- •Міністерство освіти і науки, молоді та спорту україни
- •Календарний план виконання дипломної роботи
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1 нормативно-правове забезпечення процесу управління інцидентами інформаційної безпеки
- •1.1.1. Гост р ісо/мекто 18044-2004. Менеджмент інцидентів інформаційної безпеки
- •1.1.2. Мсе-т е.409«Організація з реагування на інциденти та обробка інцидентів безпеки: Керівництво для організацій електрозв'язку»
- •1.1.3. Галузевий стандарт України суіб 2.0/iso/iec 27002:2010
- •1.2. Рекомендовані практики щодо управління інцидентами іб
- •1.2.1. Nist sp 800-61 Computer security incident handling guide
- •1.2.2. Рекомендаціі Інституту програмного інжинірингу університету Карнегі Мелона
- •1.3. Аналіз сучасних підходів до створення команд реагування на інциденти іб
- •Розділ 2 удосконалення системи управління інцидентами інформаційної безпеки
- •2.1. Аналіз переваг та недоліків системи управління інцидентами інформаційної безпеки nau-cert
- •2.2. Проектування програмного модуля для категоризації загроз
- •2.3. Синтез удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •2.4. Висновки до розділу 2
- •Розділ 3 дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.1. Розробка програмного модуля категоризації інцидентів іб
- •3.2. Експериментальне дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.3. Висновки до розділу 3
- •Висновки
- •Список використаних джерел
- •Вихідний код програмного модуля категоризації інцидентів інформаційної безпеки
Розділ 1 нормативно-правове забезпечення процесу управління інцидентами інформаційної безпеки
СУІІБ є базовою частиною загальної системи управління інформаційною безпекою і дозволяє виявляти, враховувати, реагувати й аналізувати події та інциденти інформаційної безпеки. Без реалізації цих процесів неможливо забезпечити рівень захищеності, що адекватний сучасним стандартам і галузевим нормам. Для найбільш ефективної реалізації системи управління інцидентами інформаційної безпеки необхідно спиратись на вимоги міжнародних і галузевих стандартів, таких, наприклад, як [46, 54] та інших.
Управління інцидентами, це важливий процес, який забезпечує організації можливість спочатку виявити інцидент, а потім за допомогою коректно обраних засобів підтримки якомога швидше його вирішити.
Основна задача управління інцидентами – якомога швидше відновити нормальну роботу служб і звести до мінімуму негативний вплив інциденту на роботу організації для підтримки якості і доступності служб на максимально можливому рівні. Нормальною вважається робота служб, що не виходить за рамки угоди про рівень обслуговування.
Цілі управління інцидентами:
відновлення нормальної роботи служб в найкоротші терміни;
зведення до мінімуму впливу інцидентів на роботу організації;
забезпечення злагодженої обробки всіх інцидентів і запитів обслуговування;
зосередження ресурсів підтримки на найбільш важливіших напрямах;
надання відомостей, що дозволяють оптимізувати процеси підтримки, зменшити кількість інцидентів і спланувати управління [41].
Управління інцидентами і проблемами є комплексним рішенням, що оптимізує управління всіма аспектами обслуговування і підтримки, необхідними для підприємства.
Використовуючи кращі, перевірені часом, напрацювання і вирівнювання ІТ-процесів для обробки збоїв будь-яких видів, рішення з управління інцидентами дозволяють використовувати ресурси залежно від пріоритетів ділової діяльності, управляти рівнями обслуговування, а також краще контролювати витрати ІТ-служб.
Рішення з управління інцидентами прискорює процес вирішення інцидентів на всіх етапах: від первинного виявлення і діагностики проблем та основних причин до остаточного їх усунення.
Для реалізації системи управління інцидентами інформаційної безпеки необхідно провести наступні роботи:
виділити ресурси для розробки та впровадження системи управління інцидентами.
Визначити область функціонування системи управління інцидентами.
Розробити комплекс процесів системи управління.
Навчити персонал.
Впровадити процеси управління інцидентами та інтегрувати їх зі вже функціонуючими процесами управління інформаційної безпекою, такими як, інвентаризація активів, аналіз ризиків та оцінка ефективності.
Розробити архітектуру і комплекс технічних засобів з автоматизації процесів управління інцидентами і моніторингу подій інформаційної безпеки.
Впровадити комплекс програмно-технічних засобів автоматизації управління інцидентами.
В результаті проведених робіт буде впроваджена система управління інцидентами інформаційної безпеки, яка буде вирішувати наступні задачі:
Оперативний моніторинг стану інформаційної безпеки в рамках обраної галузі діяльності системи.
