Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5176 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МЭИ»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции_1 / ИАОБИС.docx
Скачиваний:
135
Добавлен:
31.03.2015
Размер:
47 Кб
Скачать
►Содержание►

Информационно-аналитическое обеспечение безопасности предпринимательской деятельности.

Расследование инцендентов информационной безопасности.

Писаренко Игорь Викторович

Курсовая,экзамен.

Инценденты информационной безопасности.

Никакие защитные меры ИБ, политики ИБ не могут гарантировать полную защиту информации, ИС, сервисов или сетей. После внедрения защитных мер остаются слабые места/уязвимости, которые могут сделать обеспечение ИБ неэффективным, а возникнование инцендентов ИБ возможным. В службе ИБ организации необходимо уделят серьезное внимание вопросам менеджмента инцендентов ИБ и управлять ими. Для любой организации, которая серьезно относится к вопросам обеспечения ИБ важно применять структурный и плановый подход к решению следующих задач:

  1. Обнаружение и оповещение об инцендентах ИБ и их оценка.

  2. Реагирование на инценденты ИБ.

  3. Извлечение уроков из инцендентов ИБ, внедрение привентивных и профилактических защитных мер.

Понятие инцендента информационной безопасности.

ГОСТ Р ИСО МЭК 27001 2006года (информационная технология. Методы и средства обеспечения ИБ. Системы менеджмента ИБ). В данном стандарте дается описание общей системы менеджмента безопасности,и одним из разделов является менеджмент инцендентов ИБ.

В ГОСТе Р ИСО МЭК ТО 18044-2007 (Информационная технология. Методы и средства олбеспечения безопасности. Менеджмент инцендентов ИБ.) Дается определение: событие ИБ - идентифицированное появлениеопределенного состояния систсмы, сервиса или сети, указывающего на возможное нарушение поитики ИБ или отказ защитных мер, или возникновение неизвестное ранее ситуации, которая может иметь отношение к безопасности.

События могут быть результатом случайных или преднамеренных действий, которые могутиоказывать влияние на ИБ, т.е.на конфиденциальность , целостность или доступность информации. То есть, событие - определенное состояние системы, которое может и не являться инцендентом ИБ.

В том де документе, инцендент ИБ - появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компромитации бизнес-операций и создания угроз ИБ.

Инцендент ИБ - любое незаконное, неразрешенное (в т.ч.политикой ИБ) или неприемлимое действие по отношению к ИС.

В стандарте банка России СТО БР ИББС-1.0-2010, инцендент ИБ - событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.

В 27001, инцендент ИБ - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или ИБ. Здесь же дается перечень основных инцендентов ИБ:

  • Утрата услуг, оборудования, устройств

  • Системные сбои или перегрузки.

  • Ошибки пользователей.

  • Несоблюдение политики или рекоммендаций по ИБ.

  • Нарушение физических мер защиты

  • Неконтроллируемое изменение системы

  • Сбои ПО и отказы ТС

  • Нарушение правил доступа.

К основным документам, которые регулируют вопросы управления инцендентов ИБ относятся:

  1. ГОСТ Р ИСО/МЭК ТО 18044-2007

  2. ИСО/МЭК 27035-2011 , в РФ пока нет, в замен #1.

  3. ГОСТ 27001

  4. ГОСТ 17799

  5. СТО БР ИББС-1.0-2010

  6. NIST SP 800-61 - на рус. Не переведен - сборник лучших практик, разработанных национальным институтом стандартов по построению процессов управления ИБ.

  7. CMU/SEI-2004-TR-015 - планирует методологию планирования, внедрения, оценки и улучшения процессов управления инцендентами. Упор делается на создание группы или центра управления инцендентами.

Как правило, во многих организациях (особенно в крупных) создаются спец.подразделения, которые занимаются вопросами обеспечения ИБ, в том числе и вопросами менеджмента инцендентов ИБ.

Варианты могут быть:

  1. Подразделение ИБ в составе СБ.

  2. Подразделение ИБ в составе службы айти.

  3. Подразделение ИБ в составе подразделения оценки рисков.

  4. Самостоятельное подразделение.

В ГОСТ 18044 приведены группы инцендентов ИБ:

  1. Отказ в обслуживании

  2. Сбор информации

  3. Несанкционированный доступ

Классификация инцендентов ИБ.

