Информационная безопасность: цель и нюансы мониторинга
Дата публикации: 17.04.2024
На сегодняшний день постоянный рост количества киберугроз – объективная реальность. Причин повышения активности и мастерства злоумышленников много – от развития ИТ-технологий и использования технологий искусственного интеллекта до обострения геополитической ситуации. Угрозы проявляются по-разному. Это проникновение в ИТ-инфраструктуру компаний с целью хищения информации, распространение вредоносного программного обеспечения, несанкционированный доступ. Киберпреступники используют вирусы-шифровальщики, проводят все более и более масштабные DDoS-атаки, не пренебрегают методиками психологического содержания. В новостные ленты попадают самые крупные взломы и атаки, тогда как о большинстве менее громких киберинцидентов широкая общественность даже не догадывается.

Негативные тенденции в сфере информационной безопасности не остались без внимания государственных органов. Нормативные акты, регламентирующие защиту критической информационной инфраструктуры и персональных данных, существуют в России уже давно. В мае 2022 года перечень законов, призванных усилить уровень киберзащищенности, пополнился Указом Президента РФ №250. С вступлением в силу этого документа на руководство ряда компаний была возложена индивидуальная ответственность за обеспечение информационной безопасности.

Существует ряд факторов, влияющих на возможность проникновения злоумышленников в ИТ-инфраструктуру компаний. В их число входят:

  • Уязвимости. «Слабые места» в ОС, устройствах и / или программном обеспечении, используемом в компании. Используя уязвимости, хакеры могут получить доступ к серверам, базам данных, значимой и конфиденциальной информации.
  • Недостатки в безопасности веб-приложений, сайтов, сети. Воспользовавшись этими «брешами» в киберзащите компании, преступники способны проникать в систему, нарушать ее целостность, похищать данные с целью публикации или иных противоправных действий.
  • Социальная инженерия. В основном используется для того, чтобы обманом выманить у пользователя данные для доступа в систему, к банковским данным, счетам и иной ключевой информации.

Зачем проводят мониторинг информационной безопасности

Последствия киберинцидента (проникновения, взлома, похищения данных) с точки зрения пострадавшей компании могут быть самыми печальными. Это финансовые, репутационные и иные потери, компенсировать которые зачастую непросто. 

Чтобы минимизировать риск киберинцидента, важно обладать достоверной информацией о текущем состоянии информационной безопасности в компании, располагать данными об уязвимостях и принимать меры по усилению защищенности. Мониторинг информационной безопасности нужен как раз для того, чтобы проанализировать уровень безопасности ИТ-инфраструктуры, выявить следы ранее произошедших инцидентов и предотвратить будущие инциденты. Этот процесс осуществляется непрерывно и позволяет эффективно противостоять вирусным / хакерским атакам, утечкам и иным угрозам (в том числе повышенной сложности).

Услуги мониторинга необходимы компаниям любых масштабов и рода деятельности, которые осуществляют хранение и обработку конфиденциальных данных, в том числе персональных. При этом стоит учитывать, что особой «популярностью» среди преступников пользуются учреждения финансовой сферы, ИТ-компании, страховщики, органы государственной власти.

По сути компания доверяет экспертам специализированной компании следующие задачи:

  • круглосуточный непрерывный мониторинг информационной безопасности;
  • отслеживание событий в сети компании;
  • информирование уполномоченных представителей компании о любых киберинцидентах, подозрительной активности и иных значимых событиях;
  • реагирование на инциденты и их ликвидация (опционально).

Если компания является субъектом критической информационной инфраструктуры, то в комплексную услугу по мониторингу информационной безопасности можно включить отправку данных о киберинцидентах в ГосСОПКА. 

Состав и краткое описание услуги «Мониторинг информационной безопасности»

Мониторинг осуществляется компаниями, имеющими лицензию ФСТЭК. Для отслеживания и контроля используют современные ИТ-решения. В состав услуги входят следующие элементы:

  1. Проектирование технических решений с учетом индивидуальных особенностей ИТ-инфраструктуры компании-заказчика, ее бизнес-процессов и потребностей, также принимаются во внимание финансовые возможности заказчика.

  2. Настройка и адаптация средств мониторинга под нужды и запросы компании-заказчика. На этом же этапе сетевой трафик перенаправляется в Центр мониторинга.

  3. Добавление источников событий в настроенную систему мониторинга. В качестве источников могут быть обозначены ОС, специализированное ПО, сетевые устройства, межсетевые экраны и иные элементы ИТ-инфраструктуры компании-заказчика.

  4. Организация постоянного и бесперебойного сбора информации о киберинцидентах.

  5. Проведение обучения персонала компании-заказчика, в том числе путем организации киберучений и имитации атак злоумышленников.

  6. Анализ зарегистрированных инцидентов. Для проведения аналитической работы используются элементы ИИ, проводится их корреляция, происшествия ранжируют по степени риска и иным значимым параметрам. Обеспечивается реагирование на те киберинциденты, которые относятся к категории критических.

