devanssh, Security Vision.
ситуационная осведомленность — это модель оценки ситуации. Одним из самых известных исследователей в этой области является Девансш, где она сформировала следующее определение: ситуационная осведомленность – это восприятие элементов и событий окружающей среды по отношению ко времени или пространству, понимание их значения и проекция их статуса на ближайшее время. .
Цель ситуационной осведомленности состоит в упреждающем обнаружении и анализе информации, относящейся к оперативной стабильности и безопасности, и координации такой информации по всему предприятию, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.
Ситуационная осведомленность позволяет организации понять рабочую среду критически важных сервисов и среду, в которой на них можно повлиять. Это понимание дает заинтересованным сторонам достаточно точное и актуальное представление о прошлом, текущем и прогнозируемом будущем состоянии таких услуг и поддерживает эффективное принятие решений в контексте общей операционной среды.
Процесс ситуационной осведомленности создает общую оперативную картину путем сбора, объединения и анализа данных для поддержки автоматических или человеческих решений в действиях по реагированию на инциденты кибербезопасности. Такие данные должны передаваться своевременно и в такой форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.
Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разным участникам предприятия нужны разные и не обязательно полные знания об операционной среде. В зависимости от того, как она представлена, полная картина может быть ошеломляющей и ошеломляющей для лица, принимающего решения. Операторам также следует избегать предоставления больших объемов данных; скорее, операторам нужно видеть только то, что важно, что определяется стратегией риска и общей картиной риска.
Роль и связи ситуационной осведомленности
Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами отдела кибербезопасности, такими как управление активами, уязвимостями, инцидентами и рисками. Да, ситуационная осведомленность также является процессом, который необходимо интегрировать в общие операции по обеспечению кибербезопасности.
Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных с ними активов (также связанных с управлением рисками), на которых должен быть сосредоточен процесс ситуационной осведомленности.
Управление рисками является основой для определения требований к ситуационной осведомленности и линзой, через которую интерпретируется и передается информация о ситуационной осведомленности. Управление рисками также включает в себя несколько процессов. Поставщики, группа управления уязвимостями или другие источники могут сообщить организации о наличии уязвимости. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы уязвимы, и потенциальные риски для критически важных услуг. Эта информация используется для процесса ситуационной осведомленности, который передает ее группе управления рисками. С помощью этой информации группа управления рисками может расставить приоритеты рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости,
Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может сопоставить их с информацией из других внешних CERT и, при необходимости, объявить об инциденте и сообщить об этом соответствующим заинтересованным сторонам.
Хорошо выстроенный процесс ситуационной осведомленности включает четыре этапа, посредством которых организация планирует, собирает и анализирует, сообщает и совершенствует сам процесс ситуационной осведомленности для повышения операционной эффективности и обеспечения требуемого уровня кибербезопасности организации.
1. Планирование ситуационной осведомленности
Планирование необходимо для успешной программы ситуационной осведомленности. План документирует цели программы, стратегию достижения этих целей, а также инфраструктуру и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно сделать следующее:
- Получите поддержку руководства в виде ресурсов
- Разработайте стратегию для программы ситуационной осведомленности
- Разработать подход к сбору и анализу данных о ситуационной осведомленности
- Разработать подход к передаче ситуационной информации
- Составьте план ситуационной осведомленности.
2. Сбор и анализ данных о ситуационной осведомленности
Сбор и анализ данных – основной процесс, в рамках которого необходимо:
- Установить требования к сбору и анализу данных о ситуационной осведомленности
- Разработать подход к сбору и анализу данных о ситуационной осведомленности
- Создание инфраструктуры для поддержки деятельности по мониторингу ситуационной осведомленности
- Собирайте, записывайте и анализируйте информацию.
3. Обмен информацией
Информация, собранная в ходе действий по ситуационной осведомленности, должна быть эффективно передана заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений в отношении кибербезопасности организации.
Для построения процессов обмена информацией необходимо:
- Установите требования к связи с ситуационной осведомленностью
- Установить стандарты и руководящие принципы для обмена информацией
- Создание инфраструктуры для поддержки коммуникативной деятельности
- Передача ситуационной информации.
4. Улучшение процессов и технологий ситуационной осведомленности
Успешное управление рисками для критически важных услуг в значительной степени зависит от эффективности процессов и технологий ситуационной осведомленности организации. В условиях возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.
В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:
- Обзор общей эффективности программы ситуационной осведомленности
- Выявление обновлений и улучшений программы ситуационной осведомленности
- Внесение улучшений в процессы и технологии.
Заключение
Ситуационная осведомленность включает в себя сбор, анализ и передачу информации, которая обеспечивает более широкое и богатое представление об операционной среде организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов, события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Наблюдение, оценка и сравнение событий и информации требуют этого контекста на локальном или внутреннем организационном уровне (организационные события, такие как увольнения, специальные громкие события и т. д.), а также на внешнем, национальном или глобальном уровне.