Платформа Ampire помогает выполнять требования Банка России.
В настоящее время все финансовые организации живут по новому стандарту информационной безопасности — ГОСТ Р 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Стандарт объёмный и сложный, содержащий более четырёхсот требований по защите информации. И основная сложность в выполнении стандарта даже не в том, что он сам по себе содержит много требований, а в том, как выстроить последовательный и непрерывный процесс обеспечения соответствия. Сотрудники кредитных организаций уже более 10 лет работают в соответствии с установленными Банком России требованиями по защите информации, хотя и для них многие требования ГОСТ Р 57580.1 в новинку; сотрудники же некредитных финансовых организаций столкнулись с такими требованиями по большому счёту в первый раз, и для них, как показывает практика консалтинга «Перспективного мониторинга» (ПМ), выполнение ГОСТ Р 57580.1 связано с большими затруднениями.
ЧИТАЯ ГОСТ Р 57580.1
ГОСТ Р 57580.1 определяет не только базовый состав мер защиты информации для восьми процессов защиты, но и требования по управлению защитой информации. Концепция управления защитой информации по ГОСТ Р 57580.1 устанавливает необходимость подготовки и регулярного повышения квалификации специалистов по защите информации применительно к каждой области защиты информации – мера РЗИ.15 «Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации». Факт обучения/повышения квалификации подтверждается наличием свидетельств, подтверждающих прохождения различных курсов и практических семинаров по соответствующим тематическим направлениям.
Компания «Перспективный мониторинг» разработала курс обучения и повышения квалификации по реагированию на инциденты для работников службы ИБ, ИТ-подразделений финансовой организации с применением учебно-тренировочной платформы Ampire. Прохождение такого курса в ПМ полностью закрывает требования по обучению и повышению квалификации для Процесса 6 «Управление инцидентами защиты информации» и Процесса 3 «Контроль целостности и защищённости информационной инфраструктуры» ГОСТ Р 57580.1, так как специалисты, прошедшие курс, освоят или улучшат свои навыки мониторинга событий и управления инцидентами ЗИ (процесс 6) и научатся контролировать уязвимости информационных систем (процесс 3).
АКЦЕНТ НА ПРАКТИКУ
Ampire – это целая экосистема программных технологий, которая позволяет обучать пользователей методам обнаружения признаков компьютерных атак, анализировать причины их возникновения и в конечном счёте внедрять необходимые защитные меры для противодействия им.
Основная задача, которую мы для себя ставили при разработке Ampire, – это повышение практических навыков специалистов в противодействии компьютерным атакам. И в ходе курса для сотрудников финансовых организаций акцент делается именно на практику. Они получают опыт работы с различными средствами обнаружения атак, навыки анализа логов прикладных сервисов (веб-сервера, базы данных, удалённых средств управления и т. д.), отрабатывают навыки устранения уязвимостей с помощью настройки сервисов, изменений на уровне сети абстрактной виртуальной или модели конкретной организации, внедрения межсетевых экранов, корректировки исходного кода и т. п. Особое внимание мы уделяем отработке навыков совместной работы при расследовании инцидентов. Это выражается в жёстких требованиях по проведению анализа, включая заполнение развёрнутых форм отчётности по инцидентам в собственной IRP киберполигона Ampire.
Опыт проведённых мероприятий на нашем комплексе позволяет говорить, что занятия на нём интересны как для начинающих специалистов, так и для опытных сотрудников, желающих «прокачать» отдельные технические моменты.
ШАГ ЗА ШАГОМ
Процесс киберучений выполнен единообразно для всех шаблонов информационных систем и сценариев киберучений, поставляемых вместе с комплексом. Основные шаги следующие (см. рисунок):
Рисунок. Основные шаги в процессе киберучений
Тренировка заканчивается, когда устранены все уязвимости в составе активной учебной компьютерной атаки, отрабатываемой в рамках тренировки, или время тренировки вышло.
Все действия атакующего автоматизированы в рамках сценария, поэтому для проведения полноценных киберучений нет необходимости привлекать «живую» атакующую команду.
При прохождении командами сценария преподаватель самостоятельно управляет виртуальными нарушителями: активирует их, останавливает, даёт задание на выполнение отдельных шагов.
ШАБЛОН СИСТЕМЫ
Шаблон информационной системы в Ampire — это набор виртуальных машин (сервера, рабочие станции, сетевое оборудование и т.д.), которые моделируют работу типовой сети организации (например, офис, банк, предприятие). Состав шаблонов в комплексе определяется на момент поставки, но может быть расширен по требованиям заказчика. Эта потребность возникает в основном из-за желания проводить обучение на макетах информационных систем, максимально близких к уже существующим у заказчика. Шаблон можно дополнить специфическими для конкретного заказчика сервисами, оборудованием и средствами защиты информации (учитывая возможность работы в виртуальной среде и лицензионные ограничения).
И ОНЛАЙН, И В КЛАССЕ
Занятия на платформе Ampire можно проводить и онлайн, и в очном формате. При очном формате киберучений группы участников работают непосредственно в классе одного из учебных заведений, оборудованных комплексом Ampire или имеющих подключение к облачной версии комплекса. С командами на месте работают один-два преподавателя, помогая отрабатывать запланированные сценарии. Преподаватели оценивают полноту и корректность заполнения форм отчётности по выявленным инцидентам, отвечают на вопросы, дают советы по процессам мониторинга, реагирования и взаимодействия команд. В онлайн-киберучениях члены команд подключаются к комплексу удалённо по VPN-каналу со своих рабочих мест.
Действенность участия в киберучениях для повышения квалификации специалистов подтверждается положительными отзывами о платформе Ampire, полученными в рамках SOC-Forum и Уральского форума «Информационная безопасность банков» от сотрудников финансовых организаций, организаций из иных отраслей деятельности.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных