- •Тема 1.4 Розробки та впровадження комплексної системи управління інцидентами інформаційної безпеки
- •1.1. Опис створюваної системи управління інцидентами інформаційної безпеки
- •Документація системи управління інцидентами
- •Впровадження системи
- •Склад робіт зі створення системи
- •Завдання на самостійну роботу
- •Питання для самоконтролю л-4
- •Питання, що викликають складнощі управління інцидентами інформаційної безпеки.
- •Рекомендована література
Документація системи управління інцидентами
Система управління інцидентами інформаційної безпеки повинна включати в себе широкий перелік нормативно-розпорядчої та організаційної документації. При документуванні системи необхідно враховувати вимоги з документування, що висуваються міжнародним стандартом ISO/IEC 27001-2005. До складу документації системи можуть входити наступні документи:
Організаційно-розпорядчі документи:
Опис процесу управління інцидентами ІБ.
Опис ролей процесу управління інцидентами ІБ.
Процедура виявлення і сповіщення про інциденти ІБ.
Процедура реагування на інциденти ІБ.
Процедура аналізу і службового розслідування інцидентів ІБ.
Процедура взаємодії з суміжними підрозділами.
Посадові інструкції.
Нормативні документи:
Політика управління інцидентами.
Політика моніторингу подій інформаційної безпеки.
Політика аудиту дій користувачів і адміністраторів.
Робочі документи:
Перелік активів організації та їх власників.
Перелік типових загроз активам.
Перелік осіб, відповідальних за експлуатацію ІТ-систем.
Журнали реєстрації інцидентів.
Форми записів щодо інцидентів.
Форми звітності для керівництва і зацікавлених осіб.
Документація на систему автоматизації управління інцидентами:
Документи техніко-робочого проекту.
Інструкції користувачів і адміністраторів.
Впровадження системи
Для ефективного функціонування системи управління інцидентами інформаційної безпеки необхідно на стадії впровадження забезпечити ряд ключових чинників.
- В першу чергу, система управління повинна бути забезпечена вхідним потоком подій інформаційної безпеки, що адекватно відображає стан в рамках обраної області дії.
- При виявленні і реагуванні на інцидент, необхідно мати дані щодо задіяних активів, їх власників і ступінь критичності.
- При розслідуванні інцидентів необхідно мати доступ до подій інформаційної безпеки, що вплинули на інцидент, таким як дані аудиту дій користувачів і адміністраторів.
- При аналізі інцидентів, наданню звітності керівництву необхідно мати можливість зіставлення активів, що підпали під вплив в результаті інциденту і ризиків для основних бізнес-процесів організації.
Таким чином, при виборі області дії системи управління інцидентами і черговості впровадження необхідно вибирати ту область, яка входить в область дії наступних процесів:
Інвентаризації активів.
Аналізу ризиків.
Моніторингу подій інформаційної безпеки.
Аудиту дій користувачів і адміністраторів в інформаційних системах.
Склад робіт зі створення системи
Роботи з впровадження системи управління інцидентами інформаційної безпеки пропонується проводити у декілька етапів. Нижче приведений опис робіт кожного етапу.
На першому етапі проводиться обстеження об'єкту. На даному етапі -
- Здійснюється збір й аналіз інформації щодо наявних та використовуваних на даний момент регламентах, процедурах і засобах забезпечення інформаційної безпеки і управління інцидентами.
- Виявляються джерела подій інформаційної безпеки, збираються відомості щодо використовуваних інформаційних систем і технологій обробки інформації.
- Визначається область дії системи управління інцидентами інформаційної безпеки.
- Розробляються документи «Завдання щодо робіт з розробки системи управління інцидентами інформаційної безпеки» і «Технічне завдання на автоматизовану систему моніторингу й управління інцидентами інформаційної безпеки».
На другому етапі здійснюється розробка процесів системи управління інцидентами інформаційної безпеки, написання відповідних документів (перелік яких задає «Завдання на роботи»). В рамках даного етапу здійснюється ескізне проектування автоматизованої системи, визначаються основні технічні рішення, розробляється перелік необхідного програмного і апаратного забезпечення.
На третьому етапі здійснюється впровадження системи управління інцидентами інформаційної безпеки. Проводиться навчання персоналу, розподіл ролей, інтеграція системи управління з іншими процесами управління інформаційною безпекою. На даному етапі здійснюється техніко-робоче проектування автоматизованої системи.