Виявлення, облік, реагування, розслідування та аналіз інцидентів інформаційної безпеки.
Інформування вищого керівництва і зацікавлених осіб про поточний стан інформаційної безпеки [41].
Крім визначення того, яким чином і які ресурси захищати, а також вирішення питання щодо контролю доступу до внутрішніх ресурсів, для багатьох організацій на перший план виноситься питання про розуміння того, а що в принципі відбувається в інформаційній системі?
Основна задача служби ІБ – це запобігання і зменшення збитку активам бізнес-рівня. Яким чином зв'язати потік технічних подій з інцидентами бізнес- рівня? Як адміністратору своєчасно відстежити і виявити, про що саме сповіщають пристрої, вжити адекватні заходи щодо припинення інциденту або підозрілої активності? Необхідність своєчасного виявлення інцидентів і реакції на них обумовлена в першу чергу тим, що часто на карту поставлена репутація і гроші, яких в одну мить може позбавитися організація, не помітивши інциденту, про який сигналізували засоби захисту. Існує багато прикладів, коли після тих або інших дій зловмисників організації втрачали цінну інформацію, витрачали великі суми на усунення наслідків інцидентів безпеки, і потім довгий час вимушені були відновлювати збиток репутації і налагоджувати взаємини з партнерами і замовниками. Зазначимо, що всі ці чинники вкрай негативно позначалися на бізнес-діяльності. У зв'язку з цим, однією з актуальних задач є побудова і впровадження процесу управління інцидентами [41].
Жодна найдосконаліша міра щодо зниження ризиків інформаційної безпеки, будь це досконально відпрацьована політика або найсучасніший міжмережевий екран, не може гарантувати виникнення в інформаційному середовищі подій, що потенційно несуть загрозу ділової діяльності організації. Складність та різноманітність середовища діяльності сучасного бізнесу зумовлюють наявність залишкових ризиків незалежно від якості підготовки і впровадження заходів протидії. Також завжди існує ймовірність реалізації нових, невідомих до теперішнього часу, загроз інформаційної безпеки.
Таким чином, будь-якій організації, що серйозно відноситься до питань забезпечення інформаційної безпеки, необхідно реалізувати комплексний підхід щодо вирішення наступних задач:
виявлення, інформування та облік інцидентів інформаційної безпеки;
реакція на інциденти інформаційної безпеки, включаючи застосування необхідних засобів для запобігання, зменшення і відновлення завданого збитку;
аналіз інцидентів, які відбулися, з метою планування превентивних заходів захисту і поліпшення процесу забезпечення інформаційної безпеки в цілому [41].
Для розробки процедури управління інцидентами інформаційної безпеки необхідно для початку, щоб процес розробки процедури (як і всіх процедур в компанії) був ініційований її керівництвом. Як правило, процедура управління інцидентами розробляється в рамках загальної системи управління інформаційною безпекою, тому важлива позиція керівництва з питання її створення та функціонування. На даному етапі важливо, щоб всі співробітники компанії розуміли, що забезпечення інформаційної безпеки в цілому і управління інцидентами зокрема є основними бізнес-цілями компанії.
Потім слід розробити необхідні нормативні документи з управління інцидентами. Як правило, такі документи повинні описувати:
визначення інциденту інформаційної безпеки, перелік подій, які є інцидентами (що в компанії є інцидентом);
порядок оповіщення відповідальної особи про виникнення інциденту (необхідно визначити формат звіту, а також відобразити контактну інформацію осіб, яких слід сповіщати про інцидент);
порядок усунення наслідків і причин інциденту;
порядок розслідування інциденту (визначення причин інциденту, винних у виникненні інциденту, порядок збору та збереження доказів);
внесення дисциплінарних стягнень;
реалізація необхідних коригувальних і превентивних заходів[41].
Визначення переліку подій, які є інцидентами – важливий етап розробки процедури управління інцидентами. Слід розуміти, що всі події, які не увійдуть до зазначеного переліку, будуть розглядатися як штатні (навіть якщо вони несуть загрозу інформаційній безпеці). Зокрема, інцидентами інформаційної безпеки можуть бути:
відмова в обслуговуванні сервісів, засобів обробки інформації, обладнання;
порушення конфіденційності і цілісності цінної інформації;
недотримання вимог до інформаційної безпеки, прийнятих в компанії (порушення правил обробки інформації);
незаконний моніторинг інформаційної системи;
шкідливі програми;
компрометація інформаційної системи (наприклад, розголошення пароля користувача) [58].
