Разделы

ПО Бизнес Цифровизация ИТ в банках

Дмитрий Бабков, банк «Санкт-Петербург»: Сценарии реагирования на инциденты в IRP-платформе минимизируют человеческие ошибки

ИБ-специалистам банков необходимо успевать всё: выполнять многочисленные требования регуляторов и обеспечивать практическую безопасность. При этом кадров всегда не хватает, а злоумышленники непрерывно совершенствуют свои техники и тактики. Повысить удобство управления информационной безопасностью и справиться с большим количеством рутинных задач в этой области финансовым организациям помогают инструменты автоматизации ИБ-процессов. О выборе и опыте использования таких решений в интервью CNews рассказал Дмитрий Бабков, директор по информационной безопасности Банка «Санкт-Петербург».

CNews: Дмитрий, расскажите, как у вас назрела потребность в инструментах автоматизации ИБ-процессов?

Дмитрий Бабков: Шел 2013 год, мы столкнулись с необходимостью провести аудит нашей ИБ-системы на соответствие Положению Банка России № 382-П. Этот документ содержит более ста требований к тому, как нужно защищать информацию при проведении денежных переводов. Если смотреть сегодня, то задача по аудиту была довольно простая, но тогда нам совсем не хотелось решать ее с помощью Excel или других подручных средств. Поэтому мы задумались о специализированных инструментах. Проанализировали решения, которые были представлены на рынке, и остановились на продукте Audit Manager от российского разработчика R-Vision.

Дмитрий Бабков, банк «Санкт-Петербург»: Мы хотели найти решение, оптимальное по стоимости и функциональным возможностям

Со временем количество регуляторных требований увеличивалось, и наши потребности по управлению аудитами росли. Помимо этого, появилась задача охватить автоматизацией и процесс управления рисками. Так постепенно в 2015 г. мы подошли к необходимости перейти на полноценную SGRC-платформу. В то же время наша команда приступила к созданию собственного центра мониторинга инцидентов (Security Operation Center, SOC), и нам понадобилось автоматизировать процесс управления инцидентами. Каких-то специализированных инструментов для этого у нас не было. Мы могли доработать под нужды SOC нашу внутреннюю Help Desk систему, которую ИТ-специалисты использовали для управления заявками, но решили пойти по другому пути — выбрать IRP-платформу. Нам был важен учет активов, у нас развивалось управление уязвимостями, поэтому мы понимали, что функциональность специализированного продукта будет намного шире, чем у инструмента, который нам удалось бы придумать из подручных средств. В итоге мы выбрали оба продукта от компании R-Vision.

СNews: Какие требования вы предъявляли к решениям при выборе?

Дмитрий Бабков: Мы хотели найти решение, оптимальное по стоимости и функциональным возможностям. Ориентировались прежде всего на наличие встроенных алгоритмов управления аудитами и инцидентами и поддержку российских банковских стандартов. Еще одним важным для нас критерием было отсутствие необходимости дорабатывать продукты своими силами. Мы выбирали инструменты, которые помогли бы нам сделать нашу работу легче и не требовали бы с нашей стороны больших трудозатрат. Таким образом, нам нужна была определенная автоматизация «из коробки», что мы в итоге и получили. Если же говорить об IRP-платформе, то здесь в том числе важными были и готовые шаблоны инцидентов, шаблоны отчетности и графики, которые мы могли бы легко адаптировать под себя: какие-то поля добавить, какие-то — убрать. Мы смотрели разные продукты, в том числе и зарубежные, и остановились на варианте, который наиболее полно отвечал нашим запросам.

CNews: Насколько трудоемким было внедрение выбранных решений? Помогла ли вам экспертиза вендора?

Дмитрий Бабков: Внедрение было самой простой и быстрой частью. Вендор предоставил нам хорошо документированные, понятные инструкции. Всё разворачивалось на виртуальных мощностях, дальше мы настраивали системы по инструкции, подключали к ним источники различных событий и затем переводили их в «боевой» режим.

В дальнейшем, уже в процессе работы с системами, мы находили различные решения по их улучшению, которые бы повысили для нас удобство использования продуктов. И здесь экспертиза вендора нам действительно помогала и помогает до сих пор. Наша команда формулировала свои предложения по развитию продуктов, и если они были действительно полезны и востребованы рынком, то мы получали эти доработки. Такое взаимодействие с вендором у нас ведется постоянно, и за счет этого продукты для нас очень сильно развиваются. То, с чем мы работали в 2013 году, и сегодняшняя версия платформы — это две большие разницы.

CNews: Можете привести примеры взаимодействия с вендором по развитию продуктов?

Дмитрий Бабков: Например, мы провели большую интересную работу по упрощению связей между функциональными блоками по управлению аудитами и задачами. Дело в том, что кроме классических аудитов, во время которых мы проверяем нашу ИБ-систему на соответствие предварительно загруженным в SGRC-платформу нормативам, у нас есть еще и небольшие проверки. Их нам тоже хотелось связать с задачами, чтобы по результатам проверок в системе можно было выставлять коллегам поручения по устранению выявленных недостатков. Разобраться в связях между различными сущностями в функциональных блоках сходу было непросто, поэтому в рамках взаимодействия с вендором мы попытались их упростить. В итоге это помогло нам сделать управление задачами максимально эффективным.

Другой пример — из нашей сегодняшней практики. Сейчас с помощью платформы R-Vision мы пытаемся привязать оценку рисков к матрице MITRE и в процессе работы над задачей заметили, что в продукте для этого нужно выполнять большое количество действий. Чтобы упростить эту цепочку, сделать ее более понятной и прозрачной, мы обратились к вендору и сейчас обсуждаем с ним варианты решения этого кейса.

CNews: Какие задачи платформы SGRC и IRP помогают вам решать сегодня, и как вы оцениваете результат их использования с момента запуска в «боевой» режим?

Дмитрий Бабков: Если давать качественную оценку, то мы довольны результатом. С помощью платформы SGRC мы управляем всеми аудитами, а на базе IRP-продукта у нас выстроен полный цикл инцидент-менеджмента. Наш внутренний центр мониторинга работает в круглосуточном режиме с большим потоком событий безопасности, и система IRP помогает снизить нагрузку на специалистов. В ней у нас построены различные юзкейсы по реагированию на типовые инциденты для операторов первой линии SOC, и это позволяет минимизировать риск ошибок из-за человеческого фактора. Также на основе IRP мы организовали взаимодействие с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России — ФинЦЕРТ. С помощью продукта мы отправляем регулятору ежедневные отчеты об инцидентах, как это требуется законодательством. Кроме того, платформа позволяет всей нашей ИБ-команде работать в едином информационном пространстве. Это тоже очень ценно, поскольку все данные у нас хранятся в одной системе, и это делает выстроенные процессы информационной безопасности прозрачными для каждого сотрудника ИБ-дирекции.

СNews: Существует ли, на ваш взгляд, специфика применения этих инструментов, характерная именно для банковской индустрии?

Дмитрий Бабков: Специфика, конечно же, есть. Если говорить про инциденты, то она заключается в обязательном взаимодействии с регуляторами. Яркий пример — отчетность перед ФинЦЕРТ. На законодательном уровне прописаны требования и к стандарту отчетов об инцидентах, и к периодичности их отправки.

CNews: Как вы считаете, влияют ли отраслевые особенности на количество инцидентов, обрабатываемых в IRP-системе?

Дмитрий Бабков: Я бы не сказал, что сфера работы компании прямо влияет на количество инцидентов. На мой взгляд, их большое число может фиксироваться и в промышленных организациях, и у онлайн-ритейлеров. Всё зависит от того, есть ли в этих компаниях цели, представляющие высокий интерес для злоумышленников. Например, атаковать хорошо защищенный банк киберпреступникам может быть не так интересно, как медицинские организации, где защита слабее.

Дмитрий Бабков, банк «Санкт-Петербург»: С помощью платформы SGRC мы управляем всеми аудитами, а на базе IRP-продукта у нас выстроен полный цикл инцидент-менеджмента

Надо понимать, что количество инцидентов зависит в том числе и от уровня зрелости системы информационной безопасности. Если она находится в зачаточном состоянии, мониторинг в ней не налажен, то и инциденты там будут попросту не видны. Можно провести аналогию с примером из жизни. Представьте, что вы заходите на кухню в коммуналке в темное время суток: можно посветить фонариком, и вокруг тут же начинает бегать очень много насекомых. Примерно такой же эффект вы увидите при появлении мониторинга там, где нет ИТ-стандартов, а информационная безопасность развита слабо. Когда в таких компаниях включают мониторинг, то сразу появляется большое количество событий.

CNews: Сталкивались ли вы с ростом количества инцидентов во время массового перехода на удаленку?

Дмитрий Бабков: У нас не было всплеска инцидентов, в том числе и потому, что у нас давно была выстроена безопасная инфраструктура для удаленной работы. Наши сотрудники и раньше практиковали дистанционный формат работы время от времени: кому-то нужно было поработать из дома вечером, кому-то — в выходные. Причина тут даже не столько в нашей готовности перейти на удаленку, сколько в том, что сама по себе инфраструктура удаленного доступа не вела к какому-либо росту инцидентов просто за счет реализованных ограничений.

CNews: Планируете ли вы расширять применение решений SGRC и IRP и каким образом?

Дмитрий Бабков: В наших ближайших планах — реализовать с помощью этих продуктов три активности, которые будут связаны с управлением рисками, активами и уязвимостями.

В частности, на базе SGRC-платформы мы планируем выстроить систему оценки киберрисков согласно Положению Банка России № 716-П. До появления этого документа мы исходили из экспертных оценок, например, по информационным системам и проектам. Теперь же, когда в стране действуют регуляторные требования по организации полного процесса управления рисками, мы будем отлаживать его внутри банка и приземлять на используемую платформу автоматизации. Возможно, с ее помощью мы сможем автоматизировать и процесс управления ИТ-рисками, поскольку мои коллеги, отвечающие за риск-менеджмент, тоже нуждаются в подобном инструменте.

Дмитрий Бабков, банк «Санкт-Петербург»: В наших ближайших планах — реализовать с помощью решений SGRC и IRP три активности, которые будут связаны с управлением рисками, активами и уязвимостями

Еще одна интересная задача — это автоматизация управления активами. В банке есть несколько различных источников информации об активах, и нам бы хотелось иметь наиболее полную и достоверную картину того, что у нас происходит в сети, какое у нас есть оборудование, программное обеспечение, и где всё это находится. Ранее мы пытались построить управление активами в полуручном режиме: вели базу активов в IRP-платформе. Однако это было неудобно, так как требовало от нас дополнительных ручных затрат. Поэтому в перспективе мы решили использовать продукт как единую мастер-систему, в которую будет автоматически подтягиваться информация из наших внутренних источников: базы данных управления конфигурациями (CMDB), инструментов управления ИТ-инфраструктурой, средств защиты и так далее.

Кроме того, с помощью IRP-платформы мы планируем автоматизировать и управление уязвимостями. В этом году вместе с вендором мы провели пилотный проект: настроили взаимодействие продукта с нашей внутренней системой CMDB и системой управления ИТ-задачами. Такая интеграция позволяет нам, исходя из информации об уязвимостях, ставить администраторам задачи по устранению выявленных дефектов и автоматически отслеживать их выполнение. На мой взгляд, результаты этой работы вместе с автоматизацией управления активами и данными, получаемыми со сканеров безопасности, могут дать нам мощный синергетический эффект.