NIS2 является нормативно правовым актом Европейского Союза, целью которого является усиление уровня кибербезопасности в критически важных секторах. Документ развивает положения начальной Директивы NIS и устанавливает более жесткие требования в сферах управления рисками, обязательного информирования об инцидентах и защите цепочек поставок. Больше о требованиях NIS2 можно узнать из статьи по этой ссылке.
Анализ рисков
Фундаментальным шагом для обеспечения соответствия требованиям NIS2 является надлежащий анализ рисков. Одним из ключевых этапов процесса является идентификация основных и вспомогательных активов организации.
Модуль Inventory платформы Axence nVision® предназначен именно для этой цели. Он позволяет быстро и эффективно инвентаризировать активы. Поддерживается классификация как физических активов, включая аппаратное обеспечение или компоненты сетевой инфраструктуры, так и нематериальные активы, такие как наборы информации.
Инвентаризация активов обеспечивает корректную идентификацию рисков, влияющих на активы, в частности, на компоненты ІТ-инфраструктуры. Процесс анализа рисков является одним из ключевых требований директивы NIS2. Он является основой для внедрения интегрированной системы информационной безопасности. Процесс анализа рисков, в частности, описан в стандарте ISO 27005 и других нормативных документах.
Согласно ISO 27005 активы (ресурсы) делятся на первичные активы и вспомогательные активы:
Первичные активы:
- Процессы
- Бизнес-деятельность
- Информация
Вспомогательные активы:
- Аппаратное обеспечение
- Программное обеспечение
- Сеть
- Персонал
- Место расположения
- Структура организации
Следует отметить, что ISO 27001 и соответствующие им стандарты не являются единственными фреймворками, которые могут применяться для анализа рисков. Также могут использоваться рекомендации NIST или NSC. Независимо от выбранной методологии, инвентаризация активов и оценка влияния конкретных рисков на эти активы критически важны.
Управление инцидентами
Директива NIS2 уделяет этому аспекту кибербезопасности особое внимание. Кибератаки или утечки данных встречаются все чаще, в связи с чем вопрос управления инцидентами получил приоритетный статус в новом законодательстве.
- Для подготовки надлежащего процесса управления инцидентами опять же может использоваться стандарт ISO. В этом случае речь идет об ISO 27035, описывающем процесс управления инцидентами.
Определение события и инцидента:
- Событие информационной безопасности – факт или ситуация, указывающее на возможное нарушение информационной безопасности или возможный отказ (сбой) средств контроля безопасности.
- Инцидент информационной безопасности – факт или ситуация, которое может нанести ущерб активам организации или скомпрометировать её операционную деятельность.
Инцидент может затрагивать один или несколько атрибутов информационной безопасности (конфиденциальность, целостность, доступность).
Согласно ISO 27035 процесс управления инцидентами состоит из пяти этапов:
- Планирование и подготовка
- Обнаружение и сообщение
- Оценка и принятие решения
- Реагирование
- Анализ полученных уроков
Первым шагом в определении того, является ли ситуация инцидентом, является выявление события. Следующим этапом является классификация инцидента (третий этап: оценка и принятие решения) и, при необходимости, передача его соответствующей команде или специалисту ІТ, ответственному за обработку инцидентов.
Программное обеспечение Axence nVision® позволяет обнаруживать события из нескольких источников, в частности:
- аномалии, обнаруженные в работе сетевого устройства
- аномалии, обнаруженные при мониторинге производительности компьютеров или серверов
- инсталляцию программного обеспечения
- изменения, касающиеся программного обеспечения
- записи в журнале событий с определенным ID
- попытки пользователей обойти блокировку
- подключение сменных носителей информации
Такое событие может автоматически отправить сообщение в HelpDesk, в результате чего в системе будет создано соответствующее уведомление. После проведения надлежащего анализа такого уведомления зафиксированное событие может быть отмечено как инцидент.
Директива NIS устанавливает обязанность сообщать о значительных инцидентах соответствующий CSIRT.
Значительный инцидент
Инцидент считается значительным, если:
a) он привел или может привести к серьезным операционным нарушениям предоставления услуг или финансовым потерям для соответствующей организации;
b) он повлиял или может повлиять на других физических или юридических лиц, причинив значительный материальный или нематериальный ущерб.
Значительные инциденты, их статус и отчеты по ним должны быть переданы соответствующей команде реагирования на инциденты компьютерной безопасности (Computer Security Incident Response Team, CSIRT).
