- •Тема 1.5 Система мониторинга событий иб в информационных системах. Реагирование на инциденты иб.
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Выявление инцидентов информационной безопасности
- •Нормативные документы, стандарты
- •Обучение пользователей вопросам выявления инцидентов иб
- •Технические средства и системы выявления инцидентов иб
- •Реагирование на инциденты информационной безопасности
- •Кто участвует в процессе реагирования на инцидент?
- •Каковы основные этапы процесса реагирования на інцидент компьютерной безопасности?
- •- Технические средства и системы выявления инцидентов иб;
Кто участвует в процессе реагирования на инцидент?
Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team - CSIRT). Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.
Каковы основные этапы процесса реагирования на інцидент компьютерной безопасности?
Инцидент компьютерной безопасности часто оказывается проявлением комплексной и многосторонней проблемы. Правильный подход к решению этой проблемы - в первую очередь ее декомпозиция на структурные компоненты и изучение входных и выходных данных каждого компонента.
Основные этапы процесса реагирования на инцидент следующие.
Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании). Формирование комиссии по расследованию (CSIRT) инцидентов. Этот этап является одним из самых важных, от него зависит успех в проведении расследования потенциального инцидента.
Обнаружение инцидента - идентификация инцидента ИБ.
Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте. Пресечение незаконных действий.
Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Подтверждается топ-менеджментом компании. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента.
Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.
Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.
Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".
Завдання на самостійну роботу
Вивчити матеріал, наведений у лекції та дати відповіді на питання самоконтролю.
Питання для самоконтролю Л-5
- ключевое преимущество системы мониторинга событий ИБ;
- создание центров управления инцидентами ИБ (Cyber Incident Response Center - CIRC);
- организация мониторинга ИБ в банковской системе;
- основные задачи процесса реагирования на инциденты ИБ;
- требования к процессу реагирования на инциденты рамках международного стандарта ISO/IEC 27001:2005;