопасностью стандартах, например в системе менеджмента качества, принята упрощенная классификация активностей (мер, действий) в отношении событий безопасности. Разделение идет на меры, предпринимаемые до того, как инцидент произошел и меры, реализуемые после наступления инцидента. Все меры направлены на устранение причин и следовательно возможности нежелательного события:

Предупреждающее действие (preventive action): Действие, предпринятое для устранения причины потенциального несоответствия или другой потенциально нежелательной ситуации.
Корректирующее действие (corrective action): Действие, предпринятое для устранения причины несоответствия и предупреждения его повторного возникновения.

Сервис позволяет назначать защитной мере несколько классификаций одновременно.

По периодичности

Защитные меры классифицируются по периодичности:

Разовая;
Постоянная;
По событию;
Периодическая
- ежедневная,
- еженедельная,
- ежемесячная,
- ежеквартальная,
- ежегодная.

Классификация по периодичности позволяет отделить разовые активности от процессов, формировать регулярные задачи.

По способу реализации

Защитные меры классифицируются по способу реализации, делясь на автоматические и выполняемые вручную. Автоматические меры подразумевают что исполняются без участия оператора. Например, автоматическое обновление системы антивирусной защиты.

Ресурсы

Для реализации и поддержания защитной меры используются человеческие и материальные ресурсы. Ресурсы определяются через назначение ответственного за защитную меру и определение инструментов, используемых защитной мерой.

Ответственный

Для защитной меры может быть назначен только один ответственный. Ответственный берется из реестра активов, из разделов Люди или Юридические лица.

Подобная гибкость выбора позволяет установить в качестве ответственного за защитную меру конкретное лицо (например Иванов А.А.), группу лиц (например Отдел безопасности), роль (например Администратор безопасности), внешнюю организацию (например ООО «Оператор SOC»).

Ответственный участвует в процессе управления защитными мерами – ему назначаются защитные меры на внедрение, приходят регулярные задачи по защитной мере и т.д.

Ответственный на различных этапах жизненного цикла защитной меры (как правило, при переходе от внедрения к эксплуатации) может меняться. В таких случаях необходимо обновлять карточку защитной меры.

Инструменты

Для защитной меры может быть указан один или несколько инструментов, используемых для ее реализации. Инструменты берутся из реестра активов и, в большинстве случаев, являются средствами защиты, но также это могут быть иные программные и аппаратные решения, групповые политики, скрипты, в некоторых случаях юридические лица.

Примеры:

Для защитной меры Централизованная установка средств антивирусной защиты на ПК ответственным будет Администратор безопасности, инструментами будут СЗИ Антивирус и Групповые политики домена (если установка агентов реализуется через GPO).
Для защитной меры Тестирование внешнего периметра на проникновение ответственным будет роль начальник службы безопасности, а инструментом будет ООО «Пентест-подрядчик» или СЗИ Сканер уязвимостей (если тестирование проводится самостоятельно).

Защитные меры могут быть связаны друг с другом, для возможности выстраивания последовательности внедрения защитных мер, реализации комплексного проекта по внедрению системы защиты. Подобная связь учитывается при выводе защитной меры из эксплуатации.

Метрики

В сервисе имеется отдельный модуль для работы с метриками. Это позволяет нам, к примеру, отслеживать состояния антивирусного программного обеспечения. Метрика, отслеживающая статус антивируса, может быть связана с защитной мерой, при этом установленные в ней пороговые значения будут оказывать прямое влияние на статус этой защитной меры. Если, к примеру, статус антивируса окажется ниже установленного порогового значения "Плохо", то защитная мера изменит статус на Поломка. Изменение статуса в Реализовано произойдет только тогда, когда метрика перейдет значения "Умеренно" или "Хорошо".

Связанные автоматизации

В сервисе имеется отдельный модуль RPA для выполнения автоматических действий при различных условиях. Это позволяет нам, например, автоматически добавлять новых сотрудников в соответствующие опросы при создании новых учетных записей в Active Directory. В карточке защитной меры в поле Метрики мы можем указать один или несколько процессов RPA как инструментов которые реализуют действия защитной меры. Статус защитной меры не влияет на работоспособность процесса RPA.

