Модернизация процессов менеджмента информационной безопасности в вопросах обнаружения компьютерных вторжений и обработки инцидентов компьютерной безопасности

Савельев А.С.

Выпускник группы MBA-CSO 21A

Школы IT-менеджмента

РАНХиГС при Президенте РФ

В данной выпускной работе рассмотрен вопрос модернизации  процессов менеджмента информационной безопасности в вопросах обнаружения компьютерных вторжений и обработки инцидентов компьютерной безопасности в ПАО.

В настоящее время большинство дочерних и зависимых обществ ПАО  инвестирует в повышение эффективности управления за счет применения инновационных и информационных технологий. Зависимость вспомогательных процессов управления финансово-хозяйственной деятельностью предприятия от информационных технологий и средств обработки информации носит критический характер.

В то же время при анализе методов оказания внешнего давления на Российскую Федерацию со стороны других государств в 2010–2017 годах становится очевидным приоритизация использования методов экономической и информационной войны, а также усилением влияния угроз со стороны компьютерных преступлений.

Дополнительным серьезным фактором, влияющим на безопасность функционирования ПАО и ее клиентов, является увеличение количество хакерских атак на различные информационные ресурсы, в том числе объектов критической инфраструктуры Российской Федерации.

Положение усугубляется тем, что мировое информационное пространство, не регулируется мировыми конвенциями и соглашениями, в совокупности с трансграничным характером киберпространства и технической невозможностью отслеживания источников атак позволяет безнаказанно совершать различного рода деструктивные воздействия на объекты ПАО.

В последнее время вопросы информационной безопасности при строительстве и реконструкции объектов ПАО и создании информационных систем стали находить отражение в технической документации, и за последние годы практически во всех зависимых подразделениях благодаря усилиям ПАО появились выделенные структурные единицы, ответственные за организацию и обеспечение информационной безопасности. Тем не менее, ввиду ограниченного числа квалифицированных экспертов, существующей нормативно-технической базы и влияния регуляторов отрасли указанные усилия носят разрозненный и хаотический характер.

Основной причиной указанной характеристики является сложность построения единой целевой модели системы информационной безопасности ПАО, способов и методов ее построения.

В рамках данной работы поставлена задача разработка функциональных подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений в информационную и компьютерную инфраструктуру ПАО. Дополнительно, для реализации поставленной задачи необходимо выработать требования к данным функциональным подсистемам и бизнес-процессам.

В данной работе объектом исследования является система менеджмента информационной безопасности ПАО.

В рамках данного объекта исследования выделен непосредственно предмет исследования, а именно: подсистема и бизнес-процессы менеджмента информационной безопасности в задачах обнаружения вторжений и обработки инцидентов компьютерной безопасности в ПАО.

Методические исследования в данной работе основаны на результатах анализа следующего:

·         Анализ организации системы управления информационной безопасностью ПАО;

·         Анализ нормативно-правовой, законодательной и отраслевой регуляторной документации;

·         Анализе принципов построения центров оперативного реагирования на угрозы информационной безопасности и подразделений обнаружения вторжений и обработки инцидентов компьютерной безопасности;

·         Анализе бизнес-процессов функционирования центров оперативного реагирования на угрозы информационной безопасности и подразделений обнаружения вторжений и обработки инцидентов компьютерной безопасности;

·         Выработки (синтезе) функциональных подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений;

·         Выработки (синтезе) требований к  функциональным подсистема и бизнес-процессам оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений;

·         Выработки (синтезе) отдельных сбалансированных показателей оценки эффективности мер контроля информационной безопасности, в задачах  мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений, в целях принятия управленческих решений;

·         Анализе и оценки степени удовлетворения условий регуляторной документации (комплайнс-требования, выявления комплайнс-рисков) при реализации функциональных подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений.

В рамках теоретической части работы отражены следующие моменты:

Приведен анализ существующей литературы, научных исследований, мирового и отечественного опыта построения центров обнаружения вторжений, обработки инцидентов компьютерной безопасности. Выявлены основные различия в архитектуре информационно-телекоммуникационных сетей содержащих компоненты промышленной автоматики.

Приведены основные направления и конкретные существующие разработки, методологические и инструментальные решения построения центров обнаружения вторжений и обработки инцидентов компьютерной безопасности. Также затронуты вопросы оценки эффективности внедренных мер контроля информационной безопасности с точки зрения принятия управленческих решений.

Приведен анализ организации системы управления информационной безопасностью ПАО. Выявлены основные цели и задачи информационной безопасности ПАО.

 Проведен анализ основных принципов обеспечения информационной безопасности ПАО, организации работы по информационной безопасности, состав технических и технологических активов и информационных систем ПАО.

Отражены основные организационные и технические мер по защите информации процедурного и программного-технического уровня. Сформулирована модель нарушителя информационной безопасности и модель угроз.

Определены типовые логические и технологические схемы обеспечения информационной и компьютерной безопасности активов ПАО.

Определены направления развития проектов по информационной безопасности в ПАО включающие в себя, в том числе, решение вопросов обнаружения компьютерных вторжений и обработки инцидентов компьютерной и информационной безопасности.

Приведены выявленные основные нормативно-правовые, законодательные, отраслевые и иные требования и стандарты, которыми руководствуется ПАО, такие как: Указы Президента РФ, Постановления Правительства РФ, Федеральные законы,  Приказам Федеральной службы по техническому и экспортному контролю,  внутренние отраслевые документы, национальные стандарты Российской Федерации.

В рамках практической части работы отражены следующие моменты:

Приведен анализ принципов построения центров оперативного реагирования на угрозы информационной безопасности. Выявлены основные бизнес-процессы функционирования центров оперативного реагирования на угрозы информационной безопасности и подразделений обнаружения вторжений и обработки инцидентов компьютерной безопасности.

Приведены результаты разработки функциональных подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационной безопасности, обнаружения и предотвращения компьютерных атак и вторжений.

Определены, применительно к ПАО, основные бизнес-процессы функционирования центров оперативного реагирования на угрозы информационной безопасности и подразделений обнаружения вторжений и обработки инцидентов компьютерной безопасности.

Определены требования к функциональным подсистемам оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений.

Приведены требования к бизнес-процесссам оперативного мониторинга угроз и событий информационной безопасности,  обнаружения и предотвращения компьютерных атак и вторжений.

Приведены ключевые показатели и методы оценки эффективности работы подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационнй безопасности,  обнаружения и предотвращения компьютерных атак и вторжений. Дополнительно, приведен пример оценки уровня зрелости указанных бизнес-процессов.

Приведены результаты анализа и оценки степени удовлетворения условий регуляторной документации при реализации функциональных подсистем и бизнес-процессов оперативного мониторинга угроз и событий информационной безопасности, обнаружения и предотвращения компьютерных атак и вторжений в ПАО.

Отражены ключевые вопросы и решения по реализации комплексной программы создания центров обнаружения вторжений, обработки инцидентов компьютерной безопасности в ПАО. Приведены результаты работы по определению целей и задач данного центра и его филиалов, их организационной и функциональной структуре, а также регламенту действий.