- •Тема 1.6 Структура та організація системи управління комп’ютерними інцидентами іб. Система управления компьютерными инцидентами информационной безопасности
- •1. Що таке інцидент?
- •2. Управління інцидентами інформаційної безпеки
- •3. Ознаки інциденту інформаційної безпеки
- •4. Аналіз інцидентів інформаційної безпеки
- •5. Документування інциденту інформаційної безпеки
- •6. Концепція і структура побудови системи управління інцидентами іб
- •7. Пріоретизація інцидентів інформаційної безпеки
- •8. Розповсюдження повідомлень про інцидент інформаційної безпеки
- •9. Розробка політики реакції на інцидент
- •10. Як управляти інцидентами інформаційної безпеки?
- •11. Планування та підготовка
- •12. Експлуатація
- •13. Аналіз
- •14. Поліпшення
- •15. Виявлення і реєстрація інциденту
- •16. Усунення причин, наслідків інциденту і його розслідування
- •17. Коректуючі та превентивні дії
- •18. Рекомендації і можливі труднощі
- •19. Ефект від впровадження процесу управління інцидентами
- •20. Ефект від впровадження процесу управління проблемами
- •Завдання на самостійну роботу
- •Питання для самоконтролю л-6
- •Рекомендована література
5. Документування інциденту інформаційної безпеки
Документування подій інциденту інформаційної безпеки необхідно для збору та консолідації свідчень розслідування. Документуванню підлягають всі факти та докази зловмисного впливу. Розрізняють технологічні свідчення та операційні свідчення впливу. До технологічних свідчень відносять інформацію, отриману від технічних засобів збору та аналізу даних (сніфери, IDS), до операційних – дані або докази, зібрані в процесі опитування персоналу, свідчення звернень на service desk, дзвінки в call center.
Типовою практикою є ведення журналу розслідування інциденту, який не має стандартної форми і розробляється командою реагування. Ключовими позиціями подібних журналів можуть бути:
поточний статус розслідування;
опис інциденту;
дії, які виконуються командою реагування в процесі обробки інциденту;
список акторів розслідування з описом їх функцій і відсотком зайнятості в процедурі розслідування;
перелік свідчень (з обов'язковим зазначенням джерел), зібраних в ході обробки інциденту;
коментарі учасників розслідування інциденту;
опис подальших дій та стан процесу (очікування відповіді на запит в call center та ін.).
В процесі розслідування інциденту всі свідчення повинні бути захищені від дискредитації, оскільки дані можуть містити інформацію про дієві вразливості інформаційної системи.
6. Концепція і структура побудови системи управління інцидентами іб
Архітектура системи управління інцидентами ІБ включає наступні основні компоненти:
інтеграційну платформу;
апаратно-програмні засоби моніторингу і аудиту;
апаратно-програмні засоби захисту інформації;
сховище інформації про інциденти ІБ;
аналітичні інструменти і засоби генерації звітів;
засоби управління і набуті інтерфейси, з користувачами.
Інтеграційна платформа платформа є ядром системи. Вона реалізує функції з інтеграції і взаємодії всіх компонент, що складають систему. Інтеграційна платформа надає:
інтерфейси для інтеграції засобів моніторингу і аудиту, забезпечуючи збір даних;
інтерфейси до засобів захисту інформації для оперативної зміни їх конфігурації в цілях локалізації наслідків інцидентів ІБ;
інтерфейс до сховища даних;
сервіси щодо використання аналітичних функцій і засобів генерації звітів.
Основна ціль інтеграційної платформи полягає в забезпеченні чіткої і оперативної координації і взаємодії осіб, що відповідають за реакцію на події, пов'язані з комп'ютерними інцидентами. Такими особами можуть бути:
користувачі інформаційних систем організації – сповіщення про комп'ютерні інциденти;
адміністратори і персонал підрозділів автоматизації – сповіщення, реакція, локалізація, розбір інцидентів тощо.
співробітники підрозділів безпеки – реакція, контроль, координація дій щодо усунення, розслідування причин, розробки пропозицій з недопущення повторення інцидентів.
Апаратно-програмні засоби моніторингу і аудиту – засоби, що реалізують функції з протоколювання, збору, накопичення та обробки інформації функціонування інформаційних систем організації. До таких засобів відносяться як вбудовані (штатні засоби операційних систем, додатків, мережних пристроїв, засобів захисту і автоматизованих систем), так і спеціалізовані засоби (розроблені за технічними завданнями підрозділу інформаційної безпеки, а також спеціалізовані засоби аудиту – сканери безпеки, програмні агенти, сенсори, що збирають інформацію та ін.). Результатом роботи всіх наведених засобів є дані, на основі яких системою автоматично або після їх аналізу експертом приймається рішення щодо настання комп'ютерного інциденту. Дані засоби складають підсистему збору інформації про комп'ютерні інциденти.
Апаратно-програмні засоби захисту в контексті системи управління інцидентами ІБ – засоби, які забезпечують локалізацію інцидентів або зниження збитку. Ці засоби мають механізми, що дозволяють проводити швидку і дистанційну зміну своєї конфігурації або мати в своєму складі наперед розроблені автоматизовані сценарії дій з мінімізації можливого збитку від комп'ютерних інцидентів.