Як приклад інцидентів можна привести такі події, як неавторизоване зміна даних на сайті компанії, залишення комп'ютера незаблокованих без нагляду, пересилання конфіденційної інформації за допомогою корпоративної або особистої пошти. У загальному випадку інцидент інформаційної безпеки визначається як одиничне, небажане або несподівана подія інформаційної безпеки (або сукупність таких подій), яка може скомпрометувати бізнес-процеси компанії або загрожує її інформаційної безпеки [41].
Важливо зазначити, що процедура управління інцидентами тісно пов'язана з усіма іншими процедурами управління безпекою в компанії. Оскільки інцидентом, в першу чергу, є недозволене подія, воно повинно бути кимось заборонено, отже, необхідна наявність документів, чітко описують всі дії, які можна виконувати в системі і які виконувати заборонено. Наприклад, в одній з компаній співробітник зберігав на мобільному комп'ютері конфіденційні відомості компанії без застосування засобів шифрування. Після роботи він забрав комп'ютер додому і забув його в машині, яку залишив під вікнами будинку, а вночі машину зламали, і комп'ютер був вкрадений. Зловмисники отримали доступ до конфіденційної інформації компанії і могли продати її конкурентам. Крім цього, на комп'ютері зберігалася цінна інформація, яка не була зарезервована на іншому носії. Такий інцидент міг статися в результаті того, що в компанії не були розроблені процедури поводження з мобільними комп'ютерами і зберігання на них інформації. Винос комп'ютера за межі офісу компанії, відсутність засобів шифрування і резервного копіювання інформації – можливі порушення, а отже, причини інцидентів. Однак поки документально не зафіксовано, що це порушення (тобто у відповідних документах не описано, що це заборонено), співробітника неможливо притягнути до відповідальності і запобігти повторне виконання неправомірних дій.
Важливо, щоб були налагоджені такі процедури, як моніторинг подій, своєчасне видалення невживаних облікових записів, контроль і моніторинг дій користувачів, контроль над діями системних адміністраторів і працівників [36].
Стандарти щодо управління інцидентами інформаційної безпеки
До теперішнього часу в міжнародній практиці розроблено достатню кількість нормативних документів, що регламентують питання управління інцидентами інформаційної безпеки. Необхідно відзначити, що питання управління інцидентами виникає не тільки в рамках забезпечення інформаційної безпеки, але й при управлінні ІТ-сервісами в цілому. Сімейство міжнародних стандартів ISO 20000:2005 в розділі Service Delivery and Support описує ряд вимог щодо організації процесу управління інцидентами в ІТ-інфраструктурі. Згідно зазначеним стандартам під інцидентом розуміється "будь-яка подія, що не є елементом нормального функціонування служби і при цьому надає або здатна надати вплив на подання служби шляхом її переривання або зниження якості".
Специфічні питання управління інцидентами інформаційної безпеки розглядаються в наступних документах:
ISO/IEC 27001:2005 Information security management system. Requirements. В рамках даного стандарту висуваються загальні вимоги до побудови системи управління інформаційною безпекою, що відносяться у тому числі і до процесів управління інцидентами.
ISO/IEC TR 18044 Information security incident management. Даний документ описує інфраструктуру управління інцидентами в рамках циклічної моделі PDCA. Наводяться докладні специфікації для стадій планування, експлуатації, аналізу і поліпшення процесу. Розглядаються питання забезпечення нормативно-розпорядчою документацією, ресурсами, приводяться докладні рекомендації щодо необхідних процедур.
CMU/SEI-2004-TR-015 Defining incident management processes for CISRT. Цей документ описує методологію планування, впровадження, оцінки і поліпшення процесів управління інцидентами. Основний наголос робиться на організації роботи CISRT (Critical Incident Stress Response Team) – групи або підрозділів, які забезпечують сервіс і підтримку запобігання, обробки і реакції на інциденти інформаційної безпеки. Вводиться ряд критеріїв, на підставі яких можна оцінювати ефективність даних сервісів, приводяться докладні процесні карти.
В рамках даного проекту неможливо розглянути всі наявні рекомендації щодо управління інцидентами, і цілком ймовірно, що найбільш ефективним для конкретної організації буде використання якої-небудь іншої методології, у тому числі і розробленої самостійно. Але, будь-яка використовувана методологія повинна бути сумісна з основними сучасними стандартами на системи управління, такими як ISO/IEC 27001 та ISO 20000 [21].