- •Тема 1.6 Структура та організація системи управління комп’ютерними інцидентами іб. Система управления компьютерными инцидентами информационной безопасности
- •1. Що таке інцидент?
- •2. Управління інцидентами інформаційної безпеки
- •3. Ознаки інциденту інформаційної безпеки
- •4. Аналіз інцидентів інформаційної безпеки
- •5. Документування інциденту інформаційної безпеки
- •6. Концепція і структура побудови системи управління інцидентами іб
- •7. Пріоретизація інцидентів інформаційної безпеки
- •8. Розповсюдження повідомлень про інцидент інформаційної безпеки
- •9. Розробка політики реакції на інцидент
- •10. Як управляти інцидентами інформаційної безпеки?
- •11. Планування та підготовка
- •12. Експлуатація
- •13. Аналіз
- •14. Поліпшення
- •15. Виявлення і реєстрація інциденту
- •16. Усунення причин, наслідків інциденту і його розслідування
- •17. Коректуючі та превентивні дії
- •18. Рекомендації і можливі труднощі
- •19. Ефект від впровадження процесу управління інцидентами
- •20. Ефект від впровадження процесу управління проблемами
- •Завдання на самостійну роботу
- •Питання для самоконтролю л-6
- •Рекомендована література
Л-6
Тема 1.6 Структура та організація системи управління комп’ютерними інцидентами іб. Система управления компьютерными инцидентами информационной безопасности
ОСНОВНОЙ целью обеспечения информационной безопасности (ИБ) организации является снижение рисков, действующих в отношении информационных ресурсов, и в конечном счете предотвращение или минимизация ущерба от возможных инцидентов ИБ.
Для достижения этой цели в большинстве крупных и средних компаний созданы подразделения информационной безопасности, которые планируют и реализуют комплекс мероприятий по защите своих информационных ресурсов. Хорошей практикой организации деятельности по защите информации является следование модели PDCA. Эта модель объединяет 4 взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие.
Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании. Однако в данном материале мы ограничимся рассмотрением механизмов управления компьютерными инцидентами, которые включаются в процесс мониторинга.
1. Що таке інцидент?
Згідно прийнятому в ITIL визначенню під «інцидентом» розуміється «будь-яка подія, що не є елементом нормального функціонування служби і при цьому надає або здатна зробити вплив на роботу служби шляхом її переривання або зниження якості».
Основні категорії інцидентів:
Додатки:
служба недоступна;
помилка в додатку, що не дає змогу клієнту нормально працювати;
вичерпано дисковий простір.
Устаткування:
збій системи;
внутрішній сигнал тривоги;
відмова принтера.
Заявки на обслуговування:
надходження заявки на отримання додаткової інформації, поради, документації;
забутий пароль.
Більшість груп ІТ-фахівців має відношення щодо усунення тих або інших інцидентів. Служба Service Desk відповідає за моніторинг процесу усунення всіх зареєстрованих інцидентів, оскільки є власником всіх таких інцидентів. Цей процес більшою мірою реактивний; для ефективної реакції на інциденти повинен бути визначений формальний метод роботи співробітників, що включає використання необхідного програмного забезпечення.
Ті інциденти, які не можуть бути дозволені безпосередньо службою Service Desk, повинні бути переадресовані відповідним фахівцям. Спосіб розв'язання інциденту або варіант його обходу повинен бути встановлений і доведений до користувачів якнайшвидше. Це випливає з головної цілі – мінімізації негативного впливу на основну діяльність користувачів. Після усунення причини інциденту і відновлення служби до обумовленого в SLA рівня інцидент закривається.
2. Управління інцидентами інформаційної безпеки
Частота появления и количество инцидентов, связанных с информационной безопасностью, — один из наглядных показателей того, правильно ли функционирует система управления безопасностью.
Как международные стандарты управления информационной безопасностью могут способствовать снижению количества инцидентов, а их соблюдение помогает предприятию перейти на новый уровень управления информационной безопасностью? Международный стандарт ISO 27001:2005 обращает особое внимание на необходимость создания процедуры управления инцидентами информационной безопасности — очевидно, что без своевременной реакции на инциденты безопасности и устранения их последствий невозможно эффективное функционирование системы управления информационной безопасностью. К сожалению, в процессе аудита различных информационных систем приходится сталкиваться с множеством проблем регистрации и расследования инцидентов, свидетельствующих о том, что стандартам на предприятиях уделяется очень мало внимания.