Все перечисленные меры в комплексе позволяют своевременно обнаружить подозрительную активность и оперативно принять меры по недопущению распространения вектора атаки. Таким образом, атака купируется на раннем этапе либо предпринимаются шаги по ее локализации и минимизации последствий.

Заключение

Главное преимущество мониторинга информационной безопасности заключается в том, что это – мера превентивной защиты данных. Грамотно выстроенная система мониторинга позволяет снизить до минимума вероятные убытки в случае киберинцидентов, обеспечить безопасность ключевой информации с сохранением ее конфиденциальности, целостности и доступности. Кроме того, привлечение сторонних экспертов к проведению мониторинга позволяет снизить нагрузку на собственные ИБ-подразделения компании и сэкономить на найме и постоянном содержании в штате специалистов с высокой квалификацией.





Часто задаваемые вопросы

Каковы главные цели информационной безопасности в организации?
Главная цель информационной безопасности — обеспечить защиту информации и ИТ-инфраструктуры компании, сохранив три ключевых свойства данных: конфиденциальность (доступ только у уполномоченных лиц), целостность (данные не изменены несанкционированно) и доступность (информация и системы доступны, когда это необходимо). Достигается это по трём направлениям: предотвращение киберинцидентов, своевременное выявление угроз и реагирование на них в режиме реального времени, а также минимизация ущерба от атак, которые всё же произошли. Поскольку число и сложность киберугроз постоянно растут — в том числе из-за использования злоумышленниками технологий ИИ — достижение этих целей требует непрерывного совершенствования системы защиты, а не разовых мер.
Зачем компании нужен мониторинг информационной безопасности 24/7?
Мониторинг информационной безопасности в режиме 24/7 необходим потому, что киберугрозы не имеют расписания: атаки шифровальщиков, DDoS и попытки несанкционированного доступа происходят в любое время суток, включая выходные и праздники. Непрерывный мониторинг позволяет анализировать текущее состояние защищённости ИТ-инфраструктуры, выявлять следы уже произошедших инцидентов и предотвращать будущие атаки на самом раннем этапе — до того как злоумышленник закрепится в системе и нанесёт реальный ущерб. Мониторинг включает круглосуточное отслеживание событий в корпоративной сети, оперативное уведомление ответственных лиц о подозрительной активности и — при необходимости — реагирование на инциденты и их ликвидацию.
Что такое ГосСОПКА и обязаны ли субъекты КИИ передавать в неё данные?
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России. Субъекты критической информационной инфраструктуры (КИИ) обязаны передавать в ГосСОПКА сведения о произошедших киберинцидентах в соответствии с требованиями 187-ФЗ и нормативными актами ФСБ. Для этого у компании должны быть настроены технические средства, обеспечивающие автоматическую передачу данных. При заказе услуги мониторинга ИБ у специализированной организации взаимодействие с ГосСОПКА можно включить в контракт как отдельный элемент — исполнитель возьмёт на себя технические и процессные аспекты уведомления, что снизит операционную нагрузку на собственную службу ИБ.
Из чего состоит услуга мониторинга информационной безопасности и кто её вправе оказывать?
Услугу мониторинга ИБ вправе оказывать только организации, имеющие лицензию ФСТЭК России. В состав полноценной услуги входят шесть элементов: проектирование технических решений под инфраструктуру и бизнес-процессы заказчика, настройка средств мониторинга и перенаправление сетевого трафика в Центр мониторинга, добавление источников событий (ОС, специализированное ПО, сетевые устройства, межсетевые экраны), организация непрерывного сбора данных об инцидентах, обучение персонала заказчика и проведение киберучений, а также анализ зарегистрированных инцидентов с применением элементов ИИ, их корреляция, ранжирование по степени риска и реагирование на критические события. Таким образом, мониторинг — это не просто «смотреть логи», а полноценный управляемый сервис безопасности.
Выгодно ли отдавать мониторинг информационной безопасности на аутсорсинг?
Аутсорсинг мониторинга информационной безопасности экономически целесообразен для большинства компаний: организовать собственный Центр мониторинга с круглосуточным дежурством квалифицированных аналитиков значительно дороже, чем купить аналогичную услугу у специализированного провайдера с лицензией ФСТЭК. Помимо прямой экономии на найме и содержании специалистов, аутсорсинг снижает нагрузку на внутреннюю ИБ-службу и обеспечивает доступ к более широкой экспертизе и современным инструментам анализа, включая системы с элементами ИИ. Привлечённые эксперты берут на себя не только мониторинг и оповещение, но и — при необходимости — реагирование на инциденты, их ликвидацию и, для субъектов КИИ, взаимодействие с ГосСОПКА.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Мониторинг событий безопасности — это не просто технический инструмент: без него компания реагирует на инцидент постфактум, когда злоумышленник уже достиг своей цели и нанёс ущерб.