SlideShare a Scribd company logo

Vulnerability Management Process - Дмитрий Огородников

Angara Technology Group
Angara Technology Group

Как не поссорить Петю, Мишу и других сотрудников департаментов ИТ и ИБ в процессе анализа защищенности

Business
1 of 21
www.angaratech.ru Vulnerability Management Process или как не поссорить Петю, Мишу и других сотрудников департаментов ИТ и ИБ в процессе анализа защищенности Дмитрий Огородников
Основные определения Angara Technologies Group Недокументированные (недекларированные) возможности Уязвимость Управление уязвимостями Обозначает недостаток в системе, используя который можно намеренно нарушить её целостность и вызвать неправильную работу Возможности программного обеспечения, не отраженные в документации Циклический процесс, включающий непрерывный мониторинг, приоритезацию и устранение уязвимостей в системах Определения 1 2 3 1 2 3
Классический подход  Целью анализа защищенности информационных ресурсов является проверка выполнения требований законодательства РФ и внутренних локальных актов по защите информации  Анализ защищенности информационных ресурсов как правило представляет собой разовый процесс, который выполняется обычно не более 1 раза в год (в лучшем случае)  Ответственными и вовлеченными в процесс анализа защищенности в основном являются службы ИБ (в редких случаях привлекаются службы ИТ) Действующие инструкции как правило: • Устанавливают требования по проведению сканирования • Обязанность по исправлению выявленных уязвимостей • Использование конкретных программных продуктов и версий • Используемы метрики оценки – «Количество уязвимостей» Angara Technologies Group
В чем проблемы классического подхода? Angara Technologies Group Vulnerability Management ≠ Vulnerability Scanning Периодичность проведения анализа защищенности Вовлеченные службы в процесс анализа защищенности Vulnerability Scanning – используются только программные средства для идентификации уязвимостей в информационной инфраструктуре Vulnerability Management – процесс, который включает в себя как подпроцесс сканирования уязвимостей, так и другие подпроцессы, такие как определение плана сканирования, обработка рисков, формирование корректирующих действий и т.д. При поведении сканирования уязвимостей 1 раз в год, новые уязвимости, которые могут появляться в период между сканированиями, возможно обнаружить только после очередного сканирования уязвимостей Службы ИБ не обладают полной и достаточной информацией о степени критичности всех информационных ресурсов Служба ИБ очень часто не знают, что делает Служба ИТ в информационной инфраструктуре
Vulnerability management process Роли и ответственность в процессе
Angara Technologies Group Офицер безопасности является владельцем процесса. Он разрабатывает данный процесс и следит за его выполнением на каждом этапе процесса Инженер по сканированию уязвимостей является специалистом по уязвимостям. Он устанавливает порядок проведения сканирования, настройку соответствующих средств и разрабатывает расписание сканирования для различных ИТ ресурсов Владелец информационного ресурса является владельцем сканируемого ресурса со стороны бизнес подразделений. Он принимает решение о исправлении выявленных уязвимостях или о принятие соответствующего риска Инженер информационных систем – инженер ИТ службы, как правило обеспечивающий устранение выявленных уязвимостей
Vulnerability management process Этапы процесса
Этап 1. Подготовка к сканированию Подготовка к сканированию Angara Technologies Group Ответственный: Security Officer  Определение границ процесса Vulnerability Management. • перечень сканируемых информационных систем – выделенный сегмент сети, информационная система, филиал/отделение. • перечень уязвимостей – только критичные или только те, для которых существуют экспойты или только относящиеся к определенному виду систем/узлов • тип сканирования (внешний/внутренний, глубина сканирования, права доступа и типы учетных записей)  Информирование о процессе владельцев информационных ресурсов и служб ИТ  Разработка плана сканирования (конфигурация сканирования, используемые средства) и согласование его со службой ИТ Общее правило: начинать с ограниченного перечня систем и потенциальных уязвимостей, что бы не быть перегруженными их количеством и совместно отработать все детали процесса. Решение о порядке сканирования и исправлении уязвимостей, бюджете и сроках – принимает владелец актива.
Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Подготовительныемероприятия Определение процесса сканирования уязвимостей Начало Конец Информирование владельца ИР и инженера ИС Разработка плана сканирования Получение информации о сканировании Получение информации о сканировании 1 этап