На четвертому етапі здійснюється впровадження автоматизованої системи моніторингу й управління інцидентами інформаційної безпеки.
Сложности управления инцидентами информационной безопасности
Во многих компаниях не всегда возможно проследить за изменением количества и характера инцидентов информационной безопасности — отсутствует процедура управления инцидентами.
Часто отсутствие инцидентов не указывает на то, что система управления безопасностью работает правильно, а означает только, что инциденты не фиксируются или не определяются.
Как правило, основные сложности при управлении инцидентами вызывают следующие моменты.
Определение инцидента. В компании отсутствует методика определения инцидентов, а сотрудники не знают, какие события являются инцидентами. Это особенно важно в случае инцидентов информационной безопасности — они не всегда мешают нормальной работе. Например, инцидентом безопасности будет оставление без присмотра на столе конфиденциальных документов, на что никто может и не обратить внимания, а злоумышленник (который может быть сотрудником компании) такие документы заметит.
Оповещение о возникновении инцидента. Сотрудники компании зачастую не осведомлены о том, кого и в какой форме следует ставить в известность при возникновении инцидента, — например, не определены ни формы отчетов, ни перечень лиц, которым необходимо отправлять отчеты об инцидентах. Даже если сотрудник заметит, что его коллега уносит для работы домой конфиденциальные документы компании, он не всегда знает, какие действия следует предпринимать в данной ситуации.
Регистрация инцидента. Ответственным лицам (даже если таковые назначены) часто не предоставляется методика регистрации инцидентов — не существует специальных журналов их регистрации, а также правил и сроков заполнения.
Устранение последствий и причин инцидента. В компаниях, как правило, отсутствует документально зафиксированная процедура, описывающая действия, которые необходимо выполнить с целью устранения последствий и причин инцидента. В первую очередь такая процедура должна предусматривать, чтобы мероприятия по устранению последствий и причин инцидента не нарушали процедуры их расследования: устранение последствий инцидента не должно «заметать следы», чтобы невозможно было установить виновных в инциденте.
Расследование инцидента. На этапе расследования инцидентов основную роль играют: ведение журналов регистрации событий, четкое разделение полномочий пользователей, ответственность за выполненные действия — важны доказательства того, кто участвовал в инциденте и какие действия он выполнял.
К сожалению, про расследование инцидентов в компаниях часто просто забывают. Как только последствия инцидента устранены и бизнес-процессы восстановлены, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются.
Реализация действий, предупреждающих повторное возникновение инцидента.
Как правило, если компании был нанесен какой-либо ущерб, то к виновным в возникновении инцидента (которые определены без необходимых в таких случаях процедур) все же применяются различные взыскания, однако внесение дисциплинарных взысканий не всегда подчиняется утвержденным процедурам и другие действия по предотвращению повторения инцидента выполняются тоже не всегда.
Заключение
Эффективно организовав и внедрив процесс управления инцидентами, компания получит следующие бизнес-преимущества:
снижение отрицательного влияния инцидентов на бизнес организации;
доступность необходимой для бизнеса управленческой информации;
превентивное определение мер по улучшению информационной защищенности.
Правильно организованный процесс управления инцидентами в подразделениях службы информационной безопасности это:
четкое определение для всех специалистов ролей и ответственности за качественное и своевременное реагирование на инциденты;
оперативная информация для мониторинга эффективности принимаемых защитных мер;
прозрачность контроля за эффективностью работы сотрудников подразделения;
повышение качества взаимодействия специалистов в смежных ИТ- и бизнес-подразделениях.
Создание системы автоматизации процесса управления инцидентами позволит дополнительно получить следующие преимущества:
регистрировать и хранить информацию об инцидентах и о всех действиях по их устранению;
быстро находить решение по устранению возникшего инцидента исходя из информации об устранении аналогичных, ранее возникших инцидентов;
осуществлять автоматическое направление поступившего инцидента соответствующему специалисту;
автоматизировать сбор статистической информации о всех инцидентах, произошедших в инфраструктуре ИТ за определенный период времени;
более эффективно отслеживать качество и своевременность выполнения работ специалистами.
проводить анализ накопленных данных.