- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
2. Обработка инцидентов информационной безопасности (Часть 2)
Практика превентивных мероприятий в сфере информационной безопасности основана на оценке рисков наступления того или иного события инцидента информационной безопасности. Фиксирование факта наступления события инцидента, очевидно, не может считаться превентивной мерой, поскольку отображает фат уже свершившегося инцидента.
Превентивные мероприятия
Первопричиной наступления события инцидента информационной безопасности является потенциальная способность злоумышленника получить необоснованные привилегии для доступа к активу организации. Оценить риск подобной возможности и принять правильное решение о защите, составляет основную задачу команды реагирования.
Каждый риск должен быть приоритезирован и обработан, в соответствии с политикой оценки рисков принятой в организации. Оценка рисков рассматривается как перманентный процесс, целью которого является достижение приемлемого уровня защиты, иными словами, должны быть внедрены достаточные меры защиты актива от необоснованного или неправомочного использования. Оценка рисков способствует классификации активов. Критичные, с точки зрения рисков активы, в подавляющем большинстве случаев, также являются критичными для бизнеса организации.
Специалисты команды реагирования анализируют угрозы и способствуют поддержанию в актуальном состоянии, принятой службой информационной безопасности организации, модели нарушителя.
Для эффективной работы команды реагирования в организации должны быть предусмотрены процедуры, обеспечивающие описание процессов функционирования подразделений. Особое внимание должно уделяться наполнению документарной базы службы информационной безопасности.
Обнаружение и анализ инцидентов информационной безопасности
Инциденты информационной безопасности могут иметь различные источники происхождения. В идеале, организация должна быть готова к любым проявлением вредоносной активности. На практике это неосуществимо.
Служба реагирования должна классифицировать и описать каждый инцидент, произошедший в организации, а также классифицировать и описать возможные инциденты, предположения о которых были сделаны на основе анализа рисков.
Для расширения тезауруса о возможных угрозах и связанных с ними возможных инцидентов хорошей практикой является использование постоянно обновляемых открытых источниках сети Internet.
Признаки инцидента информационной безопасности
Предположение о том, что в организации произошёл инцидент информационной безопасности, должно базироваться на трёх основных факторах:
сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы)
IDS сигнализируют о множественном повторяющемся событии
Анализ журнальных файлов автоматизированной системы даёт основание для вывода системным администраторам о возможности наступления события инцидента
В общем случае, признаки инцидента делятся на две основные категории, сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдёт в скором будущем. Ниже перечислены некоторые признаки совершающегося события:
IDS фиксирует переполнение буфера
уведомление антивирусной программы
крах WEB – интерфейса
пользователи сообщают о крайне низкой скорости при попытке выхода в Internet
системный администратор фиксирует наличие файлов с нечитабельными названиями
пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений
хост производит запись в журнал аудита об изменении конфигурации
приложение фиксирует в журнальном файле множественные неудачные попытки авторизации
администратор сети фиксирует резкое увеличение сетевого трафика, и.т.д.
Примерами событий, которые могут послужить источниками информационной безопасности могут служить:
журнальные файлы сервера фиксируют сканирование портов
объявление в СМИ о появлении нового вида эксплойта
открытое заявление компьютерных преступников об объявлении войны вашей организации и.т.д.