ЦКИБ

Оценка рисков является одним из ключевых процессов в рамках обеспечения информационной безопасности организации. ЦКИБ Р-Вижн позволяет оценивать как прямые, так и производные риски активов, основываясь на взаимосвязи их атрибутов безопасности. При оценке уровня риска учитывается ценность актива, применяемые в организации средства контроля, а также результаты предыдущих оценок. Организации могут использовать качественные или количественных схемы оценки, выбрав одну из предустановленных методик (простые 3-х уровневые схемы, FAIR, оценка по требованиям РС БР ИББС-2.2-2009, ALE, схема, разработанная специалистами R-Vision) или создав свою собственную. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами. ЦКИБ позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры. В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков. Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.

Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников. Использование ЦКИБ Р-Вижн в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения, отвечающего за информационную безопасность. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах ИБ и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации. Платформа R-Vision содержит набор готовых механизмов реагирования, которые могут быть легко настроены пользователем системы под собственные нужды: правила уведомления, на основании которых система оперативно уведомляет определенных лиц в организации о возникновении инцидента; правила эскалации и назначения, которые по заданным характеристикам инцидентов позволяют автоматически назначать ответственных лиц и состав рабочей группы реагирования на соответствующий инцидент; правила реагирования, которые позволяют определить состав выполняемых действий по инциденту, распределить задачи в группе реагирования, а также в автоматическом режиме выполнить заданные скрипты для сбора релевантной информации. В системе также могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения ИБ в организации. ЦКИБ Р-Вижн поддерживает проведение оценки соответствия по требованиям основных стандартов и лучших практик в области информационной безопасности: ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0-2014, PCI DSS, SWIFT CSP и др. Организации также могут загружать в систему собственные стандарты для проведения аудита. По результатам оценки системой автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов. Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил у специалистов по обеспечению информационной безопасности организации. В качестве решения данной проблемы R-Vision предлагает функционал контрольных проверок. Контрольные проверки позволяют связывать требования различных стандартов, касающиеся смежных аспектов информационной безопасности, а также отслеживать внедрение связанных мер контроля. Последующая оценка контрольных проверок позволяет в автоматическом режиме заполнять формы проведения аудита по соответствующим требованиям.

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечивается консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры, контроль установленного ПО, обнаружение несанкционированного оборудования и внешних подключений, выявление и контроль устранения уязвимостей. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

ЦКИБ Р-Вижн позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документу. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др. Также в рамках системы может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов: электронной почты, программного интерфейса (API), встроенной системы приема сообщений, а также собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других. Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

ЦКИБ Р-Вижн содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности деятельности по обеспечению информационной безопасности в определенной компании. К таким механизмам относятся: конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов; конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки; гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил; настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам. Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций. Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

ЦКИБ Р-Вижн предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down). Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений. Анализ взаимосвязей между элементами системы, способствующий эффективному расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей. Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов. ЦКИБ Р-Вижн содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.