  1. Сбои

    1. Аппаратные

    2. Программные

    3. Форс-мажор

  2. Вторжения

    1. Человеческий фактор

      1. Умышленные

        1. Нарушение политики ИБ

        2. Атака

      2. Случайные/неумышленные

    2. Вирусная активность

      1. Атака

      2. Побочный эффект

Инценденты ИБ можно классифицировать и по другим признакам:

  1. Используемые метотды и средства

    1. Сбор информации, данных

    2. Пассивные средства перехвата

    3. Использование средств, входящих в ИС или систему ее защиты и использование их недостатков

    4. Активное отслеживание модификаций существующих средств олбработки инфы, подклдючение новых средств, использование специализированных утилит, внедрение программных закладок, использование черных ходов в систему, подклбючение к каналу передачи данных

  2. уровень знаний нарушителя об организации информационной структуры.

    1. Типовые знания о методах построения ВС, сетевых протоколов, использование стандартного набора программ

    2. Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами (админ)

    3. Высокие знания в области программирования, системного проектирования и эксплуатации ВС (прогеры).

    4. Обладание сведениями о средствах и методах защиты информации атакуемой системы.

    5. Нарушитель является разработчиком или принимал участие в реализации ИС и системы обеспечения ИБ.

  3. Время информационного воздействия.

    1. В момент обработки информации.

    2. В момент передачи данных.

    3. В процессе хранения данных.

  4. По месту осуществления воздействия

    1. Удаленно

    2. С доступом на охраняемую территорию

    3. С непосредственным физическим контактотм с вычислительной техникой

      1. Доступ к АРМ

      2. Доступ к серверам

      3. Жоступ к системам администрирования

      4. Доступ ксистемам обеспечения ИБ

  5. Тип инцендента

    1. Кража информации

    2. Модификация или уничтожение инфы

    3. НСД/взлом

    4. Мошенничество

    5. Вирусные заражения

    6. Утрата носителя информации

    7. Нарушение при работе с электронной почтой и системами электронного документооборота

    8. Нарушение политик безопасности.

Основные стадии инцендентов информационной безопасности.

Как правило, выделяются три основные стадии в развитии инцендента ИБ (в полном объеме характерны для умышленных инцендентов):

  1. Подготовка инцендента

    1. Накопление нестабильности в системе (в некоторых случаях)

  2. Активная фаза

    1. Отказ системы (в некоторых случаях)

  3. Сокрытие следов

В рамках этапа подготовки инцентента происходит сбор инфы о системе, приобретение агентов (возможно), получение позиций (доступов, паролей и т.д.).

Активная фаза - осуществление вторжения в систему, выполнение запланированных действий(съем инфы, ее изменение, создание подложных доков, уничтожение и т.д.).

Сокрытие следов - сокрытие остающихся в журналах и логах следов (или уничтожение), уничтожение вещественных доказательств, мероприятия прикрытия(алиби).

Ущерб, возникающий в результате реализации инцендентов ИБ.

В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, какой был бы получен без нарушения (упущенная выгода).

В СТО БР ущерб - утрата активов, повреждение (утрата свойств) активов или инфраструктуры организации или другой вред активам или инфраструктуры организации, наступиыший в результате реализации угрозы ИБ.

С позиции экономического подхода, общий ущерб ИБ организации складывается изидвух составных частей:

  1. Прямого ущерба - возникает в следствие утраты, повреждения оборудования или активов, а так же в результате утечки КИ.

  2. Косвенного ущерба - потери, которые несет организация в связи с ограничениями на распространении инфы, относящейся к конфиденциальной.

Оценку ущерба производят качественно или количественно. Точную и адекватную количественную оценку ущерба провести очень сложно. Во многих организациях существует определенные подходы к стоимостной оценке инфоресурсов.

В бошинстве случаев для оценки ущерба применяется качественная шкала.

  1. Отсутствует

  2. Незначитеный - не оказывает влияния ни на стратегические позиции организации ни на работу предприятия

  3. Средний - предполагает нанесения организации финансовых потерь, сопоставимых с текущими расходами и не требуют значительных затрат ресурсов.

  4. Значительный - предполагает возможность нанесения фин.потерь, которые окажут негаривное воздействие на основные финансово-экономические показатели организации, на ее деятеность в будущем и преодалевается в течение длительного периода времени.

  5. Критичный - инценденты приводят к резкому ухудшению показателей организации, вызывает остановку деятельности организации либо вызывает такие последствия в будущем.

Кроме прямого и косвенного существуют репутационные риски. Управление репутационными рисками необходимо в целях снижения возможных убытков, сохранения и поддержания деловой репутации перед клиентами, регуляторами, органами гос.власти и т.д.

В качестве примерта подхода к оценке репутационных рисков можно привести рекоммендации банка России по организации управления правовыми рисками и рискам потери деловой репутации в крединтых организациях ибанковских группах. Письмо от 12 июня #92т.

Соседние файлы в папке Лекции_1
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности