В данной заметке я хочу остановиться на ключевом, на мой взгляд, моменте из данного выступления, а именно на взаимосвязи процесса управления событиями с другими процессами управления.
Почему именно взаимосвязи?
Дело в том, что практика показала, что несмотря на идеальную реализацию каждого отдельного компонента системы менеджмента информационной безопасности предприятия (в данном случае каждого отдельного процесса управления), именно от качества взаимосвязей зависит результативность и эффективность работы всей системы. В противном случае мы получаем классическую ситуацию (автор А.И. Райкин):
Я говорю:
- Ребята, кто сшил костюм?
Они говорят:
- Мы!
Я говорю:
- Кто это «мы»?
Они говорят:
- У нас узкая специализация. Один пришивает карман, один - проймочку, я лично пришиваю пуговицы. К пуговицам претензии есть?
- Нет! Пришиты насмерть, не оторвёшь! Кто сшил костюм?
Плюс к этому, стоит отметить, что без наличия взаимосвязей невозможно говорить о системе как таковой, т.к. система – это совокупность взаимосвязанных компонентов.
Несколько лет назад я уже подходил к схожей теме в разрезе методологии ITIL, тогда меня в первую очередь интересовала взаимосвязь в рамках решения задач, связанных с инцидентами (incident), проблемами (problem) и катастрофами (disaster).
Актуальность данный документ не потерял, поэтому публикую его здесь.
Сейчас же в разрезе тематики Центров операционной безопасности (Security Operations Center, SOC) этого уже явно недостаточно. Ключевым недостатком мною любимой методологии ITIL в данном случае является рассмотрение аспектов информационной безопасности в виде одного единственного процесса – Information Security Management. Конечно, если «копать глубже», то ITIL отправляет читателя в международные стандарты серии ISO/IEC 27000, но это другой вопрос.
В связи с этим пришлось декомпозировать, при этом на прошедшем Уральском форуме я бегло этот вопрос затрагивал, отметив, что список процессов управления является открытым и каждое предприятие дополняет его с учетом своих потребностей.
За прошедшее время на базе полученного практического опыта я расширил этот список и сейчас, на мой взгляд, процесс управления событиями имеет следующие взаимосвязи (при этом список по-прежнему остается открытым):
- односторонняя взаимосвязь с процессом управления инцидентами;
- односторонняя взаимосвязь с процессом управления проблемами;
- односторонняя взаимосвязь с процессом управления изменениями;
- односторонняя взаимосвязь с процессом управления соответствия требованиям;
- двухсторонняя взаимосвязь с процессом управления активами;
- двухсторонняя взаимосвязь с процессом управления уязвимостями;
- двухсторонняя взаимосвязь с процессом киберразведки (Threat Intelligence).
Сразу же отмечу, что обратная связь в виде формирования события по результатам или в процессе выполнения действий в рамках других процессов управления не рассматривается (при этом она есть всегда), т.е. считаем, что они к нам попадают опять же через ИТ-инфраструктуру, в противном случае это будет ненаглядно для восприятии.
Что касается наиболее интересных, двухсторонних связей, то здесь «вход» в процесс управления событиями нацелен на обогащение событий сведениями об:
- активах предприятия;
- уязвимостях, присущих активам предприятия;
- индикаторах компрометации (Indicator of Compromise).
Данная информация позволяет приоритизировать финансовые, материальные, трудовые и/или временные ресурсы специалистов по защите информации для выявления (детектирования) действительно реальных инцидентов информационной безопасности (подозрений на них), затрагивающих наиболее критичные активы предприятия, а не распыляться на все подряд.
Успехов при внедрении процесса управления событиями и его встраивании в существующую систему менеджмента информационной безопасности предприятия!
