- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
Управление инцидентами
1. Обработка инцидентов информационной безопасности (Часть 1)
Британский стандарт BS 25999-1:2006 Управление непрерывностью бизнеса – Часть1: Практические правила даёт следующее определение термина “управление непрерывностью бизнеса” – процесс управления, в ходе реализации которого выявляются потенциальные угрозы деятельности организации, оцениваются возможные последствия для бизнес - операций в случае реализации данных угроз, а также создаётся базис для обеспечения способности организации восстанавливать свою деятельность и эффективно реагировать на инциденты, что даёт необходимую гарантию соблюдения интересов сторон, занятых в совместной бизнес – деятельности, гарантии сохранения репутации, бренда и деятельности по созданию добавленной стоимости.
Принципы реализации
Реализация проекта управления непрерывностью бизнеса организации представляет собой набор перманентно функционирующих процессов: анализ организации, пересмотр стратегии управления непрерывностью бизнеса, внедрение и переоценка процедур управления непрерывностью бизнеса, улучшение, поддержка и аудит процессов управления непрерывностью бизнеса. Одним из основных источников данных для анализа состояния внедрения процедур управления непрерывностью бизнеса является процедура реагирования на инциденты информационной безопасности.
В соответствии с лучшими мировыми практиками сформулируем некоторые принципы, соблюдая которые организация обеспечит эффективную политику реагирования на инциденты информационной безопасности:
Руководство организации должно способствовать созданию необходимых условий для внедрения процедуры расследования инцидентов информационной безопасности внутри организации, а именно:
созданию формализованной политики реагирования на инциденты
разработке процедур обработки инцидентов
урегулированию юридических аспектов обращения информации в процессе расследования
утверждению структуры команды реагирования на инциденты
налаживанию внутриорганизационных контактов команды по расследованию инцидентов с профильными специалистами (юристы, кадры, служба содействия бизнесу, информационная безопасность и.т.д.)
определению зон ответственности команды расследования, обучению и техническому оснащению команды расследования
Сокращение инцидентов информационной безопасности путём эффективного использования современных средств защиты сетей, компьютерных систем, программного обеспечения и приложений:
превентивные меры (предотвращение проблем до наступления события инцидента) являются менее дорогостоящими, чем работы по ликвидации последствий инцидентов, следовательно, превентивные меры являются неотъемлемой частью политики реагирования на инциденты информационной безопасности
процедура реагирования на инциденты и расследование по факту их происшествия будет более эффективной, если определённым видам информационных ресурсов будут поставлены в соответствие адекватные средства технической защиты информации
Документирование руководящих принципов и процедур расследования инцидентов информационной безопасности для обеспечения внутриорганизационного взаимодействия и формирования представлений в органы государственной власти:
в процессе расследования инцидента организации, возможно, потребуется общаться со сторонними организациями с целью детального расследования и доведения процедуры расследования до логичного завершения (СМИ, органы правопорядка, пострадавшие со стороны третьих лиц)
в случае несоразмерного разглашения конфиденциальной информации, связанной с результатами расследования инцидента, ущерб от подобных действий может быть соизмерим или превышать ущерб, нанесённый вследствие самого инцидента информационной безопасности
урегулированию проблемы несоразмерного разглашения служит создание, так называемых, контактных позиций (POC - point of contact), структура и правомочность которых оговаривается на этапе формирования политики расследования инцидентов и представляет собой юридически закреплённую доверительную среду участников информационного обмена
Информирование о результатах расследования инцидента своих сотрудников и партнёров.
Структуризация и приоритезация потока информации о возможных инцидентах информационной безопасности, поступающей от технических средств мониторинга и сбора данных:
средства IDS ежедневно фиксируют множество событий безопасности, единицы из которых отражают уязвимости либо попытки их реализации.
Формализация принципов приоритезации событий информационной безопасности.
Хорошей практикой является использование принципа приоритезации инцидентов информационной безопасности, основанного на определении степени критичности рассматриваемого ресурса и степени критичности воздействия на рассматриваемый ресурс, т.е., так называемый, эффект инцидента. Важно, также, учитывать популярность ресурса, т.е. насколько ресурс востребован. Подобные предположения должны быть оформлены в виде методики, и войти, как составная часть, в формализованную политику расследования инцидентов информационной безопасности. Удобной формой представления подобной методики является представление предположений о критичности активов в матричной форме:
действия команды по расследованию инцидентов должны быть формализованы и представлены в виде Соглашения об уровне обслуживания (SLA - Service Level Agreement), где подробно определяются действия каждого сотрудника и время реакции на определённые события
Анализ инцидентов и обработка результатов с целью получения практического опыта:
после обработки инцидента, результаты расследования должны быть документированы и внесены в базу данных инцидентов информационной безопасности. Завершение расследования должно сопровождаться совместным обсуждением его результатов со всеми привлечёнными и заинтересованными сторонами. Команда расследования инцидентов должна сделать соответствующие выводы об уязвимостях, классифицировать их и принять меры к недопущению в дальнейшем инцидентов подобного вида. Хорошей практикой является проведение подобных обсуждений на регулярной основе
понимание причинно-следственных связей в процессе расследования сложных инцидентов
к расследованию сложных инцидентов привлекаются специалисты из различных подразделений организации, решающим фактором проведения успешного расследования сложного инцидента является консолидация действий сотрудников и внедрение практики ролевого управления расследованием.