Связанные опросы

В сервисе имеется отдельный модуль для работы с Опросами. Это дает нам возможность, например, отправлять новым сотрудникам документы для ознакомления с правилами информационной безопасности. Таким образом, мы можем обозначить этот опрос как инструмент, который показывает, что для реализации данной защитной меры мы применяем именно опрос.

Редактирование защитной меры

Вкладка общее:

Название
Статус
Описание
Метки
Метрики
Файлы
Связанные автоматизации
Связанные опросы
Связанные типы активов
Способ реализации
Классификация
Период
Ответственный
Инструменты
Области

Вкладка Цепочка Мер - позволяет создать цепочку из связанных защитных мер, указав предпосылки и следствие;
Вкладка Задачи - позволяет настроить шаблон задачи для уже созданной защитной меры;.

Вкладка Риски - добавляет связь с риском на который будет влиять защитная мера. (связей может быть несколько);
Вкладка Требования - добавляет связь с требованием которое будет исполнять защитная мера. (связей может быть несколько);
Вкладка Ресурсы - позволяет установить приоритет и значения параметров CAPEX и OPEX.

Влияние на риски

В контексте сервиса, цель любой защитной меры - влиять на риски безопасности. В некоторых случаях защитная мера сама по себе может никак не влиять на риски но быть необходима для реализации других защитных мер или исполнения требований.

Защитная мера может влиять на вероятность и/или на ущерб риска. Уровень влияния может быть следующим:

Отсутствует - мера никак не влияет на риск
Низкий - небольшое влияние
Средний - достаточное влияние для того, чтобы снизить риск на половину
Высокий - мера значительно снижает риск
Полностью - мера полностью исключает риск. Например, устраняя источник риска, позволяя уйти от появления риска или гарантированно его исключая.

Одна защитная мера может влиять на один или несколько рисков безопасности, в каждом случае величина влияния (на вероятность и/или на ущерб) может быть разной.
Связать защитную меру с рисками а так же установить или изменить величину влияния защитной меры на риски можно несколькими способами:

В карточке редактирования защитной меры во вкладке Риски
В карточке редактирования риска во вкладке Защитные меры
На странице защитной меры в заголовке раздела Связанные риски нажав на кнопку изменения связей
На странице защитной меры в разделе Связанные риски нажав на кнопку редактирования конкретного риска и перейдя в вкладку Защитные меры

Посмотреть текущие связи и влияние защитной меры на риски можно на странице защитной меры

Влияние на требования

Помимо влияния на риски безопасности защитные меры могут использоваться для исполнения требований - законов, регуляторов, стандартов и лучших практик. Установить что защитная мера исполняет требования можно несколькими способами:

В карточке редактирования защитной меры во вкладке Требования
На странице требования (раздела документа) в разделе Связанные защитные меры, нажав на кнопку изменения связей

Одна защитная мера может исполнять различные требования, в том числе из разных документов.
Уровень влияния защитной меры на требования не устанавливается. Расчет исполнения требования осуществляется по текущему статусу всех связанных с требованием защитных мер. Например, если для требования установлена связь только с одной защитной мерой и статус у этой защитной меры Реализовано, то требование будет считаться исполненным. А если требование связано с несколькими защитными мерами, то оно будет считаться исполненным только когда все эти защитные меры будут в статусе Реализовано. Меры в статусе Отменено не учитываются при расчете.

Ресурсная оценка

В системе реализована возможность сопоставления качественной оценки ресурсных затрат с их количественными показателями. Пользователь может настроить соответствие для следующих уровней: "Низкий", "Средний", "Высокий" и "Очень высокий". Каждый уровень определяется диапазоном значений стоимости (в тысячах рублей) и трудозатрат (в днях). Например, для уровня "Низкий" могут быть установлены следующие параметры: стоимость от 10 тысяч рублей и трудозатраты от 1 дня. Аналогичным образом настраиваются диапазоны значений стоимости и трудозатрат для уровней "Средний", "Высокий" и "Очень высокий".

CAPEX - это разовые затраты/инвестиции на приобретение, развертывание или подготовку как технических так и организационных защитных мер. Например инвестиции в программные и аппаратные средства безопасности, которые обеспечивают устойчивость к кибератакам и защите информации.

