Чем пристальнее смотришь, тем меньше видишь

Alexey Komarov
Alexey KomarovRegional Representative
30.09.2020 Код ИБ Онлайн - Безопасная среда Чем пристальнее смотришь, тем меньше видишь Мониторинг информационной безопасности Промышленная кибербезопасность Алексей Комаров
 https://ZLONOV.ru
@zlonov Содержание О чём будем говорить Термины Новый ГОСТ по мониторингу ИБ Влияние 187-ФЗ Типовые ошибки А может SOC? Не забудьте про ГосСОПКА
@zlonov В широком смысле слова • Мониторинг — система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов экономики. В рамках системы наблюдения происходит оценка, контроль объекта, управление состоянием объекта в зависимости от воздействия определённых факторов. Мониторинг
@zlonov Проект национального стандарта • мониторинг информационной безопасности: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в информационных (автоматизированных) системах. • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» Мониторинг ИБ
@zlonov ПланированиеРазвитие Мониторинг и контроль Реализация •• Анализ результатов функционирования СОИБ •• Разработка корректирующих мероприятий •• Разработка плана мероприятий по обеспечению безопасности •• Анализ угроз •• Управление СрЗИ •• Управление конфигурацией •• Реагирование на инциденты ИБ •• Действия в нештатных ситуациях •• Информирование и обучение персонала •• Контроль выполнения мероприятий по обеспечению защиты информации •• Аудит безопасности Средства управления СрЗИСистема анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрениемер Ликвидация последствийКИ Связь между процессами и технической архитектурой СОИБ
@zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости
@zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Выход 187-ФЗ
@zlonov Референсная модель системы мониторинга ИБ Готовый план создания системы мониторинга 1 2 3 4 • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» https://youtu.be/OGKK58zD0lM?t=204https://youtu.be/OGKK58zD0lM?t=204
@zlonov Из реального доклада Заказчика • >80 тыс. инцидентов для разбора • >140 сценариев выявления инцидентов • >30 типов источников событий • >2700 объектов, охваченных мониторингом • 1 аналитик и 2,4 FTE (Full-Time Equivalent) для сопровождения Ожидание vs Реальность
@zlonov • «Чем больше событий будем собирать, тем больше инцидентов будем выявлять» • Потребуются значительные вычислительные ресурсы • Замусоривание ложными срабатываниями • Трудность актуализации эталонных состояний активов Чем пристальнее смотришь…
@zlonov • Корректное отнесение событий к инцидентам • Корректные «белые списки» для процессов, ПО и подключенных устройств для объектов защиты • Агрегация и корреляция событий («схлопывание» событий в один реальный инцидент ) Чем пристальнее смотришь… …тем меньше видишь
@zlonov • «Оценка активов на регулярной основе не требуется» • Излишний анализ событий со всех объектов, а не только действительно критичных • Отсутствие актуальной информации для обогащения инцидентов • Инфраструктура АСУТП в действительности довольно часто меняется Большое видится…
@zlonov • Своевременна оценка и переоценка активов на всех этапах их жизненного цикла • Грамотный консалтинг на этапе проектирования и внедрения • Максимальное задействование типов источников событий (но не объектов мониторинга!) Большое видится… …на расстоянии
@zlonov • «Единожды внедрённая система мониторинга не требует непрерывного сопровождения и развития» • Рост системных требований у новых версий ПО средств мониторинга • Нужны специфичные знания у персонала • Без сопровождения система быстро деградирует Глаза страшатся…
@zlonov • Выбор многоуровневой иерархической системы • Аутсорсинг процесса мониторинга (полный либо частичный) • Аренда отдельных ключевых компонентов системы мониторинга (Software-as-a-Service) Глаза страшатся… …а руки делают
@zlonov GRC, SOAR, SOC… ГосСОПКА • Процедуры реагирования на инциденты • Процессы отработки выявленных уязвимостей • Расследование инцидентов • Совершенствование системы обеспечения информационной безопасности • Взаимодействие с НКЦКИ Мониторинг - не предел!!!
@zlonov Спасибо!https://ZLONOV.com
1 of 17

Чем пристальнее смотришь, тем меньше видишь

Download to read offline
Technology

Мониторинг информационной безопасности
 Промышленная кибербезопасность

Alexey Komarov
Alexey KomarovRegional Representative

Recommended

Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Expolink
408 views16 slides
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
1.9K views60 slides
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017S-Terra CSP
173 views19 slides
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...КРОК
343 views12 slides
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
6.7K views19 slides
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
7.3K views15 slides

More Related Content

What's hot

What's hot(20)

ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
Вячеслав Аксёнов55 views
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink963 views
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001492 views
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days2.3K views
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Expolink462 views
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 270019K views
GDPR intro GDPR intro
GDPR intro
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001665 views
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 270018.9K views
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 270016.4K views
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700113.4K views
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
pesrox881 views
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов182 views
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge4.4K views
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700115.5K views
РасследованиеРасследование
Расследование
pesrox718 views
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700117.9K views
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
Sergey Borisov3.7K views
пр аналитика Info watch по утечкам информации 2014 04пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 270015.7K views
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 270017.5K views
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
Sergey Borisov3.3K views

Similar to Чем пристальнее смотришь, тем меньше видишь

Similar to Чем пристальнее смотришь, тем меньше видишь(20)

Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Expolink428 views
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
Solar Security231 views
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700120.9K views
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
Alexey Kachalin66 views
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ1.8K views
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
Expolink195 views
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700111.9K views
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security4K views
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 2700116.9K views
Биометрическая система идентификацииБиометрическая система идентификации
Биометрическая система идентификации
Дмитрий Пасков393 views
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
Sergey Borisov7.7K views
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Aleksey Lukatskiy3.6K views
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink420 views
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
Expolink259 views
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
Expolink665 views
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
Security Code Ltd.829 views
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink708 views
Астерит. Марат Хазиев: "Аудит информационной безопасности"Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"
Expolink317 views
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink330 views
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Expolink424 views

More from Alexey Komarov

More from Alexey Komarov(20)

[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
Alexey Komarov327 views
Субъекты КИИ: торопитесь не торопясь!Субъекты КИИ: торопитесь не торопясь!
Субъекты КИИ: торопитесь не торопясь!
Alexey Komarov174 views
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 годаКИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
Alexey Komarov325 views
Трудности реализации требований 187-ФЗ для промышленных предприятий Трудности реализации требований 187-ФЗ для промышленных предприятий
Трудности реализации требований 187-ФЗ для промышленных предприятий
Alexey Komarov1.1K views
Писать или не писать?Писать или не писать?
Писать или не писать?
Alexey Komarov1.3K views
Кибербезопасность 2016-2017: От итогов к прогнозамКибербезопасность 2016-2017: От итогов к прогнозам
Кибербезопасность 2016-2017: От итогов к прогнозам
Alexey Komarov1.3K views
SearchInform strange purchasesSearchInform strange purchases
SearchInform strange purchases
Alexey Komarov4K views
Реестр отечественного программного обеспеченияРеестр отечественного программного обеспечения
Реестр отечественного программного обеспечения
Alexey Komarov3.3K views
Пять причин провести аудит информационной безопасности АСУ ТП в этом годуПять причин провести аудит информационной безопасности АСУ ТП в этом году
Пять причин провести аудит информационной безопасности АСУ ТП в этом году
Alexey Komarov3.7K views
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Alexey Komarov3.3K views
FireEye Современное решение по защите от угроз "нулевого дня"FireEye Современное решение по защите от угроз "нулевого дня"
FireEye Современное решение по защите от угроз "нулевого дня"
Alexey Komarov1.3K views
Advanced MonitoringAdvanced Monitoring
Advanced Monitoring
Alexey Komarov882 views
ViPNet IDS. Система обнаружения компьютерных атакViPNet IDS. Система обнаружения компьютерных атак
ViPNet IDS. Система обнаружения компьютерных атак
Alexey Komarov1.4K views
Краткие сведения о продукте HP ArcSight LoggerКраткие сведения о продукте HP ArcSight Logger
Краткие сведения о продукте HP ArcSight Logger
Alexey Komarov911 views
Экспертный центр безопасности PT ESCЭкспертный центр безопасности PT ESC
Экспертный центр безопасности PT ESC
Alexey Komarov978 views
АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.
АМТ-ГРУП. Центр мониторинга и реагирования на инциденты ИБ.
Alexey Komarov1K views
Ланит. Информационная безопасность.Ланит. Информационная безопасность.
Ланит. Информационная безопасность.
Alexey Komarov1K views
Ланит. Ведомственные и корпоративные центры "ГОССОПКА"Ланит. Ведомственные и корпоративные центры "ГОССОПКА"
Ланит. Ведомственные и корпоративные центры "ГОССОПКА"
Alexey Komarov1.1K views
Центр Мониторинга компьютерных атак и управления инцидентамиЦентр Мониторинга компьютерных атак и управления инцидентами
Центр Мониторинга компьютерных атак и управления инцидентами
Alexey Komarov924 views
ПАК InfoDiodeПАК InfoDiode
ПАК InfoDiode
Alexey Komarov1.1K views

