Руслан Рахметов, ГК «Интеллектуальная безопасность» (бренд Security Vision)

Для банковского сектора обеспечение соответствия требованиям стандартов и регуляторов – сложный, затратный и трудоемкий процесс, который, тем не менее, является одним из столпов информационной безопасности, особенно когда речь идет не о формальном, «бумажном» комплаенсе, а о реальном выполнении требований. Рассказывает Руслан Рахметов, ГК «Интеллектуальная безопасность» (бренд Security Vision).

Основной тренд перехода банковских организаций к реальному обеспечению информационной безопасности задан Центральным банком, который регулярно выпускает актуализированные документы по защите информации в финансовых учреждениях, отвечающие современным кибер-вызовам. Благодаря его законодательным инициативам и обозначился явный переход от формального выполнения требований и стандартов информационной безопасности к риск-ориентированному подходу и минимизации реальных рисков с использованием исчисляемых - измеряемых деньгами - показателей обеспечения информационной безопасности. Наличие такой исчисляемой эффективности инвестиций в ИБ и соответствующий надзор регулятора мотивируют менеджмент организаций кредитно-финансового сектора проводить дополнительную работу по минимизации киберрисков.

Для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ) в организациях с развитой ИТ-инфраструктурой, к которым безусловно относится и большинство банков, применяются ИТ-системы класса SGRC (Security Governance, Risk Management and Compliance). Тремя основными задачами, которые они решают, являются управление ИБ, обеспечение риск-ориентированного подхода к ИБ и соответствие нормам законодательства.

Зачастую SGRC-системы предполагают проведение значительного объема ручной работы: заполнение опросников и анкет, сбор и ввод данных, перевод информации из одного формата в другой (например, при импорте в SGRC-систему сведений из внутренних ИТ-платформ), чек-листы по соответствию требованиям стандартов и др. Однако, даже тщательно собранная и структурированная информация имеет тенденцию устаревать, причем в области ИТ-систем это может произойти сразу же после сбора данных: сервер может быть автоматически переконфигурирован, IP-адрес - поменяться, ПО - обновиться. Поддержка актуальности собранной в SGRC-системе информации - нетривиальное, а главное, трудоемкое мероприятие. Кроме того, при проведении внутреннего (корпоративного) или внешнего аудита (например, государственными органами, уполномоченными в области защиты информации) все запрашиваемые данные нужно будет актуализировать в кратчайшие сроки и представить по определенной форме. Добавим к этому еще и необходимость кропотливо настраивать SGRC-платформу для соответствия реалиям банка-заказчика: перевод всех процессов обеспечения ИБ в формат SGRC-системы может быть продолжительным и потребовать привлечения дополнительных ресурсов - эти траты должны быть обоснованными, а SGRC-система - продуктивной и ежедневно доказывающей свою эффективность.

Отметим, что при этом сами масштабы работы по обеспечению комплаенса в крупных банках огромны, поскольку затрагивают десятки зачастую пересекающихся регуляторных норм и тысячи требований, из которых они совокупно состоят.

Технология роботизации систем класса SGRC - Security Vision a-SGRC (auto-SGRC)

Логичным шагом в дальнейшим развитии систем SGRC является расширение их возможностей в направлении автоматизации и роботизации тех процессов, которые пока еще выполняются в ручном режиме. Мы пошли именно по такому пути, создав технологию роботизации систем класса SGRC - Security Vision a-SGRC (auto-SGRC). Security Vision a-SGRC позволяет автоматизировать/роботизировать функции систем SGRC, ранее выполнявшиеся преимущественно в ручном режиме, а также обеспечить столь необходимую обратную связь, при помощи которой мы можем автоматически корректировать настройки ИТ- и ИБ систем.

Технология Security Vision a-SGRC обеспечивает соответствие нормативным требованиям и внутренним стандартам благодаря следующему функционалу:

• Авто-контроль настроек ИТ/ИБ систем
• Авто-корректировка настроек ИТ/ИБ систем
• Сквозной перерасчет рисков кибербезопасности
• Онлайн аудит по заданным требованиям
• Аналитика и визуализация
• Замена «чек-листов» на роботизацию автопроверок.

