NIS2 є нормативно-правовим актом Європейського Союзу, метою якого є посилення рівня кібербезпеки у критично важливих секторах. Документ розвиває положення початкової Директиви NIS та встановлює більш жорсткі вимоги у сферах управління ризиками, обов’язкового інформування про інциденти й захисту ланцюгів постачання. Більше про вимоги NIS2 можна дізнатися зі статті за цим посиланням.
Аналіз ризиків
Фундаментальним кроком для забезпечення відповідності вимогам NIS2 є належно проведений аналіз ризиків. Одним із ключових етапів цього процесу є ідентифікація основних та допоміжних активів організації.
Модуль Inventory платформи Axence nVision® призначений саме для цієї мети. Він дозволяє швидко та ефективно виконувати інвентаризацію активів. Підтримується класифікація як фізичних активів, зокрема апаратного забезпечення або компонентів мережевої інфраструктури, так і нематеріальних активів, таких як набори інформації.
Інвентаризація активів забезпечує коректну ідентифікацію ризиків, що впливають на активи, зокрема на компоненти ІТ-інфраструктури. Процес аналізу ризиків є однією з ключових вимог директиви NIS2. Він становить основу для впровадження інтегрованої системи інформаційної безпеки. Процес аналізу ризиків, зокрема, описаний у стандарті ISO 27005 та інших нормативних документах.
Відповідно до ISO 27005 активи (ресурси) поділяються на первинні активи та допоміжні активи:
Первинні активи:
- Процеси
- Бізнес-діяльність
- Інформація
Допоміжні активи:
- Апаратне забезпечення
- Програмне забезпечення
- Мережа
- Персонал
- Місце розташування
- Структура організації
Слід зазначити, що ISO 27001 та пов’язані з ним стандарти не є єдиними фреймворками, які можуть застосовуватися для аналізу ризиків. Також можуть використовуватися рекомендації NIST або NSC. Незалежно від обраної методології, інвентаризація активів та оцінка впливу конкретних ризиків на ці активи є критично важливими.
Управління інцидентами
Директива NIS2 приділяє цьому аспекту кібербезпеки особливо велику увагу. Кібератаки або витоки даних трапляються дедалі частіше, у зв’язку з чим питання управління інцидентами отримало пріоритетний статус у новому законодавстві.
- Для підготовки належного процесу управління інцидентами знову ж таки може бути використаний стандарт ISO. У цьому випадку йдеться про ISO 27035, який описує процес управління інцидентами.
Визначення події та інциденту:
- Подія інформаційної безпеки – факт або ситуація, що вказує на можливе порушення інформаційної безпеки або можливу відмову (збій) засобів контролю безпеки.
- Інцидент інформаційної безпеки – факт або ситуація, яка може завдати шкоди активам організації або скомпрометувати її операційну діяльність.
Інцидент може впливати на одну або декілька характеристик інформаційної безпеки (конфіденційність, цілісність, доступність).
Відповідно до ISO 27035 процес управління інцидентами складається з п’яти етапів:
- Планування та підготовка
- Виявлення та повідомлення
- Оцінка та прийняття рішення
- Реагування
- Аналіз отриманих уроків
Першим кроком у визначенні того, чи є певна ситуація інцидентом, є виявлення події. Наступним етапом є класифікація інциденту (третій етап: оцінка та прийняття рішення) та, за необхідності, передання його відповідній команді або спеціалісту ІТ, відповідальному за обробку інцидентів.
Програмне забезпечення Axence nVision® дозволяє виявляти події з кількох джерел, зокрема:
- аномалії, виявлені в роботі мережевого пристрою
- аномалії, виявлені під час моніторингу продуктивності комп’ютерів або серверів
- інсталяцію програмного забезпечення
- зміни, що стосуються програмного забезпечення
- записи в журналі подій з визначеним ID
- спроби користувачів обійти блокування
- підключення змінних носіїв інформації
Така подія може автоматично надіслати повідомлення до HelpDesk, у результаті чого в системі буде створено відповідне сповіщення. Після проведення належного аналізу такого сповіщення зафіксовану подію може бути позначено як інцидент.
Директива NIS встановлює обов’язок повідомляти про значні інциденти відповідний CSIRT.
Значний інцидент
Інцидент вважається значним, якщо:
a) він спричинив або може спричинити серйозні операційні порушення надання послуг або фінансові втрати для відповідної організації;
b) він вплинув або може вплинути на інших фізичних або юридичних осіб, завдавши значної матеріальної або нематеріальної шкоди.
Значні інциденти, їхній статус та звіти щодо них мають бути передані відповідній команді реагування на інциденти комп’ютерної безпеки (Computer Security Incident Response Team, CSIRT).
У які строки інциденти мають бути повідомлені до CSIRT:
a) без невиправданої затримки та в будь-якому разі протягом 24 годин з моменту, коли стало відомо про значний інцидент:
- попереднє повідомлення, яке, за наявності підстав, має зазначати, чи є підозра, що значний інцидент спричинено незаконними або зловмисними діями, або чи може він мати транскордонний вплив;
b) без невиправданої затримки та в будь-якому разі протягом 72 годин з моменту, коли стало відомо про значний інцидент:
- повідомлення про інцидент, яке, за наявності підстав, має оновити інформацію, зазначену в пункті a), та містити первинну оцінку значного інциденту, зокрема його рівень серйозності та вплив, а також, за наявності, індикатори компрометації.
Роль модуля HelpDesk у процесі управління інцидентами
Загалом усі модулі можуть сприяти процесу управління інцидентами завдяки здатності виявляти події, які можуть (або не можуть) бути інцидентами. Модулем, що особливо вирізняється у процесі управління ризиками, є модуль HelpDesk, який дозволяє:
- Реєструвати події та інциденти
- Оперативно реагувати та усувати проблеми
- Класифікувати та оцінювати інцидент
- Призначати завдання та ескалювати інцидент
- Відстежувати прогрес і формувати звітність
- Вести облік і фіксувати отримані уроки для майбутнього
Навчання з кібербезпеки
Кіберзлочинці вже давно усвідомлюють, що навіть найкращі системи та технології є неефективними, якщо працівники не обізнані з наявними загрозами. Законодавці ЄС також це розуміють. Саме тому директива NIS2 передбачає обов’язок щодо навчання працівників з питань кібербезпеки. Особливий акцент зроблено на соціальній інженерії та фішингових атаках.
Регуляторні вимоги NIS2 щодо навчання персоналу
Основні та важливі суб’єкти повинні впроваджувати широкий спектр базових практик кібергігієни, зокрема принципи Zero Trust, оновлення програмного забезпечення, налаштування пристроїв, сегментацію мережі, управління ідентифікацією та доступом або підвищення обізнаності користувачів, організовувати навчання для персоналу та підвищувати рівень обізнаності щодо кіберзагроз, фішингу чи методів соціальної інженерії.
Навчання є обов’язковим і описується в низці стандартів, директив та нормативних актів (ISO, NIST, NSC). Новою особливістю директиви NIS2 є чітке визначення загроз, пов’язаних із фішингом та методами соціальної інженерії, оскільки частота таких атак останнім часом суттєво зросла.
База знань у модулі HelpDesk є місцем, де роботодавці можуть надавати матеріали для підвищення рівня знань працівників у сфері кібербезпеки. Адміністратори можуть публікувати навчальні статті, графічні матеріали та зображення, а також додавати посилання, наприклад на відео, що розширюють обізнаність працівників з питань кібербезпеки. Крім того, завдяки оголошенням у модулі HelpDesk можна попереджати користувачів, зокрема, про конкретні типи атак соціальної інженерії.
Директива NIS2 охоплює багато інших стандартів і нормативних вимог, з виконанням яких допомагає Axence, зокрема:
1. Безперервність роботи бізнесу, зокрема управління резервним копіюванням і відновленням після збоїв, а також кризове управління
Модуль Network, один із компонентів програмного забезпечення Axence nVision®, запобігає дорогим простоям. Він виявляє аномалії в роботі пристроїв і здійснює моніторинг параметрів продуктивності ключових пристроїв. Крім того, серверна інфраструктура перебуває під повним контролем завдяки моніторингу температури та вологості приміщень у режимі реального часу.
2. Безпека ланцюга постачання, включно з аспектами безпеки взаємовідносин між кожною організацією та її безпосередніми постачальниками або провайдерами послуг
У модулі Inventory, що є частиною програмного забезпечення Axence nVision®, можна створювати реєстр постачальників апаратного та програмного забезпечення. Це сприяє підвищенню безпеки ланцюга постачання. Належна інвентаризація активів разом з інформацією про виробника конкретного рішення полегшує відстеження постачальників і оцінку ризиків ланцюга постачання.
3. Безпека під час придбання, розроблення та супроводу мереж і ІТ-систем, зокрема управління вразливостями та їх розкриття
Платформа Axence nVision® дозволяє аналізувати активи, що використовуються, у модулі Inventory, що є передумовою для ефективного технічного управління вразливостями.
4. Політики та процедури використання криптографії та, за необхідності, шифрування
Модуль DataGuard у складі Axence nVision® забезпечує віддалене шифрування жорстких дисків та інших підключених носіїв даних із використанням BitLocker.
5. Безпека персоналу, політики контролю доступу та управління активами
Модуль Inventory платформи Axence nVision® дозволяє відстежувати доступ до інформаційних систем і здійснювати управління первинними та допоміжними активами.
