Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Название Дата Влияние
Community
4 22 / 36
Проведение периодического уничтожения персональных данных
Ежеквартально Вручную Организационная
04.12.2022
04.12.2022 4 22 / 36
Цель: соблюдение требований законодательства
Перед запуском процедуры она должна быть описана, как самостоятельный документ или в составе другого документа, например, в Положении об обработке персональных данных.
По результатам проведения процедуры должны сохраняться свидетельства. В частности, Акты об уничтожении персональных данных.
Уничтожение ПДн может проводиться как периодически так и по наступлению событий, например, поступлению запроса от субъекта ПДн.
Процедура может проводиться в составе иных периодических процедур, например, контроля соответствия или актуализации анкет на ИСПДн.

Рекомендации к заполнению карточки:
- Создать задачу (ежегодную, ежеквартальную) на проведение работ по уничтожению ПДн
- Прикладывать в заметки к карточке скан-копии актов об уничтожении ПДн
Community
1 11 / 15
Утверждение формы Акта об уничтожении персональных данных
Разово Вручную Организационная
04.12.2022
04.12.2022 1 11 / 15
Цель: исполнение требований законодательства
Форма акта может быть утверждена как самостоятельный документ или в составе иных документов, например, Положения об обработке персональных данных
Форма акта в заметках
Community
1 1
Определение потребностей и ожиданий заинтересованных сторон
Ежегодно Вручную Организационная
03.08.2022
03.08.2022 1 1
Общий алгоритм управления потребностями и ожиданиями заинтересованных сторон:
  1. Сбор потребностей и ожиданий от информационной безопасности у руководства компании (внутренняя сторона)
  2. Определение потребностей внешних сторон - контрагентов
  3. Учету заинтересованных сторон и их потребностей реестре
  4. Исполнение и контроль исполнения потребностей
  5. Уведомление внутренних заинтересованных сторон об исполнении их потребностей и ожиданий
    Например, в рамках регулярных отчетов перед руководством о проделанной работе.
  6. Актуализация (повторный сбор) потребностей
В SECURITM для учета и контроля исполнения потребностей сторон используется создание документов с внутренними требованиями (раздел Требования) и их исполнение через защитные меры.

Рекомендации к заполнению карточки:
  • Создать реестр потребностей заинтересованных сторон в SECURITM. Для этого:
    • Создать в разделе Требования внутренний документ
    • Все собранные потребности указать в документе в качестве требований
    • Определить как требования исполняются или будут исполняться и описать решение через защитные меры 
    • Связать требования внутреннего документа с защитными мерами, которые их исполняют (или будут исполнять)
  • Добавить в карточку меры ссылку на созданный документ с реестром потребностей
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию потребностей заинтересованных сторон (периодичность: ежегодно)
Community
1 3 / 2
Определение контекста организации
Ежегодно Вручную Организационная
03.08.2022
03.08.2022 1 3 / 2
Контекст организации это описание внешних/внутренних факторов, имеющих отношение организации и влияющих на ее систему безопасности.
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.

Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию контекста (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то контекст может быть задокументирован в карточке данной защитной меры.
  • Если контекст утвержден документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Community
1 13 / 30
Резервное копирование документов с ПК
Ежедневно Автоматически Техническая Восстановительная Компенсирующая
20.06.2022
20.06.2022 1 13 / 30
Цель: сохранение документов в случае их уничтожения на ПК.
Например, в результате кражи ПК, случайного или умышленного уничтожения файлов пользователем, запуска вируса-шифровальщика.

Документы определенных форматов (doc, xls и т.п.) со всех доменных ПК регулярно копируются на сервер резервных копий.

Варианты реализации:
  • ПО для резервного копирования;
  • DCAP системы защиты;
  • Скрипты.
В заметке к защитной мере приведен скрипт для создания системы резервного копирования документов с пользовательских ПК, на базе Групповой политики домена + Планировщика заданий + Скриптов на vbs/bat + Robocopy
Community
3 17 / 61
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 61
Цель: устранение технических уязвимостей в операционных системах Linux.
Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades).

Возможный алгоритм действий:
  1. Установка обновлений на тестовой среде, проверка работоспособности.
  2. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов.
  3. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений.
  4. Проведение обновления.
  5. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем.
Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. 
Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian.
Команды для обновления приложений в Ubuntu:
  • Получение актуальных версий пакетов sudo apt update
  • Вывод списка затрагиваемых пакетов apt list --upgradable
  • Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade
    • upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/*. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут.
    • full-upgrade - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены.
Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ.
  • Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Community
1 5 / 52
Нанесение грифа конфиденциальности на файлы (маркировка)
По событию Вручную Организационная Техническая Удерживающая
24.05.2022
24.05.2022 1 5 / 52
Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:
  • Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
  • Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
  • Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.
Перед внедрением маркировки необходимо
  1. Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
  2. Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.
Маркировка может осуществляться:
  1. Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
  2. С использованием RMS систем (например, Microsoft Azure RMS)
  3. С использованием скриптов
    В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
    В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы
Рекомендации к заполнению карточки:
  • Описать использующиеся в компании подходы и инструменты для маркировки
Community
18 10 / 89
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 89
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
13 / 86
Проведение штабных киберучений
Ежегодно Вручную Организационная
08.05.2022
08.05.2022 13 / 86
Цель: проверка реагирования службы информационной безопасности и персонала компании на типовые сценарии инцидентов безопасности.

Штабные киберучения позволяют проверить как будет производиться реагирование на различные сценарии угроз и определить необходимую степень взаимодействия между различным персоналом, как со стороны службы информационной безопасности, так и со стороны других подразделений организации. 
В отличие от проведения тестирования на проникновение или проведения тренировок на киберполигоне штабные киберучения не требуют работы с инфраструктурой, но требуют построения четкого плана по минимизации рисков той или иной угрозы.
Примеры сценариев для киберучений

Способ реализации: самостоятельно или с привлечением внешних контрагентов/консультантов.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на проведение киберучений.
  • В результатах выполненных задач или в заметках к мере вести учет принятых корректирущих действий по результатам киберучений.
Community
40 / 52
Управление рисками информационной безопасности
Ежеквартально Вручную Организационная Детективная
08.05.2022
08.05.2022 40 / 52
Цель: выявление и устранение актуальных проблем информационной безопасности.

Общий процесс управления рисками включает следующие подпроцессы:
  1. Оценивание / Risk Assessment
    1. Идентификация / Risk Identification
      Результат: Реестр рисков
    2. Анализ / Risk Analysis
      Результат: оценка параметров рисков (ущерб, вероятность)
    3. Оценка / Risk Evaluation
      Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем
  2. Обработка / Risk Treatment
    Результат: План обработки рисков
Реализация меры означает выполнение в организации всех подпроцессов управления рисками.
Варианты реализации:
Для обеспечения процесса должны быть определены:
  • область оценки рисков (активы или типы активов, для которых оцениваются риски);
  • ценность (приоритет) активов (типов активов), для которых проводится оценка рисков;
  • периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически); 
  • методика оценки, включая:
    • формулы расчета величины риска;
    • критерии для оценки рисков;
    • критерии принятия рисков ( = критерии приемлемости риска);
    • риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск);
  • ответственные и роли в процессе;
  • владельцы рисков;
Результатами процесса являются:
  • Реестр рисков, в т.ч.: 
    • реестр недопустимых рисков;
    • реестр принятых рисков;
  • План обработки рисков
    • включает перечень влияющих на риски защитных мер ( = средств управления, контролей).
Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.