Как управлять процессами в инфобезе: часть 1. Используем ITIL
Киберустойчивость — неотъемлемое качество бизнеса в современных реалиях. Чтобы её достичь необходимо не только внедрять современные технологии, новые продукты и решения, но и грамотно управлять внутренними и внешними процессами. В этом помогают ИТ-методологии — в частности, ITIL и COBIT.
Меня зовут Ольга Агешина, я ИТ-консультант Innostage, и я расскажу о том, как популярные ИТ-методологии могут применяться в ИБ, а также на примере разберу их внедрение в конкретные процессы. В этой статье остановимся на ITIL, а в следующей — разберу COBIT.
О методологии
ITIL (Information Technology Infrastructure Library) — набор лучших практик и рекомендаций в области управления информационными технологиями, разработанный для оптимизации процессов предоставления ИТ-услуг. Методология ориентирована на создание стандартов и подходов, которые позволяют организациям эффективно управлять своей инфраструктурой, сервисами и процессами ИТ.
Назначением методологии является предоставление организациям всестороннего и комплексного руководства для управления ИТ в современной сервисной экономике.
Процесс управления ИБ-рисками через ITIL на примере конкретной компании
Процесс управления рисками по ITIL нацелен на идентификацию, анализ и управление рисками, связанными с ИТ-услугами и инфраструктурой, чтобы минимизировать их негативное воздействие на бизнес.
Для нашего кейса возьмем условную компанию из финансового сектора, например, средний банк. Последнее время бизнес сталкивается с увеличением числа инцидентов, связанных с непредсказуемыми ИТ-рисками, такими как кибератаки, сбои оборудования и ошибки в ПО. Эти инциденты приводили к значительным финансовым потерям и подрывали доверие клиентов.
Нам необходимо внедрить структурированный процесс управления рисками на основе ITIL для улучшения идентификации, оценки и управления рисками, связанными с ИТ-инфраструктурой и услугами.
Шаг 1. Идентификация рисков
Первое — нужно создать комплексный реестр, включающий все возможные риски ИБ, связанные с ИТ-инфраструктурой, данными и сервисами. Для этого есть два способа:
Мозговые штурмы с участием представителей всех ключевых отделов, включая ИТ, безопасность, финансы и юридический отдел.
Инструменты для систематической идентификации внутренних и внешних рисков, например, SWOT-анализ и PEST-анализ.
Какие риски это могут быть?
Кибератаки. Сюда относятся фишинг, атаки с использованием вредоносного ПО, DDOS-атаки.
Угрозы внутреннего происхождения — вызванные действиями сотрудников, намеренными (например, шпионаж) или ненамеренные (например, отправка конфиденциальной информации не тому получателю).
Нарушение конфиденциальности данных. Утечки персональных данных клиентов или компрометация финансовой информации.
Уязвимости в программном обеспечении: сюда, например, относятся уязвимости нулевого дня.
Неправомерное использование прав доступа: лишние права у рандомных пользователей, Использование слабых паролей, отсутствие многофакторной аутентификации (MFA), что увеличивает риск несанкционированного доступа.
Риски, связанные с поставщиками и партнерами — этот вектор атак активно растёт последнее время, например, вот исследование нашего Innostage SOC CyberART.
Нарушение законодательств о кибербезопасности и зашите данных. Сюда, например, входит неисполнение Указа № 250 Президента РФ об импортозамещении ПО у объектов КИИ.
В результате получаем полный и всесторонний реестр рисков, который поможет в разработке стратегий для их минимизации.
Шаг 2. Оценка рисков
Для каждого идентифицированного риска проведем оценку, включающую:
Оценку вероятности — как часто может возникать каждый риск.
Оценку воздействия — возможные последствия рисков для бизнеса, включая финансовые, репутационные и юридические.
Создание матрицы рисков позволит компании определить, какие риски наиболее критичны и требуют немедленного внимания.
Риск | Вероятность | Воздействие | |
Фишинговые атаки | Высокая | Среднее | Часто встречаются и могут привести к утечке данных или установке вредоносного ПО. Финансовые и репутационные потери могут быть значительными. |
Вредоносное ПО | Высокая | Высокое | Широко распространены и могут привести к значительным финансовым потерям, утечке данных и нарушению работы систем. |
DDoS-атаки | Средняя | Высокое | Не так часты, но могут существенно нарушить доступность сервисов, что приведет к потерям и репутационному ущербу. |
Злонамеренные действия сотрудников | Низкая | Высокое | Случаются реже, но могут иметь разрушительные последствия для финансовой и репутационной стабильности компании. |
Непреднамеренные действия сотрудников | Средняя | Среднее | Ошибки сотрудников довольно часты и могут привести к утечкам данных или сбоям в работе систем. |
Утечки персональных данных клиентов | Средняя | Высокое | Часты, особенно в финансовом секторе, и могут привести к серьезным юридическим и репутационным последствиям, а также значительным штрафам. |
Компрометация финансовой информации | Средняя | Высокое | Утечка финансовой информации может привести к серьезным финансовым потерям и репутационному ущербу. |
Уязвимости в программном обеспечении | Низкая | Высокое | Случаются редко, но их использование может привести к значительным повреждениям системы и утечкам данных. |
Неправильное управление привилегиями | Средняя | Среднее | Могут привести к утечке данных или нарушению безопасности, что влечет за собой финансовые и репутационные потери. |
Слабая аутентификация и авторизация | Средняя | Высокое | Уязвимость аутентификации может позволить злоумышленникам получить доступ к критическим системам и данным. |
Риски, связанные с поставщиками и партнерами | Средняя | Среднее | Поставщики могут стать источником утечек данных или других инцидентов, влияющих на компанию. |
Нарушение нормативных требований | Низкая | Высокое | Несоблюдение может привести к крупным штрафам и юридическим последствиям, что значительно повлияет на репутацию. |
Эта оценка позволяет определить приоритетные риски, на которые нужно обратить внимание в первую очередь.