Например, в корпоративной сети одной из компаний появилась новая учетная запись пользователя с привилегированными полномочиями. В процессе расследования выяснилось, что пароль от единственной административной учетной записи знают несколько администраторов, а на контроллере домена не ведутся журналы регистрации событий, поэтому узнать, кто создал учетную запись, и расследовать данный инцидент оказалось невозможно. При этом пользователь, который будет заходить под новой привилегированной учетной записью, может выполнять в системе любые действия, просматривать, изменять или удалять информацию, останавливать или модифицировать работу сервисов.
Управление компьютерными инцидентами - процесс или набор процессов, на вход которых подаются данные, полученные в результате сбора и протоколирования данных о событиях, затрагивающих информационные системы, а на выходе этих процессов получают информацию о причинах произошедшего инцидента, об ущербе, нанесенном компании, и мерах, которые необходимо принять для того, чтобы инцидент не повторился. Таким образом, управление компьютерными инцидентами направлено на совершенствование подсистемы обеспечения безопасности компании. Кроме того, получаемые на выходе данные являются, по сути, единственным объективным свидетельством в определении вероятности реализации угроз при анализе рисков.
В большинстве организаций процесс управления компьютерными инцидентами построен следующим образом:
получение информации о компьютерном инциденте;
получение дополнительной информации, связанной с выявленным нарушением;
анализ ситуации, локализация нарушения и оперативное применение контрмер;
установление причин, по которым стало возможным случившееся нарушение и, может быть, определение ответственных лиц (расследование);
проведение профилактических мероприятий, разработка и внедрение мер по недопущению повторного нарушения.
Используемые для выявления инцидентов процедуры сбора информации могут обеспечиваться как техническими, так и организационными мерами; например, в соответствии с требованиями политики безопасности сотрудник, обнаруживший нарушение, обязан сообщить о нем в подразделение информационной безопасности. Затем информация о выявленных инцидентах фиксируется в специальных журналах (в бумажном или электронном виде).
Результаты анализа, расследований и профилактических мероприятий обычно оформляются в виде справок, отчетов и аналитических записок и хранятся в подразделении ИБ. Однако если в компании эффективно реализована регистрация событий, а ее информационная инфраструктура характеризуется значительным размером и территориально распределена, то рано или поздно наступает момент, когда информацию, связанную с инцидентами и ходом их расследований, становится трудно обрабатывать без помощи специального инструментария. Еще проблематичнее становится подготовка и анализ статистики по компьютерным инцидентам, в то время как эта статистика является одним из ключевых показателей эффективности действующей подсистемы безопасности компании. Очевидно, что в результате этого падает эффективность процесса управления компьютерными инцидентами, что в конечном счете негативно влияет на обеспечение ИБ компании в целом.
Каким же образом можно существенно повысить эффективность процесса управления компьютерными инцидентами? Прежде всего необходимо определить показатели эффективности.
Эффективность процесса управления инцидентами зависит от:
координации и согласованности действий всех вовлеченных в него лиц;
имеющихся возможностей по получению и анализу информации, связанной с инцидентом;
оперативности и корректности полученных результатов.
Повышение каждого из перечисленных показателей заметно поднимет эффективность всего процесса управления инцидентами и тем самым позволит подразделению информационной безопасности добиться более значительных результатов.
Радикально изменить ситуацию по управлению инцидентами можно, используя систему управления компьютерными инцидентами. Эта система позволит:
консолидировать всю информацию о компьютерных инцидентах в едином хранилище;
создать единый центр управления инцидентами ИБ с целью обеспечения контроля и координации действий по локализации и расследованиям;
повысить скорость реагирования и оперативность выявления причин инцидента;
повысить достоверность получаемых результатов по выявлению причин инцидента,ответственных лиц и определению необходимых действий, устранению последствий инцидента и применению контрмер;
формировать статистику по инцидентам ИБ, выявлять тенденции ее изменения и анализировать динамику этих изменений;
автоматизировать применение контрмер для снижения риска ИБ при выявлении типовых инцидентов.
Таким образом, система фактически будет являться системой коллективной работы, которая автоматизирует процессы по управлению инцидентами ИБ, при помощи интеграции людей и аппаратно-программного обеспечения мониторинга и защиты, а также информационной инфраструктуры организации.