В какие сроки инциденты должны сообщаться CSIRT:
a) без неоправданной задержки и в любом случае в течение 24 часов с момента, когда стало известно о значительном инциденте:
- предварительное уведомление, которое при наличии оснований должно указывать, есть ли подозрение, что значительный инцидент вызван незаконными или злонамеренными действиями, или может ли он иметь трансграничное влияние;
b) без неоправданной задержки и в любом случае в течение 72 часов с момента, когда стало известно о значительном инциденте:
- уведомление об инциденте, которое при наличии оснований должно обновить информацию, указанную в пункте a), и содержать первичную оценку значительного инцидента, в том числе его уровень серьезности и воздействие, а также, при наличии, индикаторы компрометации.
Роль модуля HelpDesk в процессе управления инцидентами
В общем, все модули могут способствовать процессу управления инцидентами благодаря способности выявлять события, которые могут (или не могут) быть инцидентами. Модулем, особенно отличающимся в процессе управления рисками, является модуль HelpDesk, который позволяет:
- Регистрировать события и инциденты
- Оперативно реагировать и устранять проблемы
- Классифицировать и оценивать инцидент
- Назначать задачу и эскалировать инцидент
- Отслеживать прогресс и формировать отчетность
- Вести учет и фиксировать полученные уроки для будущего
Обучение по кибербезопасности
Киберпреступники уже давно осознают, что даже лучшие системы и технологии неэффективны, если работники не осведомлены об имеющихся угрозах. Законодатели ЕС тоже это понимают. Именно поэтому директива NIS2 предусматривает обязанность по обучению работников по вопросам кибербезопасности. Особый акцент сделан на социальной инженерии и фишинговых атаках.
Регуляторные требования NIS2 по обучению персонала
Основные и важные субъекты должны внедрять широкий спектр базовых практик кибергигиены, в том числе принципы Zero Trust, обновление программного обеспечения, настройку устройств, сегментацию сети, управление идентификацией и доступом или повышение осведомленности пользователей, организовывать обучение для персонала и повышать уровень осведомленности о киберугрозах, фишинге или методов социальной инженерии.
Обучение обязательно и описывается в ряде стандартов, директив и нормативных актов (ISO, NIST, NSC). Новой особенностью директивы NIS2 является четкое определение угроз, связанных с фишингом и методами социальной инженерии, поскольку частота таких атак в последнее время существенно выросла.
База знаний в модуле HelpDesk является местом, где работодатели могут предоставлять материалы для повышения уровня знаний работников в сфере кибербезопасности. Администраторы могут публиковать учебные статьи, графические материалы и изображения, а также добавлять ссылки, например на видео, расширяющие осведомленность работников по вопросам кибербезопасности. Кроме того, благодаря объявлениям в модуле HelpDesk можно предупреждать пользователей, в частности о конкретных типах атак социальной инженерии.
Директива NIS2 охватывает многие другие стандарты и нормативные требования, с выполнением которых помогает Axence, в частности:
1. Непрерывность работы бизнеса, в том числе управление резервным копированием и возобновлением после сбоев, а также кризисное управление
Модуль Network, один из компонентов программного обеспечения Axence nVision®, предотвращает дорогие простои. Он выявляет аномалии в работе устройств и мониторинг параметров производительности ключевых устройств. Кроме того, серверная инфраструктура находится под полным контролем, благодаря мониторингу температуры и влажности помещений в режиме реального времени.
2. Безопасность цепочки поставок, включая аспекты безопасности взаимоотношений между каждой организацией и ее непосредственными поставщиками или провайдерами услуг
В модуле Inventory, который является частью программного обеспечения Axence nVision®, можно создавать реестр поставщиков аппаратного и программного обеспечения. Это способствует повышению безопасности цепочки поставок. Надлежащая инвентаризация активов вместе с информацией о производителе конкретного решения облегчает отслеживание поставщиков и оценку рисков цепочки поставок.
3. Безопасность при приобретении, разработке и сопровождении сетей и ІТ-систем, в частности управление уязвимостями и их раскрытие
Платформа Axence nVision® позволяет анализировать используемые активы в модуле Inventory, что является предпосылкой для эффективного технического управления уязвимостями.
4. Политики и процедуры использования криптографии и, при необходимости, шифрование
Модуль DataGuard в Axence nVision® обеспечивает удаленное шифрование жестких дисков и других подключенных носителей данных с использованием BitLocker.
5. Безопасность персонала, политики контроля доступа и управление активами
Модуль Inventory платформы Axence nVision® позволяет отслеживать доступ к информационным системам и осуществлять управление первичными и вспомогательными активами.