Шаг 3. Разработка и внедрение мер управления рисками
Есть четыре основных меры для управления риска:
Избежание, то есть исключение рисков путем изменения процессов или технологий. Например, отказ от использования устаревших систем с известными уязвимостями.
Снижение. Внедрение дополнительных мер безопасности, таких как улучшение систем аутентификации, регулярное обновление ПО и повышение уровня обучения сотрудников.
Передача. Использование страхования и аутсорсинга для снижения финансовых потерь от определенных рисков.
Принятие. Принятие рисков, которые невозможно избежать или уменьшить до приемлемого уровня.
Разберем меры для части рисков, которые мы оценили в прошлом пункте.
Фишинговые атаки
Для снижения риска необходимо внедрить программы обучения сотрудников по кибербезопасности, использовать антифишинговые фильтры в почте и регулярно проводить тесты на фишинг.
Вредоносное ПО
Снижаем риск за счет использования антивирусного ПО и средств обнаружения угроз. Регулярно обновляем ПО и контролируем загрузки файлов на доменных машинах.
Непреднамеренные действия сотрудников
Почти в 80% инцидентов ИБ виноват человеческий фактор, так что этот риск актуален всем компаниям. Снижаем за счет регулярных киберучений, внедряем дополнительные процедуры контроля. Также можно автоматизировать рутинные процессы, чтобы было меньше ошибок.
Риски, связанные с поставщиками и партнерами
Эксперты Innostage SOC CyberART говорили о двукратном росте атак через вектор «компрометация подрядчика» в первом полугодии 2024 года по сравнению с аналогичным периодом прошлого года.
Снизить риск можно за счет регулярных аудитов поставщиков и использования договоров об уровне обслуживания. Можно также требовать подтверждения кибербезопасности процессов подрядчика, например, через программы багбаунти или открытых кибериспытаний.
Принятие риска
Некоторые риски, такие как редкие уязвимости нулевого дня или редкие случаи сбоев в работе критических систем, могут быть приняты, если они считаются минимальными и стоимость их снижения не оправдана.
Эти меры позволят компании более эффективно управлять ИТ-рисками, минимизируя их влияние на бизнес и повышая уровень защиты информационных систем и данных.
Шаг 4. Мониторинг и отчетность
Для обеспечения постоянного контроля за рисками внедрим систему мониторинга, включающую:
Регулярные аудиты и проверки эффективности принятых мер.
Использование ключевых показателей эффективности для оценки эффективности управления рисками.
Регулярную отчетность для руководства компании и заинтересованных сторон.
Исходя из этого, получаем список инструментов, которые необходимо внедрить нашему бизнесу.
Системы управления событиями и информацией безопасности (SIEM), чтобы обеспечить центральный мониторинг и корреляцию событий безопасности.
Системы управления уязвимостями (Vulnerability Management) для регулярного сканирования ИТ-инфраструктуры на предмет уязвимостей и управления их устранением.
Системы управления инцидентами безопасности для организации эффективного реагирования на инциденты и минимизации их последствий, обеспечивая структуру и отчетность.
Эти три класса инструментов обеспечат базовый уровень защиты, мониторинга и управления рисками. После их внедрения уже можно расширять инструментарий и добавить такие решения, как IRP или SOAR для автоматизации реагирования на инструменты или IAM для управления доступами и привилегиями.
Процесс управления рисками не статичен и требует постоянного улучшения. Для этого:
проводятся регулярные пересмотры реестра рисков и матрицы рисков.
учитываются изменения в бизнес-среде и технологическом ландшафте.
совершенствуются процедуры реагирования на инциденты и меры по снижению рисков.
Результаты
Любой процесс внутри компании необходимо оценивать в метриках, качественных и количественных. Для нашей ситуации показателями эффективности станет, например, количество ИБ-инцидентов и финансовые потери от них. Качественной метрикой может стать осведомленность сотрудников о рисках, которую можно оценить по итогам тестирования или учебных проверок на условный фишинг.
В этом материале я постаралась подробно разобрать, как внедряется один из ключевых ИБ-процессов в компании на основе методологии ITIL. Скоро выпустим второй материал — о методологии COBIT и ее особенностях использования. А пока готова ответить на ваши вопросы и комментарии — и подискутировать, насколько ITIL актуален для ИБ-процессов.