тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Информационная безопасность за 10 минут: с чего начать

By 20.01.2025 Информационная безопасность 0 Comments

Информационная безопасность за 10 минут: с чего начать

А вот и заключительная часть анализа критических элементов управления безопасностью (CIS.14 – CIS.18) от Центра безопасности в Интернете (CIS).

  • Часть 1, CIS.1-CIS.6 — инвентаризация активов, защита данных, управление ПО, конфигурациями и учётными записями.
  • Часть 2. CIS.7-CIS.13 — защита от вредоносного ПО, восстановление данных, управление уязвимостями, логами, сетевой инфраструктурой.

Сегодня поговорим о заключительных, но не по важности, элементах управления безопасностью:

  • CIS.14 — Обучение и развитие ИБ-навыков у команды
  • CIS.15 — Контроль безопасности поставщиков ИТ-услуг
  • CIS.16 — Безопасность прикладного ПО
  • CIS.17 — Инцидент-менеджмент
  • CIS.18 — Тестирование на проникновение

CIS.14 – Обучение и развитие ИБ-навыков у команды

Цель этапа — научить сотрудников распознавать и реагировать на потенциальные угрозы, свести к минимуму человеческий фактор как слабое звено в защите организации.

Шаг 1. Разрабатываем программу обучения

  1. Определяем цели. Например, обеспечить понимание угроз и принципов безопасного поведения или научить сотрудников распознавать и предотвращать атаки.
  2. Делим сотрудников на группы по функциям (например, ИТ-специалисты, офисные сотрудники, руководители), чтобы адаптировать обучение к их ролям.
  3. Разрабатываем учебные модули. Среди основных тем могут быть:
    • Фишинг и социальная инженерия.
    • Безопасное использование электронной почты и интернета.
    • Работа с конфиденциальной информацией.
    • Управление паролями и MFA.
    • Реагирование на подозрительные действия.
    • Для ИТ-команд:
      • Углубленные знания об управлении уязвимостями.
      • Противодействие кибератакам (например, DDoS, вредоносное ПО).
  4. Включаем нормативные требования. Например, практически все компании обязаны соблюдать требования 152-ФЗ «О персональных данных». О том, как и чему обучать сотрудников в рамках этого закона — рассказывали здесь.

Важно учесть формат — он должен вовлекать в процесс обучения. Используем разнообразные методы — онлайн, очное, интерактивные материалы. Обязательно практикуемся — проводим симуляции атак. Готовим справочные материалы — презентации, инструкции и чек-листы.

Также не забываем про:

  • Регулярность обучений.
  • Систему мотивации — сотрудников нужно заинтересовать.
  • Оценку эффективности обучения.
  • Периодическое обновление программы.

CIS.15 – Контроль безопасности поставщиков ИТ-услуг

Мы уже не раз упоминали, что выбор поставщика ИТ-услуг в соответствии с требованиями к безопасности — это ответственность компании. Так, если провайдер, чьи ресурсы покупают для обработки и хранения персональных данных, не соблюдает требования 152-ФЗ — ответственность, в том числе, административная и уголовная, будет лежать на компании, которая выбрала этого провайдера.

Поговорим о том, по каким критериям выбирать поставщика, что учесть при соглашении о сотрудничестве и как контролировать ИБ.

Шаг 1. Выбираем поставщика

Поставщиков нужно оценить на предмет соответствия требованиям безопасности.

Запрашиваем сертификаты, аудиторские отчеты, аттестаты. Проверяем:

  1. Наличие политики информационной безопасности.
  2. Используемые меры защиты (например, шифрование, контроль доступа).
  3. Процедуры управления инцидентами.
  4. Соответствие нормативным требованиям. Например, ЦОД поставщика обязан находиться на территории РФ. Подробно обо всех нормативных требованиях безопасности к ЦОДам рассказывали здесь. А о требованиях к обработке, хранению и защите данных в облаке — здесь.
  5. Если возможно, выполняем пентест или аудит их систем.

Шаг 2. Заключаем договор

  1. Включаем требования ИБ в договор:
    • Защита конфиденциальной информации.
    • Уведомление об инцидентах в установленные сроки.
    • Ограничение доступа к данным на уровне необходимости.
    • Использование шифрования для передачи и хранения данных.
  2. Устанавливаем штрафы или другие последствия за утечку данных, нарушение безопасности или несоответствие требованиям.
  3. Указываем, как поставщик должен уничтожить или вернуть данные после завершения сотрудничества.

Шаг 3. Обеспечиваем мониторинг и управление поставщиками

После заключения договора важно обеспечить постоянный контроль за поставщиком.

  1. Настраиваем инструменты для отслеживания активности поставщиков в системах (например, доступ к данным, изменения конфигураций).
  2. Регулярно проверяем, что поставщики обновляют свои меры защиты в соответствии с новыми требованиями регуляторов.
  3. Применяем принцип минимальных привилегий: предоставляем доступ только к тем системам, которые необходимы для выполнения задач.

При завершении контракта важно убедиться, что все данные остаются под вашим контролем.

  1. Поставщик должен уничтожить или вернуть все данные, которые обрабатывал.
  2. Удаляем или меняем все учётные записи, пароли и доступы, предоставленные поставщику.

Если уже сотрудничаем с поставщиками:

  1. Создаем перечень поставщиков и указываем типы предоставляемых услуг — хостинг, техническая поддержка и т.д. Определяем уровень риска для каждого:
    — Высокий: с доступом к конфиденциальной информации.
    — Средний: поставщики с ограниченным доступом.
    — Низкий: без доступа к критическим данным.
  2. Определяем области взаимодействия — какие системы, данные и процессы задействованы в сотрудничестве.
  3. Проводим аудит ИБ согласно пунктам, перечисленным выше.

CIS.16 – Безопасность прикладного ПО

Цель этого этапа — обеспечить безопасность прикладного ПО на всех этапах жизненного цикла — от разработки до эксплуатации.

Шаг 1. Внедряем принципы безопасной разработки

  1. Обучаем разработчиков — например, основам OWASP Top 10, методам предотвращения уязвимостей.
  2. Используем подход DevSecOps, интегрируем инструменты и принципы ИБ в каждую фазу процесса разработки: от проектирования до развертывания.
  3. Минимизируем ошибки: заранее включаем меры защиты (например, HTTPS, шифрование, строгая аутентификация).
  4. Анализируем потенциальные угрозы и уязвимости приложения на этапе проектирования.

Шаг 2. Управляем исходным кодом

Контроль над исходным кодом помогает избежать внедрения уязвимостей.

  1. Используем системы контроля версий. Например, Git, SVN, чтобы отслеживать изменения в коде.
  2. Используем инструменты статического анализа (SAST) для выявления уязвимостей на уровне кода.
  3. Включаем обязательные проверки кода перед слиянием (Pull Request) с использованием SAST.
  4. Применяем принцип минимальных привилегий для разработчиков.

Шаг 3. Тестируем безопасность приложений

Тестирование позволяет выявить уязвимости до развертывания.

  1. Выполняем динамический анализ (DAST) для тестирования приложений в реальном времени.
  2. Реализуем интерактивное тестирование (IAST), интегрируем инструменты, анализирующие код во время выполнения.
  3. Проводим тестирование на проникновение.
  4. Настраиваем CI/CD-пайплайны для автоматического запуска тестов безопасности при каждом изменении кода.

Шаг 4. Шифруем данные

Шифрование помогает защитить данные от несанкционированного доступа.

  1. На уровне хранения (data-at-rest). Используем алгоритмы AES-256 или эквивалентные для хранения данных в зашифрованном виде.
  2. При передаче (data-in-transit). Настраиваем HTTPS/TLS для защиты трафика.
  3. Храним ключи шифрования в защищённых системах (например, HSM или KMS) и регулярно обновляем.

И, разумеется, внедряем мониторинг, управляем доступом, компонентами и библиотеками.

CIS.17 – Инцидент-менеджмент

Цель на этом этапе — своевременное обнаружение, анализ и реагирование на инциденты ИБ.

Шаг 1. Создаем программу инцидент-менеджмента

Для начала формализуем процессы и назначаем ответственных.

  1. Разрабатываем политику управления инцидентами.
    • Определяем, что считается инцидентом — например, нарушение конфиденциальности данных, сбои в работе систем, выявление вредоносного ПО.
    • Устанавливаем этапы инцидент-менеджмента: обнаружение, анализ, реагирование, восстановление, предотвращение.
  2. Создаём план реагирования на инциденты (IRP) — документируем действия для каждого типа инцидента, определяем роли и ответственность сотрудников, вовлечённых в процесс.
  3. Формируем команду реагирования на инциденты (CSIRT).

Шаг 2. Оцениваем инцидент

После обнаружения (мо-ни-то-ринг!) инцидента важно быстро понять его природу и уровень критичности.