Чем пристальнее смотришь, тем меньше видишь

  • 1. 30.09.2020 Код ИБ Онлайн - Безопасная среда Чем пристальнее смотришь, тем меньше видишь Мониторинг информационной безопасности Промышленная кибербезопасность Алексей Комаров
 https://ZLONOV.ru
  • 2. @zlonov Содержание О чём будем говорить Термины Новый ГОСТ по мониторингу ИБ Влияние 187-ФЗ Типовые ошибки А может SOC? Не забудьте про ГосСОПКА
  • 3. @zlonov В широком смысле слова • Мониторинг — система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов экономики. В рамках системы наблюдения происходит оценка, контроль объекта, управление состоянием объекта в зависимости от воздействия определённых факторов. Мониторинг
  • 4. @zlonov Проект национального стандарта • мониторинг информационной безопасности: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в информационных (автоматизированных) системах. • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» Мониторинг ИБ
  • 5. @zlonov ПланированиеРазвитие Мониторинг и контроль Реализация •• Анализ результатов функционирования СОИБ •• Разработка корректирующих мероприятий •• Разработка плана мероприятий по обеспечению безопасности •• Анализ угроз •• Управление СрЗИ •• Управление конфигурацией •• Реагирование на инциденты ИБ •• Действия в нештатных ситуациях •• Информирование и обучение персонала •• Контроль выполнения мероприятий по обеспечению защиты информации •• Аудит безопасности Средства управления СрЗИСистема анализа и мониторинга состояния ИБ Наложенные и встроенные средства защиты информации Объекты защиты Контроль защищенности Инвентаризация Инциденты Управление СрЗИ Внедрениемер Ликвидация последствийКИ Связь между процессами и технической архитектурой СОИБ
  • 6. @zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 1 • ИБ есть! (внешние требования) • Денег – нет (минимум) • Минимизация CapEx Уровень 2 • Понимание роли и места ИБ в организации • Комплексный подход • Оптимизация TCO Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости
  • 7. @zlonov Традиционная модель зрелости процессов обеспечения ИБ Уровень 0 • Для руководства ИБ не существует • Бюджета нет Уровень 3 • Диалог ИБ и бизнеса • Риск- ориентированный подход Уровень зрелости Выход 187-ФЗ
  • 8. @zlonov Референсная модель системы мониторинга ИБ Готовый план создания системы мониторинга 1 2 3 4 • Проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» https://youtu.be/OGKK58zD0lM?t=204https://youtu.be/OGKK58zD0lM?t=204
  • 9. @zlonov Из реального доклада Заказчика • >80 тыс. инцидентов для разбора • >140 сценариев выявления инцидентов • >30 типов источников событий • >2700 объектов, охваченных мониторингом • 1 аналитик и 2,4 FTE (Full-Time Equivalent) для сопровождения Ожидание vs Реальность
  • 10. @zlonov • «Чем больше событий будем собирать, тем больше инцидентов будем выявлять» • Потребуются значительные вычислительные ресурсы • Замусоривание ложными срабатываниями • Трудность актуализации эталонных состояний активов Чем пристальнее смотришь…
  • 11. @zlonov • Корректное отнесение событий к инцидентам • Корректные «белые списки» для процессов, ПО и подключенных устройств для объектов защиты • Агрегация и корреляция событий («схлопывание» событий в один реальный инцидент ) Чем пристальнее смотришь… …тем меньше видишь
  • 12. @zlonov • «Оценка активов на регулярной основе не требуется» • Излишний анализ событий со всех объектов, а не только действительно критичных • Отсутствие актуальной информации для обогащения инцидентов • Инфраструктура АСУТП в действительности довольно часто меняется Большое видится…
  • 13. @zlonov • Своевременна оценка и переоценка активов на всех этапах их жизненного цикла • Грамотный консалтинг на этапе проектирования и внедрения • Максимальное задействование типов источников событий (но не объектов мониторинга!) Большое видится… …на расстоянии
  • 14. @zlonov • «Единожды внедрённая система мониторинга не требует непрерывного сопровождения и развития» • Рост системных требований у новых версий ПО средств мониторинга • Нужны специфичные знания у персонала • Без сопровождения система быстро деградирует Глаза страшатся…
  • 15. @zlonov • Выбор многоуровневой иерархической системы • Аутсорсинг процесса мониторинга (полный либо частичный) • Аренда отдельных ключевых компонентов системы мониторинга (Software-as-a-Service) Глаза страшатся… …а руки делают
  • 16. @zlonov GRC, SOAR, SOC… ГосСОПКА • Процедуры реагирования на инциденты • Процессы отработки выявленных уязвимостей • Расследование инцидентов • Совершенствование системы обеспечения информационной безопасности • Взаимодействие с НКЦКИ Мониторинг - не предел!!!