OPEX - охватывает расходы, связанные с ежедневным обеспечением функционирования защитных мер и сервисов, обновлением инфраструктуры и поддержанием устойчивости к угрозам.

Настройка защитной меры осуществляется с использованием параметров CAPEX (капитальные затраты) и OPEX (операционные затраты). Эти параметры позволяют оценить стоимость внедрения и поддержания защитной меры. Гибкость настройки обеспечивается разделением на качественную и количественную оценку.

Качественная оценка позволяет задать уровни для следующих параметров:

Стоимость: Здесь можно указать качественный уровень стоимости, например, "Низкий", "Средний", "Высокий" или "Очень высокий". Это позволяет быстро классифицировать защитные меры по стоимости без необходимости точного определения денежных сумм на начальном этапе.
Трудозатраты: Аналогично стоимости, трудозатраты также оцениваются качественно. Это позволяет оценить объем работ, необходимых для внедрения и поддержания защитной меры. Уровни могут быть аналогичными: "Низкий", "Средний", "Высокий" или "Очень высокий".
Сложность: Этот параметр отражает сложность внедрения и эксплуатации защитной меры. Качественные уровни, например, "Низкая", "Средняя", "Высокая" или "Очень высокая", позволяют оценить техническую сложность и потенциальные риски, связанные с внедрением и использованием защитной меры.

Количественная оценка уточняет качественную оценку и предоставляет конкретные числовые значения:

Стоимость: Здесь указывается точная стоимость защитной меры в денежном выражении. Это может быть как разовая стоимость внедрения (CAPEX), так и периодические расходы на обслуживание (OPEX).
Трудозатраты: Указывается точное количество рабочих дней, необходимых для внедрения и поддержания защитной меры. Это позволяет более точно оценить необходимые ресурсы и спланировать работы.

После чего мы получаем Итоговую оценку в карточке защитной меры - это разовые затраты/инвестиции на приобретение, развертывание или подготовку как технических так и организационных защитных мер. Например инвестиции в программные и аппаратные средства безопасности, которые обеспечивают устойчивость к кибератакам и защите информации.

Планирование и отчетность

Из защитных мер в сервисе автоматически формируются планы работы и отчеты о выполнении плана работ.

Для появления защитной меры в плане (отчете) необходимо исполнение нескольких условий:

Статус защитной меры: Проект, Внедрение или Реализовано;
Для защитной меры установлены сроки на внедрение или указана дата реализации;
Сроки на внедрение или дата реализации находятся в пределах планируемого (отчетного) периода.

Все запланированные, но не внедренные защитные меры переносятся в план следующего года.

Предустановленные шаблоны позволяют сформировать платы на текущий год, текущий квартал и следующий квартал, а также отчеты за прошлый квартал и прошлый год. При этом возможно, используя фильтры в реестре защитных мер, сформировать представление за любой период.

Защитные меры и области

В сервисе имеется отдельный модуль для работы с Областями. Это дает нам возможность, например, привязывать конкретную защитную меру к определенной области, гарантируя, что данная мера будет учитываться исключительно в рамках указанной области. Этот подход позволяет более точно и эффективно проводить оценку рисков и оценивать документы, соответствующие специфике каждой области.
Например, если у нас есть несколько различных областей деятельности, таких как финансовый сектор, управление персоналом и IT, каждая из них может иметь свои уникальные требования и стандарты безопасности. Привязывая защитные меры к конкретной области, мы можем адаптировать наши процессы к уникальным условиям каждой из них.

Влияние задач

Задачи
При постановке задачи из интерфейса защитной меры, задача в разделе связи будет содержать связь с соответствующей защитной мерой. При создании задачи можно указать в какой статус перейдет мера при выполнении задачи. Если защитная мера уже находится в статусе Реализовано, то не выполнение задачи в срок будет переводить меру в статус Поломка.

Шаблоны задач
Использование шаблонов задач с настраиваемым расписанием позволяет систематизировать и упорядочить выполнение рутинных, но критически важных процедур безопасности. Когда речь идет о ежедневной проверке доступов пользователей и обработке заявок, сервис позволяет создать детальный шаблон задачи, который будет автоматически генерировать новые задачи в соответствии с заданным расписанием. В шаблоне можно указать конкретные шаги проверки, необходимые документы и формы отчетности, а также назначить ответственных исполнителей.