  1. Классифицируем, например:
    • Критические: утечка данных, компрометация системы, атаки на инфраструктуру.
    • Умеренные: заражение вредоносным ПО, сбои в работе приложения.
    • Незначительные: подозрительные действия, которые не повлияли на функционирование.
  2. Анализируем причины. Помогут лог-файлы, данные из SIEM и отчёты систем защиты.
  3. Оцениваем, какие данные или системы затронуты, и потенциальные последствия для бизнеса.

Шаг 3. Реагируем

  1. Изолируем системы, на которых произошёл инцидент, чтобы предотвратить дальнейшее распространение угрозы.
  2. Нейтрализуем угрозу.
  3. Применяем меры. Например, отключаем уязвимые сервисы, закрываем доступ к сети для подозрительных IP-адресов.
  4. Уведомляем заинтересованные стороны.
  5. Восстанавливаем системы из резервных копий, проверяем работоспособность.

6. Документируем и анализируем

  1. Создаём подробный отчёт о происшествии — описание инцидента, его причину, меры и рекомендации по предотвращению.
  2. Сохраняем журналы событий, скриншоты и другую информацию для анализа или возможных юридических действий.
  3. Организовываем встречу с участниками процесса для обсуждения уроков, извлечённых из ситуации. Вносим корректировки в процессы для предотвращения подобных инцидентов.

CIS.18 – Тестирование на проникновение

Здесь будем выполнять симуляцию реальных атак на ИТ-инфраструктуру для выявления уязвимостей и оценки эффективности текущих мер безопасности.

Это проактивный способ выявления слабых мест до того, как их смогут использовать злоумышленники.

Шаг 1. Планируем пентест

  1. Определяем цели тестирования — например, оценить безопасность сети, проверить защиту данных, выявить уязвимости в веб-приложении.
  2. Выбираем тип тестирования:
    • Black Box — тестировщики не имеют предварительной информации о системе (симуляция внешнего злоумышленника).
    • White Box — тестировщики имеют доступ ко всем внутренним данным и структурам (глубокий анализ).
    • Gray Box — частичный доступ к информации о системе.
  3. Определяем, какие системы и компоненты будут включены в тестирование — веб-приложения, сети и инфраструктура и т.д.
  4. Определяем ограничения и условия:
    • пентест не должен повлиять на производственные системы.
    • запрещенные действия (например, тестирование DoS).
  5. Назначаем ответственных.

2. Разведка

Сбор информации о цели — это первый этап активного тестирования.

  1. Проводим пассивную разведку. Используем общедоступные источники для сбора информации: Whois-запросы, DNS-записи.
  2. Переходим к активной — сканируем открытые порты, службы и операционные системы.
  3. Картируем инфраструктуру — определяем взаимодействия между компонентами, чтобы понять, где могут быть уязвимости.

Шаг 3. Анализируем уязвимостей

После сбора данных приступаем к поиску и анализу уязвимостей. Используем инструкцию в CIS.7.

Шаг 4. Эксплуатируем уязвимости

Здесь проводим симуляцию атак для проверки реальных возможностей использования уязвимостей.

  1. Используем инструменты эксплуатации — Metasploit, Cobalt Strike и т.д. для проверки уязвимостей.
  2. Проверяем защиту учётных записей: подбор паролей (Brute Force) и атаки на многофакторную аутентификацию.
  3. Тестируем веб-приложения на наличие SQL-инъекций, XSS, RCE (удалённое выполнение кода).
  4. Проверяем, могут ли обычные пользователи получить доступ к административным функциям или конфиденциальным данным.

Шаг 5. Анализируем риски, устраняем уязвимости

После эксплуатации оцениваем влияние обнаруженных уязвимостей.

  1. Анализируем последствия атак — как использование уязвимостей может повлиять на конфиденциальность, целостность и доступность систем.
  2. Строим сценарий, показывающий, как злоумышленники могут использовать несколько уязвимостей.

Готовим отчет.

  1. Описываем процесс тестирования.
  2. Оформляем результаты. Создаем разделы для обнаруженных уязвимостей, их критичности и возможного воздействия.
  3. Для каждой уязвимости предлагаем конкретные меры по её устранению.
  4. Указываем приоритеты исправлений и сроки выполнения.

Устраняем уязвимости и проводим повторное тестирование.

Мы рассмотрели 18 критических элементов управления безопасностью дали пошаговые рекомендации по работе с ними. Их можно использовать как для выстраивания ИБ с 0, так для усиления защиты, которая есть сегодня.

Или же можно делегировать все вопросы, связанные с ИБ, нам — просто заполните форму.