Этап 2. Сканирование уязвимостей Angara Technologies Group Ответственный: Vulnerability Engineer и IT Engineer  Проведение технического сканирования уязвимостей (VE)  Отслеживание состояния информационных систем при сканировании (ITE)  Регистрация недоступности систем  Регистрация стабильности работы систем  Регистрация снижения производительности систем  Получение результатов сканирования и направление их владельцу ресурса Сферы интересов:  Руководство и служба безопасности - риски, с которыми сталкивается организация в настоящее время. Этот риск включает в себя количество обнаруженных уязвимостей и степень серьезности / риска выявленных уязвимостей.  Владельцы активов – отчет об уязвимостей в системах, за которые они несут ответственность.  ИТ служба - обзор (по технологиям) технической информации об обнаруженных уязвимостях, а также рекомендации по их устранению.
Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Сканированиеуязвимостей Старт сканирования уязвимостей Начало Проблемы обнаружены Конец да Мониторинг стабильности/ производительности ИС при сканировании Обработка проблем Информация о проблемах Получение результатов сканирования нет Результаты сканирования Результаты сканирования Результаты сканирования Результаты сканирования 2 этап
Этап 3. Определение способов устранения Angara Technologies Group Ответственный: Security Officer, IT Engineer и Asset Owner  Анализ выявленных уязвимостей при сканировании  Сотрудник службы безопасности анализирует выявленные уязвимости и определяет связанные с ними риски. Предоставляет информацию по способам устранения данных рисков (выявленных уязвимостях).  Формирование рекомендаций по устранению выявленных уязвимостей  ИТ служба должна проанализировать уязвимости с технической точки зрения и ответит на такие вопросы, как доступны ли обновления ПО, можно ли внести изменения в конфигурации. А также не приведет ли установка определенного обновления к снятию с поддержки ПО производителем.  Обработка рисков, связанных с выявленными уязвимостями  Владельцы активов должны принять риск или подтвердить необходимость устранения уязвимостей. В этом случае, должен быть определен план устранения уязвимостей или, если это невозможно, определение компенсирующих мер по снижению рисков (изоляция узла, изменение режима работы…)  Определение плана корректирующих действий, направленных на устранение уязвимостей  Владельцы активов должны согласовать график обновления своих систем
Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Определениекорректирующихдействий Анализ уязвимостей Начало Риск принимается? Конец да Определение корректирующих действий Формирование рекомендаций по устранению рисков нет Результаты сканирования План корректирующих действий Анализ уязвимостей и их соотношение с рисками Анализ уязвимостей с технической стороны План корректирующих действий Результаты сканирования Результаты сканирования Формирование рекомендаций в технической части Отказ от процесса (для принятия риска) Конец 3 этап
Этап 4. Устранение уязвимостей Angara Technologies Group Ответственный: IT Engineer и Asset Owner  Выполнение корректирующих действий для устранения уязвимостей  Согласованные действия по устранению уязвимостей должны выполнятся в отведенное время по согласованию с владельцем ресурса. Если возникают какие-то проблемы, альтернативные действия должны также должны быть согласованы с владельцем ресурса  Контроль успешности выполнения корректирующих действий  Сотрудник службы безопасности должен отслеживать статус корректирующих действий.
Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Выполнениекорректирующихдействий Начало Работы выполнены успешно? Конец да нет Информация о выполнении корректирующих действий Выполнение корректирующих действий Обсуждение альтернативных вариантов Информация о выполнении корректирующих действий 4 этап
Этап 5. Проверка исправлений Angara Technologies Group Ответственный: Security Officer и Vulnerability Engineer  Повторное техническое сканирование уязвимостей  Анализ результатов сканирования уязвимостей на предмет полноты и достаточности выполненных корректирующих действий  Возврат к Этапу 3 «Определение корректирующих действий» (при выявлении недостаточности выполненных ранее корректирующих действий) Одной из практик проверки исправлений может быть процесс Penetration Testing, который также должен проводится периодически и быть синхронизированным с процессом Vulnerability Management
Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Повторноесканированиеуязвимостей Начало Уязвимости компенсированы? Конец да нет Выполнение повторного сканирования Информация о результатах повторного сканирования Анализ результатов сканирования Информация о результатах повторного сканирования Инициация фазы «Определение корректирующих действий» 5 этап
Vulnerability management Другие процессы
Angara Technologies Group А также не стоит забыть, что все уязвимости являются следствием ошибок на этапе разработки и программирования систем. Поэтому одним из способов минимизации уязвимостей является процесс безопасноq разработки - SDLC
Спасибо за внимание. Ваши вопросы?
Контакты +7 (495) 269-26-06 Angara Professional Assistance 121987, г. Москва, ул. Барклая, д.6, стр. 3, БЦ Барклай Парк info@angaratech.ru Angara Technologies Group 121087, г. Москва, Багратионовский пр-д, д. 7, к.2 БЦ Рубин +7 (495) 269-26-07 support@angaratech.ru www.angaratech.ru