Реестр защитных мер

Реестр защитных мер может быть отображен через параметр Вид в виде таблицы или списка с ресурсной оценкой.

Дашборды
Дашборды предоставляют визуализацию данных о защитных мерах по параметрам, являются фильтрами:

Тип/подтип - показывает соотношение организационных, физических и технических мер. Помогает выявить области, требующие дополнительного внимания;
Статус - диаграмма отображает количество мер в каждом статусе (например, "Внедрение", "Реализовано"). Позволяет оценить прогресс внедрения;
Способ реализации - отображает, какие меры выполняются вручную, а какие автоматически. Помогает оптимизировать процессы;
Топ по ответственным - отображает количество ЗМ по ответственным связанных с защитными мерами. По клику на ответственного, будут отфильтрованы защитные меры исполнителем которых он назначен;
Топ по инструментам - отображает популярные инструменты используемые для реализации защитных мер, по клику на инструмент, будут отфильтрованы защитные меры исполнителем которых он назначен.

Фильтрация
Отфильтровать защитные меры можно несколькими способами:

1) Кликнув по соответствующему дашборду - клик устанавливает фильтр в реестре защитных мер.

2) Нажав над реестром защитных мер кнопку фильтры. Установленные фильтры отображаются над реестром. Доступны следующие фильтры:

Статус - фильтрует защитные Меры по их состоянию.
Дата - предоставляет возможность отфильтровать по периоду каждого статуса;
Ответственный - фильтр позволяет отфильтровать защитные меры по ответственному, в том случае если он связан с защитной мерой;
Инструменты - фильтрует по активам указанным в поле Инструмент (актив при помощи которого реализуется защитная мера);
Периодичность - позволяет отфильтровать по периодичности выполнения защитной меры;
Тип - фильтрует защитные меры по типу;
Метки - фильтрует защитные меры по добавленным меткам.

Экспорт данных

Защитные меры можно экспортировать в следующих форматах:

CSV
XLS
JSON
XML
Если фильтры не установлены, экспортируются все меры.
Если фильтры установлены, экспортируются только отфильтрованные меры.

Интерфейс карточки

Интерфейс карточки содержит следующие функциональные блоки с управляющими элементами:

Управляющие кнопки:
- Метрики - привязка метрик к ЗМ;
- Создать риски - добавляет в интерфейс функциональный блок создания риска, после создания риск будет автоматически связан с защитной мерой;
- Копировать - открывает модальное окно редактирования защитной меры для создания копии;
- Создать задачу - открывает модальное окно создания задачи;
- Изменить защитную меру - открывает модальное окно редактирования;
- Удалить защитную меру - открывает модальное окно с предупреждением, восстановить удаленную меру невозможно;
- Показать системный журнал - открывает модальное окно с историей изменения меры.
Описание защитной меры:
- Подписаться на задачу - отправляет уведомления при изменении ЗМ;
- Добавление в избранное - добавляет ссылку в Избранное у пользователя;
- Счетчик требований - отображает количество привязанных требований;
- Метка публичного (linked) или частного (team) объекта;
Ресурсная оценка
Исполнение требований:
- Добавить связь - открывает модальное окно редактирования защитной меры на вкладке Требования;
- Показать все документы - работает совместно с Показать косвенные связи - добавляет отображение требований не взятых на контроль документов;
- Показать косвенные связи - добавляет в блок требования связные между исполняемыми ЗМ требованиями и другими требованиями взятых на контроль документов; помогает аудитору понять может ли эта защитная мера выполнить другие требования других документов;
- Показать описания требований - раскрывает текст требований;
Связанные риски
- Создать новый риск - добавляет в интерфейс функциональный блок создания риска, после создания риск будет автоматически связан с защитной мерой;
- Связать существующий риск - открывает модальное окно редактирования защитной меры на вкладке Риски;
Задачи
- Создать задачу - позволяет создать задачу с параметром При завершении задачи перевести меру в статус - при завершении такой задачи статус ЗМ будет изменен на указанный в задаче;
- Создать шаблон регулярных задач;
Заметки
- Создать заметку.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Ответственные

Инструменты

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.