- •Тема 1.5 Система мониторинга событий иб в информационных системах. Реагирование на инциденты иб.
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Выявление инцидентов информационной безопасности
- •Нормативные документы, стандарты
- •Обучение пользователей вопросам выявления инцидентов иб
- •Технические средства и системы выявления инцидентов иб
- •Реагирование на инциденты информационной безопасности
- •Кто участвует в процессе реагирования на инцидент?
- •Каковы основные этапы процесса реагирования на інцидент компьютерной безопасности?
- •- Технические средства и системы выявления инцидентов иб;
Выявление инцидентов информационной безопасности
Нарушения информационной безопасности (ИБ), хотим мы этого или нет, регулярно происходят в ходе повседневной деятельности любой организации и могут привести к весьма негативным последствиям: от отказа сервиса до прекращения деятельности в целом. Количество и частота появления таких нарушений или инцидентов ИБ1 существенно зависят от эффективности системы управления информационной безопасностью (СУИБ).
Инциденты ИБ возникают в ходе реализации угроз и могут быть преднамеренными или случайными (например, являться следствием ошибки пользователя или техногенной аварии). Соответственно существенным образом будут различаться и процедуры управления инцидентами: например, выявление и расследование утечки конфиденциальной информации, совершенной инсайдером из числа опытных администраторов, отличается от выявления нецелевого использования сети Интернет менеджером.
Нормативные документы, стандарты
Управление инцидентами - одна из важнейших процедур управления ИБ, рекомендованная международными и отечественными стандартами в области ИБ. К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, причем не только в рамках обеспечения ИБ (ISO/IEC 17799:2000, ISO/IEC 27001:2005 и др.), но и при управлении ИТ-сервисами в целом (ISO/IEC 20000:2005).
Вполне естественно, что каждая организация в построении системы управления инцидентами ИБ руководствуется определенными стандартами и требованиями руководства, учитывает уже имеющиеся наработки, опыт специалистов.
Политика реагирования на инциденты ИБ разрабатывается с учетом специфики организации, профиля ее деятельности.
В большинстве организаций процесс управления инцидентами ИБ построен следующим образом:
получение информации об инциденте;
получение дополнительной информации, связанной с выявленным инцидентом;
анализ ситуации, локализация инцидента и оперативное применение контрмер;
установление причин, по которым стал возможен инцидент, и определение ответственных лиц (расследование);
проведение корректирующих и профилактических мероприятий.
Процедура управления инцидентами разрабатывается в рамках общей СУИБ и должна обеспечиваться соответствующими нормативными документами и всеобщей поддержкой пользователей.
Нормативные документы должны отражать следующие основные вопросы:
определение инцидента ИБ, перечень событий, являющихся инцидентами, и порядок оповещения ответственного лица о возникновении инцидента - для всех пользователей;
порядок выявления и расследования инцидента ИБ, устранения последствий и причин инцидента, а также проведения необходимых корректирующих и превентивных мероприятий - для работников подразделений ИБ.
Обучение пользователей вопросам выявления инцидентов иб
Инцидент ИБ может заметить пользователь или администратор системы. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, чего не всегда можно сказать о пользователях. Поэтому важным аспектом построения системы управления инцидентами ИБ является обучение пользователей вопросам выявления таких инцидентов и реагирования на них.
Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр.
Процедуры сбора информации, используемые для выявления и расследования инцидентов, могут обеспечиваться как техническими, так и организационными мерами.