Recommended

Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Tm эксплуатация и управление зис v1.2
Tm эксплуатация и управление зис v1.2Tm эксплуатация и управление зис v1.2
Tm эксплуатация и управление зис v1.2journalrubezh
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 

Recommended

Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Tm эксплуатация и управление зис v1.2
Tm эксплуатация и управление зис v1.2Tm эксплуатация и управление зис v1.2
Tm эксплуатация и управление зис v1.2journalrubezh
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...ЭЛВИС-ПЛЮС
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
Управление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктурыУправление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктурыSerguei Gitinsky
 
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...SQALab
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...Компания УЦСБ
 
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.Компания УЦСБ
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 

More Related Content

What's hot

Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...ЭЛВИС-ПЛЮС
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
Управление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктурыУправление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктурыSerguei Gitinsky
 
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...SQALab
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...Компания УЦСБ
 
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.Компания УЦСБ
 

What's hot (20)

Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
 
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
 
Управление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктурыУправление рисками при эксплуатации ИТ-инфраструктуры
Управление рисками при эксплуатации ИТ-инфраструктуры
 
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
 
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
Реальная защищенность АСУ ТП. Результаты аудитов ИБ.
 

Similar to Vulnerability Management Process - Дмитрий Огородников

3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Building SOC for business: desires and reality
Building SOC for business: desires and realityBuilding SOC for business: desires and reality
Building SOC for business: desires and realityA1 Belarus
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 

Similar to Vulnerability Management Process - Дмитрий Огородников (20)

3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Audit intro
Audit introAudit intro
Audit intro
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Building SOC for business: desires and reality
Building SOC for business: desires and realityBuilding SOC for business: desires and reality
Building SOC for business: desires and reality
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 

