Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Мониторинг и инциденты

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PostStageSDL
Процесс: Эксплуатация
Практика: Мониторинг и инциденты
Инициатива: Сетевая безопасность
Описание:
Сетевая безопасность — это комплекс мер, направленных на защиту подключенных сетей и инфраструктуры от несанкционированного доступа, утечки информации, вредоносных действий и других угроз, которые могут привести к нежелательным последствиям (финансовые потери, нарушение конфиденциальности, простой в работе и т. д.).
Основные методы обеспечения сетевой безопасности:
- Контроль доступа [AC2].
- Аутентификация и авторизация.
- Сегментация сети и виртуальные частные сети (VPN) [AC1].
- Применение инструментов защиты от утечек (DLP).
- Применение инструментов обнаружения и предотвращения вторжений (IPS/IDS).
- Использование брандмауэров [MI2].
- Использование шифропротоколов.
- Мониторинг безопасности [MI3].
Сетевая безопасность на этапе эксплуатации необходима для защиты сетей и данных от угроз, которые могут возникнуть в процессе работы приложения в промышленной среде. Она обеспечивает защиту от несанкционированного доступа, вредоносных программ, DDoS-атак, фишинга и других угроз. Сетевая безопасность также помогает обеспечить соответствие нормативным требованиям [TMR3], предотвратить простои в работе и сохранить репутацию организации.
Шаги реализации:
1. Проанализировать существующие угрозы и уязвимости сети, определить наиболее уязвимые точки и оценить потенциальный ущерб от возможных атак.
2. Создать четкую политику безопасности, которая устанавливает правила доступа к сети и использования ресурсов.
3. В соответствии с требованиями реализовать необходимые меры сетевой безопасности: контроль доступа, VPN, IPS/IDS, брандмауэры и т. д.
4. Обеспечить сеть постоянным мониторингом на поиск подозрительных действий и уязвимостей.
5. Регулярно обновлять настройки инструментов сетевой безопасности и политику безопасности.
6. Дополнить политику безопасности всеми используемыми методами, инструментами и системами сетевой безопасности.
7. Довести политику до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИБ
Инструмент: FW, DLP, IPS/IDS, SIEM и т.д.
Артефакт: Политика безопасности
Инициатива: Инструменты WAF
Описание:
Web Application Firewall (WAF) — это специализированный межсетевой экран для защиты веб-приложений от различных типов атак. Он работает, анализируя входящий трафик и блокируя запросы в соответствии с заранее заданными разрешающими или запрещающими правилами, и предотвращает несанкционированный доступ, утечку данных или другие вредоносные действия.
WAF использует следующие механизмы защиты:
Фильтрация трафика: WAF анализирует HTTP-запросы и отвечает на них в соответствии с заданными правилами. Эти правила могут определять допустимые и запрещенные типы запросов, например, ограничивая доступ к определенным файлам или блокируя запросы с некорректными заголовками.
Анализ трафика: WAF может использовать различные методы анализа трафика, например, поиск известных шаблонов атак или анализ поведения пользователей.
Предотвращение атак: Если WAF обнаруживает подозрительный трафик или атаку, он может блокировать запрос, перенаправлять запрос на другой сервер или выполнять другие действия, чтобы защитить приложение.
Логирование событий: WAF ведет журнал событий, собирая информацию о всех запросах, которые он обрабатывает. Эта информация может быть использована для анализа угроз и совершенствования правил WAF.
Шаги реализации:
Определить уязвимости веб-приложения и типы атак, которые представляют наибольшую угрозу и методы защиты от них.
Определить данные, которые необходимо защищать от несанкционированного доступа и изменения.
Выбрать наиболее подходящий инструмент WAF с учетом функциональности, интеграции с существующими технологическим стеком, стоимости и соответствия требованиям.
Установить и настроить WAF в соответствии с требованиями веб-приложения и политикой безопасности.
Создать разрешающие и запрещающие правила для WAF.
При возможности, интегрировать WAF с другими инструментами безопасности (SIEM, IDS, DLP).
Регулярно анализировать журнал событий и работу самого инструмента. При необходимости выпускать патчи и совершенствовать правила WAF.
Составить документацию (или дополнить политику безопасности) по использованию WAF, описать порядок работы с инструментом, его концепцию и возможности, утвержденные правила.
Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИБ
Инструмент: WAF
Артефакт: Политика безопасности
Инициатива: SOC
Описание:
Security Operations Center (SOC) — это специализированный центр, где группа сотрудников поддержки круглосуточно мониторит безопасность приложений и сети, отслеживает потенциальные угрозы, предотвращает инциденты и реагирует на них [MI5] в реальном времени.
SOC использует разнообразные инструменты для мониторинга и анализа данных, включая:
- Системы мониторинга сетевой безопасности (SIEM): собирают, анализируют и коррелируют данные из различных источников (брандмауэры, IPS/IDS, антивирусное ПО, журналы событий, данные о приложении).
- Антивирусное ПО: сканирует систему на наличие вредоносных программ и предотвращает их запуск.
- Журналы событий: собирают информацию о действиях пользователей, событиях в системе и сетевом трафике.
Для более полного понимания специалистами приложений у них должен быть доступ ко всей эксплуатационной документации [IA1].
Шаги реализации:
1. Определить конкретные методы и задачи, которые будет решать SOC.
2. Выбрать систему управления информацией и событиями безопасности (SIEM), которая будет собирать и анализировать данные из различных источников.
3. Внедрить необходимые инструменты мониторинга и интегрировать их с SIEM-системой (IPS/IDS, антивирусное ПО, инструменты мониторинга сети).
4. Настроить сбор данных из различных источников (журналы событий, сетевой трафик, данные приложений).
5. Создать правила для SIEM для фильтрации подозрительных событий.
6. Регулярно мониторить работу SOC и отслеживать эффективность его действий.
7. Анализировать данные об инцидентах и совершенствовать процедуры работы SOC.
8. Составить документацию (или дополнить политику безопасности) по работе SOC, включая работу всех инструментов, процесс работы по мониторингу за приложениями, правила SIEM и т. д.
9. Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИБ
Инструмент: SIEM
Артефакт: Политика безопасности
Инициатива: Анализ инцидентов
Описание:
Периодический анализ инцидентов безопасности необходим для эффективного управления рисками и повышения защищенности приложений. Анализ помогает понять причины инцидентов, идентифицировать угрозы и оценить их последствия. Например, если инцидент произошел из-за уязвимости в программном обеспечении, анализ поможет определить, какие именно уязвимости были использованы и как их можно исправить.
Понимание причин и последствий инцидентов позволяет обновить профиль рисков [RM2], скорректировать стратегию [SSDL5] и улучшить процессы за счет выявления слабых мест и проблем в системе безопасности. Анализ инцидентов также помогает повысить осведомленность сотрудников о киберугрозах и уровень культуры безопасности в организации.
Шаги реализации:
1. Наладить сбор информации о происходящих инцидентах безопасности (время, тип, влияние, причины инцидента, принятых меры).
2. Классифицировать инциденты по типу, критичности и причине для выявления наиболее распространенных угроз.
3. Проанализировать причины инцидентов, чтобы определить слабые места в системе безопасности или стратегии.
4. Оценить ущерб, который был нанесен в результате инцидентов.
5. На основе анализа инцидентов разработать и внедрить рекомендации по улучшению безопасности (изменения в политике безопасности или стратегии SSDL, обновление программного обеспечения, настройка инструментов, повышение осведомленности о киберугрозах).
6. Сделать такую ретроспективу регулярной, определить периодичность и ответственных лиц.
7. По результатам каждой ретроспективы также разрабатывать и внедрять рекомендации по повышению уровня безопасности.
Зона ответственности: ИБ
Инструмент: SIEM
Артефакт: Политика безопасности
Инициатива: Плейбук реагирования
Описание:
Процесс постоянного мониторинга безопасности [MI3] можно дополнить плейбуком реагирования, в котором будут описаны возможные недопустимые события и представлен план поведения в случае их реализации. Это позволит ускорить время устранения инцидента и обеспечить слаженность действий сотрудников.
При создании плейбука следует опираться на анализ предыдущих инцидентов и реакцию на них [MI4], а также учитывать потенциальные недопустимые события, определенные в профиле рисков [RM2].
Шаги реализации:
1. Провести анализ возникших инцидентов и предпринятых мер, оценить их эффективность.
2. Определить наиболее вероятные и критичные потенциальные недопустимые события и распространенные инциденты.
3. Составить план реагирования на каждый из таких инцидентов.
4. Создать плейбук реагирования — документ, в котором содержатся четкая инструкция действий по каждому инциденту, порядок отработки и эскалации, участвующие роли и т. д.
5. Ознакомить сотрудников с плейбуком и разместить его на внутреннем портале.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Плейбук реагирования

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.