- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
Ресурсы и инструментарий расследования инцидентов информационной безопасности
Этап подготовки к расследованию инцидентов заключается в сборе и анализе информации об инцидентах информационной безопасности, обучении персонала и подготовки необходимого инструментария для реагирования и расследования инцидента:
контактная информация сотрудников подразделения реагирования
телефоны служб технической поддержки
открытый или анонимный канал связи для сообщений о подозрительных действиях
номера мобильных телефонов сотрудников
криптографические средства для защиты обмена информацией между членами команды реагирования
защищённое переговорное помещение
база данных для хранения свидетельств и результатов расследования инцидентов
В состав инструментария должны входить, также, средства программного обеспечения и аппаратные средства сбора данных:
компьютерная система для хранения свидетельств расследования инцидентов
мобильные компьютеры, для удобства работы команды расследования инцидентов
испытательная лаборатория для анализа возможного развития инцидента
комплекты чистых дискет, CD и DVD носителей
принтеры
программное обеспечение для анализа состояния дисковой подсистемы
сниферы и анализаторы протоколов для анализа сетевого трафика
загрузочные диски всех используемых в организации операционных сред
сопутствующие устройства, такие как диктофоны, цифровые фото и видеокамеры для сбора доказательной базы в процессе расследования
В процессе анализа инцидента команда реагирования должна иметь доступ ко всем необходимым для анализа ресурсам информационной системы, таким как:
просмотру состояния портов операционной среды
свидетельству работы операционных систем, приложений, протоколов, систем обнаружения вторжений, сигнатур антивирусов
просмотру статистических журналов работы сети наиболее критичных устройств (WEB – серверы, серверы электронной почты, протоколы работы FTP - серверов)
просмотру журналов активности приложений
журналам криптографических средств
операционным системам, для анализа журнальных файлов, в том числе, с правами администратора
данным об загружаемых обновлениях в операционных средах
информации о регламентах резервного копирования и тестировании резервных носителей
Команда реагирования на инциденты должна иметь универсальный мобильный инструментарий для возможности реагирования на инцидент (jump kit). Организация должна обеспечить финансовую основу для совершенствования и поддержания в актуальном состоянии инструментария команды реагирования.
Литература
Материалы и публикации NIST: http://csrc.nist.gov/publications/nistpubs/index.html
BS 25999-1:2006 Управление непрерывностью бизнеса – Часть1: Практические правила
BS ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования
ISO13335-1:2004 Информационные технологии. Руководство по управлению ИТ безопасностью. Концепции и модели для управления безопасностью информационных и телекоммуникационных технологии)