Vulnerability Management Process - Дмитрий Огородников

  • 1. www.angaratech.ru Vulnerability Management Process или как не поссорить Петю, Мишу и других сотрудников департаментов ИТ и ИБ в процессе анализа защищенности Дмитрий Огородников
  • 2. Основные определения Angara Technologies Group Недокументированные (недекларированные) возможности Уязвимость Управление уязвимостями Обозначает недостаток в системе, используя который можно намеренно нарушить её целостность и вызвать неправильную работу Возможности программного обеспечения, не отраженные в документации Циклический процесс, включающий непрерывный мониторинг, приоритезацию и устранение уязвимостей в системах Определения 1 2 3 1 2 3
  • 3. Классический подход  Целью анализа защищенности информационных ресурсов является проверка выполнения требований законодательства РФ и внутренних локальных актов по защите информации  Анализ защищенности информационных ресурсов как правило представляет собой разовый процесс, который выполняется обычно не более 1 раза в год (в лучшем случае)  Ответственными и вовлеченными в процесс анализа защищенности в основном являются службы ИБ (в редких случаях привлекаются службы ИТ) Действующие инструкции как правило: • Устанавливают требования по проведению сканирования • Обязанность по исправлению выявленных уязвимостей • Использование конкретных программных продуктов и версий • Используемы метрики оценки – «Количество уязвимостей» Angara Technologies Group
  • 4. В чем проблемы классического подхода? Angara Technologies Group Vulnerability Management ≠ Vulnerability Scanning Периодичность проведения анализа защищенности Вовлеченные службы в процесс анализа защищенности Vulnerability Scanning – используются только программные средства для идентификации уязвимостей в информационной инфраструктуре Vulnerability Management – процесс, который включает в себя как подпроцесс сканирования уязвимостей, так и другие подпроцессы, такие как определение плана сканирования, обработка рисков, формирование корректирующих действий и т.д. При поведении сканирования уязвимостей 1 раз в год, новые уязвимости, которые могут появляться в период между сканированиями, возможно обнаружить только после очередного сканирования уязвимостей Службы ИБ не обладают полной и достаточной информацией о степени критичности всех информационных ресурсов Служба ИБ очень часто не знают, что делает Служба ИТ в информационной инфраструктуре
  • 5. Vulnerability management process Роли и ответственность в процессе
  • 6. Angara Technologies Group Офицер безопасности является владельцем процесса. Он разрабатывает данный процесс и следит за его выполнением на каждом этапе процесса Инженер по сканированию уязвимостей является специалистом по уязвимостям. Он устанавливает порядок проведения сканирования, настройку соответствующих средств и разрабатывает расписание сканирования для различных ИТ ресурсов Владелец информационного ресурса является владельцем сканируемого ресурса со стороны бизнес подразделений. Он принимает решение о исправлении выявленных уязвимостях или о принятие соответствующего риска Инженер информационных систем – инженер ИТ службы, как правило обеспечивающий устранение выявленных уязвимостей
  • 8. Этап 1. Подготовка к сканированию Подготовка к сканированию Angara Technologies Group Ответственный: Security Officer  Определение границ процесса Vulnerability Management. • перечень сканируемых информационных систем – выделенный сегмент сети, информационная система, филиал/отделение. • перечень уязвимостей – только критичные или только те, для которых существуют экспойты или только относящиеся к определенному виду систем/узлов • тип сканирования (внешний/внутренний, глубина сканирования, права доступа и типы учетных записей)  Информирование о процессе владельцев информационных ресурсов и служб ИТ  Разработка плана сканирования (конфигурация сканирования, используемые средства) и согласование его со службой ИТ Общее правило: начинать с ограниченного перечня систем и потенциальных уязвимостей, что бы не быть перегруженными их количеством и совместно отработать все детали процесса. Решение о порядке сканирования и исправлении уязвимостей, бюджете и сроках – принимает владелец актива.
  • 9. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Подготовительныемероприятия Определение процесса сканирования уязвимостей Начало Конец Информирование владельца ИР и инженера ИС Разработка плана сканирования Получение информации о сканировании Получение информации о сканировании 1 этап
  • 10. Этап 2. Сканирование уязвимостей Angara Technologies Group Ответственный: Vulnerability Engineer и IT Engineer  Проведение технического сканирования уязвимостей (VE)  Отслеживание состояния информационных систем при сканировании (ITE)  Регистрация недоступности систем  Регистрация стабильности работы систем  Регистрация снижения производительности систем  Получение результатов сканирования и направление их владельцу ресурса Сферы интересов:  Руководство и служба безопасности - риски, с которыми сталкивается организация в настоящее время. Этот риск включает в себя количество обнаруженных уязвимостей и степень серьезности / риска выявленных уязвимостей.  Владельцы активов – отчет об уязвимостей в системах, за которые они несут ответственность.  ИТ служба - обзор (по технологиям) технической информации об обнаруженных уязвимостях, а также рекомендации по их устранению.
  • 11. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Сканированиеуязвимостей Старт сканирования уязвимостей Начало Проблемы обнаружены Конец да Мониторинг стабильности/ производительности ИС при сканировании Обработка проблем Информация о проблемах Получение результатов сканирования нет Результаты сканирования Результаты сканирования Результаты сканирования Результаты сканирования 2 этап
  • 12. Этап 3. Определение способов устранения Angara Technologies Group Ответственный: Security Officer, IT Engineer и Asset Owner  Анализ выявленных уязвимостей при сканировании  Сотрудник службы безопасности анализирует выявленные уязвимости и определяет связанные с ними риски. Предоставляет информацию по способам устранения данных рисков (выявленных уязвимостях).  Формирование рекомендаций по устранению выявленных уязвимостей  ИТ служба должна проанализировать уязвимости с технической точки зрения и ответит на такие вопросы, как доступны ли обновления ПО, можно ли внести изменения в конфигурации. А также не приведет ли установка определенного обновления к снятию с поддержки ПО производителем.  Обработка рисков, связанных с выявленными уязвимостями  Владельцы активов должны принять риск или подтвердить необходимость устранения уязвимостей. В этом случае, должен быть определен план устранения уязвимостей или, если это невозможно, определение компенсирующих мер по снижению рисков (изоляция узла, изменение режима работы…)  Определение плана корректирующих действий, направленных на устранение уязвимостей  Владельцы активов должны согласовать график обновления своих систем
  • 13. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Определениекорректирующихдействий Анализ уязвимостей Начало Риск принимается? Конец да Определение корректирующих действий Формирование рекомендаций по устранению рисков нет Результаты сканирования План корректирующих действий Анализ уязвимостей и их соотношение с рисками Анализ уязвимостей с технической стороны План корректирующих действий Результаты сканирования Результаты сканирования Формирование рекомендаций в технической части Отказ от процесса (для принятия риска) Конец 3 этап
  • 14. Этап 4. Устранение уязвимостей Angara Technologies Group Ответственный: IT Engineer и Asset Owner  Выполнение корректирующих действий для устранения уязвимостей  Согласованные действия по устранению уязвимостей должны выполнятся в отведенное время по согласованию с владельцем ресурса. Если возникают какие-то проблемы, альтернативные действия должны также должны быть согласованы с владельцем ресурса  Контроль успешности выполнения корректирующих действий  Сотрудник службы безопасности должен отслеживать статус корректирующих действий.
  • 15. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Выполнениекорректирующихдействий Начало Работы выполнены успешно? Конец да нет Информация о выполнении корректирующих действий Выполнение корректирующих действий Обсуждение альтернативных вариантов Информация о выполнении корректирующих действий 4 этап
  • 16. Этап 5. Проверка исправлений Angara Technologies Group Ответственный: Security Officer и Vulnerability Engineer  Повторное техническое сканирование уязвимостей  Анализ результатов сканирования уязвимостей на предмет полноты и достаточности выполненных корректирующих действий  Возврат к Этапу 3 «Определение корректирующих действий» (при выявлении недостаточности выполненных ранее корректирующих действий) Одной из практик проверки исправлений может быть процесс Penetration Testing, который также должен проводится периодически и быть синхронизированным с процессом Vulnerability Management
  • 17. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Повторноесканированиеуязвимостей Начало Уязвимости компенсированы? Конец да нет Выполнение повторного сканирования Информация о результатах повторного сканирования Анализ результатов сканирования Информация о результатах повторного сканирования Инициация фазы «Определение корректирующих действий» 5 этап
  • 19. Angara Technologies Group А также не стоит забыть, что все уязвимости являются следствием ошибок на этапе разработки и программирования систем. Поэтому одним из способов минимизации уязвимостей является процесс безопасноq разработки - SDLC
  • 21. Контакты +7 (495) 269-26-06 Angara Professional Assistance 121987, г. Москва, ул. Барклая, д.6, стр. 3, БЦ Барклай Парк info@angaratech.ru Angara Technologies Group 121087, г. Москва, Багратионовский пр-д, д. 7, к.2 БЦ Рубин +7 (495) 269-26-07 support@angaratech.ru www.angaratech.ru