- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
Инцидент, связанный с несоответствующим использованием, происходит тогда, когда пользователь выполняет действия, которые нарушают приемлемые политики использования вычислительных средств.
Примеры инцидентов, которые может обрабатывать группа, включают действия пользователей, которые:
-загружают инструментарий взламывания паролей, анализа трафика, портов;
передают спам;
-посылают по e-mail сообщения, отвлекающие сотрудников;
-устанавливают неавторизованный Web-сайт на одном из компьютеров организации;
-передают чувствительные материалы за пределы организации.
Примеры инцидентов, связанных с несоответствующим использованием и направленных на внешние стороны, включают следующие действия:
-пользователь портит общественный Web-сайт другой организации;
-пользователь организации делает покупки в режиме on-line с помощью номеров украденных кредитных карт;
-третья сторона посылает спам по e-mail с придуманными (вымышленными) адресами, которые кажутся принадлежащими организации;
-третья сторона выполняет атаку «отказ в обслуживании» в отношении некоей организации путем генерации пакетов с обманными IP адресами, которые принадлежат этой организации.
45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
При подготовки к обработки инцидентов, связанных с несоответствующим использованием, выполняются следующие мероприятия:
-подготовка к обработке инцидентов, связанных с несоответствующим использованием;
-выбор и реализация защитных мер, препятствующих инцидентам, связанных с несоответствующим использованием;
-формирование контрольного перечня действий по обработке инцидентов;
-формирование приоритетного порядка обработки инцидентов,
В дополнение к общему должны быть выполнены дополнительные действия:
-Организация встреч с представителями отдела кадров и юридического отдела организации.
-Мониторинг и ведение журналов регистрации действий пользователя
-Группа реагирования на инциденты должна осознавать сложность обработки инцидентов
-Организация встреч с членами группы, ответственной за физическую безопасность организации,
-Обсуждение вопросов ответственности с персоналом отдела по связям с общественностью организации и юридическим отделом
-конфигурирация сетевого программного обеспечения
включающие:
а) использование неавторизованных услуг;
б) распространение спама ;
в) какие-либо действия с файлами ;
г) внешнюю разведывательную деятельность и атаки;
-регистрация действий пользователей в Интернете.
В основном, мало что может быть сделано для предотвращения инцидентов.
защитные меры:
-конфигурация сетевых устройств;
-конфигурация серверов e-mail организации;
-программное обеспечения фильтрации спама.
-реализация фильтрации Единого указателя ресурсов (URL).
-рассмотрение вопроса об ограничении исходящих соединений,
46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
Д.б. сформирован контрольный перечень действий по обработке инцидентов.
Последовательность шагов (этапов) может меняться в зависимости от особенностей инцидентов и стратегий по сдерживанию инцидента, выбранных конкретной организацией.
Анализ инцидента, связанного с несоответствующим использованием
- Приоритетная обработка инцидента с т.з. воздействия на бизнес
--Определение характера деятельности (криминальный, некриминальный)
--Прогноз относительно нанесения ущерба репутации организации
--Определение по матрице приоритетов условий реагирования, исходя из криминальности и ущерба для репутации
-Сообщение об инциденте соответствующему внутреннему персоналу и внешним организациям
Сдерживание, устранение и восстановление
- Получение, сохранение, обеспечение безопасности и документирование свидетельств (доказательств) инцидента
- При необходимости обеспечить сдерживание и устранение инцидента (например, удалите неуместные материалы)
Постинцидентная деятельность
- Подготовка завершающего отчета
- Проведение обсуждения полученных уроков
Инциденты, связанные с несоответствующим использованием, обычно легко приоритезировать.
Если инцидент не связан с криминалом, или репутация организации способна выдержать большой ущерб, то нет необходимости обрабатывать данные инциденты с той же срочностью, что и другие инциденты.
воздействие на бизнес определяется по двум факторам:
- является ли деятельность криминальной
- насколько большой ущерб может выдержать репутация организации.
Типа таблица)))
1-Текущее или будущее воздействие инцидента, 2- Криминальная деятельность, 3- Некриминальная деятельность( название столбцов в таблице)(2и3 - Природа инцидента)
1- Большой вред для репутации организации, 2- В течение 15 минут начинается первичное реагирование. В течение 1 часа группа связывается с отделом по связям с общественностью, отделом кадров, юридическим отделом и правоприменяющими органами, 3- В течение 1 часа начинается первичное реагирование.
В течение 2 часов группа связывается с отделом по связям с общественностью, отделом кадров
1-Незначительный вред для репутации организации,2-В течение 2 часов начинается первичное реагирование. В течение 4 часов группа связывается с отделом кадров, юридическим отделом и правоприменяющими органами,3-В течение 4 часов начинается первичное реагирование. В течение 8 часов группа связывается с отделом кадров,
1-Никакого вреда для репутации организации,2-В течение 4 часов начинается первичное реагирование. В течение 8 часов группа связывается с отделом кадров, юридическим отделом и правоприменяющими органами,3-В течение 1 дня начинается первичное реагирование.В течение 2 дней группа связывается с отделом кадров
При приоритезации инцидентов, связанных с несоответствующим использованием, следует иметь в виду одно предостережение. Значительное количество таких инцидентов в действительности является продолжением действия предшествующих инцидентов, таких как корневая компрометация узла ил