С помощью Security Vision a-SGRC достигается автоматизация соответствия таким нормативным требованиям, как, например:

• Банки: ГОСТ Р 57580, 382-П, СТО БР, PCI DSS, 672-П, 683-П, 684-П, 716-П, SWIFT CSCF 2020
• ПДн: 152-ФЗ, GDPR
• КИИ: 187-ФЗ
• НПА ФСТЭК России: Приказы №№ 17, 21, 31, 235, 239
• Управление ИБ: ГОСТ Р ИСО/МЭК 27001-2006, ISO 2700Х, NIST Cybersecurity Framework, NIST Risk Management Framework, SANS CIS Critical Security Controls
• Внутренние требования и стандарты.

Контроль выполнения нормативных требований по защите информации: автоматизация и роботизация

Рассмотрим функционал Security Vision a-SGRC подробно. Итак, одной из основных целей «классических» SGRC-систем является обеспечение Департаментов ИБ инструментами контроля выполнения нормативных требований по защите информации - как внутренних, так и государственных. Для решения этой задачи обычные SGRC-решения предлагают экспортировать данные об ИТ-активах из внутренних систем, далее занести в SGRC-платформу обязательные для выполнения нормы, а затем предполагают ручное проставление оценок выполнения указанных требований. Таким образом, функционал «классических» SGRC-систем предусматривает некоторую долю автоматизации ручного труда и скорее накопление учетных исторических данных, но при этом рутинная нагрузка и бремя ответственности за корректность и актуальность собранных и внесенных данных все равно ложатся на сотрудников подразделений ИБ. Без роботизации действий возникают большие риски возникновения и распространения ошибок, вызванных человеческим фактором.

Решение Security Vision a-SGRC позволяет максимально автоматизировать все перечисленные ручные действия и добавить в процесс интерактивности в виде возможности незамедлительно переконфигурировать ИТ-системы и СЗИ в случае, если их настройки перестали соответствовать заранее заданным критериям и параметрам. Ключевым элементом технологии a-SGRC является сопряжение функций автоматизации действий и сценариев реагирования с классическими функциями SGRC, что позволяет обеспечивать автоматические проверки соответствия стандартам, актуальные и фактические данные для расчёта рисков и основных процессов информационной безопасности. Таким образом, мы не только полностью автоматизируем процесс обеспечения соответствия нормативным документам, но и повышаем уровень реальной, а не «бумажной» безопасности. Кроме того, существенно экономится время при проведении внутренних проверок и аудитов - необходимые отчеты с актуальными сведениями формируются в пару кликов. А актуальные данные становятся важной основой не только в ИБ процессах, но и в сопутствующих ИТ процессах.

Алгоритм практического применения

Мы предлагаем следующий подход к автоматизации процесса на примере обеспечения соответствия нормативным требованиям по защите информации:

1. Создание единого хранилища формализованных и атомизированных требований по обеспечению ИБ: государственные и локальные нормативные акты анализируются на предмет конкретных требований, выполнение которых можно контролировать.

2. Непрерывный и осмысленный сбор актуальной технической информации из ИТ-систем (СЗИ, системы инвентаризации, устройства, ИТ системы) путем подключения к ним напрямую или с помощью выгрузки данных из централизованных хранилищ. Автоматизированный сбор данных позволяет всегда работать только с актуальной и релевантной информацией, полученной из первоисточника. При этом нагрузка на системы не вырастает, проверяется действительный GAP информации. В настоящий момент реализована интеграция с такими, например, системами, как сканеры защищенности (MaxPatrol, RedCheck, Nessus, nmap), системы SIEM (IBM QRadar, ArcSight ESM, Fortinet SIEM, MaxPatrol SIEM, Splunk), межсетевые экраны и системы обнаружения вторжений (Cisco, PaloAlto, FireEye, CheckPoint), антивирусные средства (Kaspersky, Symantec), а также с DLP-системами, средствами управления учетными данными, сетями, конфигурациями и т.д. (постоянно пополняемые списки коннекторов данных: https://www.securityvision.ru/modules/konnektory-k-istochnikam-dannykh/ и коннекторов реагирования: https://www.securityvision.ru/modules/konnektory-reagirovaniya/). Кроме того, для получения данных непосредственно с устройств поддерживаются следующие протоколы и механизмы: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI; механизмы подключения к службам каталогов Active Directory и СУБД Microsoft SQL, MySQL, Oracle, PostgreSQL.

Рисунок 1. Результат сканирования по конкретному активу, загруженный в систему a-SGRC (для увеличения нажите на рисунок)

3. Собранная информация используется для анализа выполнения тех или иных нормативных требований. Например, информация от сканера защищенности, касающаяся примененных групповых политик на устройствах Windows, даст понять, выполняются ли требования к минимальной длине и сложности пароля в домене, а конфигурационный файл сетевого устройства или данные SIEM-системы покажут, есть ли сетевая связность между определенными сегментами ЛВС. Получаемые от устройств и систем данные заносятся в базу a-SGRC, где ставятся в соответствие пунктам совокупных требований комплаенса в автоматическом режиме. Разумеется, есть возможность заполнить чек-лист выполнения требований не только по результатам программного опроса СЗИ и ИТ-систем, но и вручную, что будет полезно в случае отсутствия интеграции с какими-то сервисами. Результаты сравнения реальных фактов (настроек и параметров ПО и устройств) с требуемыми нормативами формируют оценку выполнения требований и отражаются в чек-листах и отчетах, формируемых автоматически и по запросу пользователей системы.

Рисунок 2. Карточка несоответствия, выявленного автоматическим образом (для увеличения нажите на рисунок)

4. В случае, если настроено автоматическое устранение выявленных нарушений нормативных требований, система a-SGRC отправляет на конкретное устройство или СЗИ команду для изменения их настроек, параметров, режима работы. Например, если по каким-то причинам на устройстве в защищенном сегменте был открыт новый сетевой порт или разрешен небезопасный протокол, на него будет отправлена команда для «отката» сделанных изменений.

Кроме этого, можно, например, контролировать права доступа пользователей в компании путем анализа и своевременного редактирования состава групп безопасности в Active Directory, а неустраненные уязвимости ОС и список несогласованного ПО передавать в автоматическом режиме на обработку в Департамент ИТ через систему Help Desk. Для обеспечения интеграции с максимально широким списком устройств на удаленных системах поддерживается работа следующих интерпретаторов: *nix Bash, Windows PowerShell, Batch, cmd, Java, Javascript, Python, REST-запросы, SNMP, SOAP; также могут быть выполнены запросы к базам данных MS SQL, MySQL, Oracle, PostgreSQL.

5. Информация о выявленных несоответствиях нормативным требованиям агрегируется в системе и доступна как на онлайн-дашбордах, так и в виде отчетов. Есть возможность в режиме реального времени вывести аналитику по тенденциям изменения состояния соответствия, текущий процент и уровень выполненных требований, статусы назначенных задач по приведению систем в соответствие требованиям.

Рисунок 3. Пример вывода информации (для увеличения нажите на рисунок)

6. В случае, когда компании предстоит пройти внутреннюю или внешнюю проверку, используется функционал предоставления аудиторских данных, которые включают в себя как отображение текущей нормативной базы и состояния соответствия, так и историю предыдущих проверок, вынесенных замечаний и устраненных недостатков, а также дополнительную релевантную информацию (списки ответственных сотрудников, данные систем, заявки на предоставление доступа и т.д.).

Заключение

Технология Security Vision a-SGRC фактически роботизирует контроль соответствия требованиям безопасности в режиме реального времени, обеспечивая автоматизацию рутинных действий Департаментов ИБ путем интеграции с различными ИТ-системами и средствами защиты для их оперативного переконфигурирования и контроля. Функционал аналитики и визуализации поможет руководителям видеть актуальное состояние выполнения требований законодательных норм, а аудиторский интерфейс будет полезен во время проведения как внутренних, так и внешних проверок.