1.1.2. Мсе-т е.409«Організація з реагування на інциденти та обробка інцидентів безпеки: Керівництво для організацій електрозв'язку»
Метою рекомендацій МСЕ-Т Е.409 «Організація з реагування на інциденти та обробка інцидентів безпеки: Керівництво для організацій електрозв'язку» є аналіз, структурування і пропозиція методу для створення організації з управління інцидентами всередині організації електрозв'язку, що бере участь в забезпеченні міжнародного електрозв'язку, в центрі уваги якої знаходяться перебіг і структура інциденту. Поняття «потік» і «обробка» використовуються при визначенні необхідності класифікувати яку-небудь подію як «подія», «інцидент», «інцидент безпеки» або «криза». Перебіг охоплює також перші критичні рішення, які належить прийняти.
Ця рекомендація містить огляд і рамкові положення, які служать керівництвом для планування організації з реагування на інциденти та обробки інцидентів безпеки.
Рекомендація [33] носить загальний характер, і в ній не визначаються і не розглядаються вимоги для конкретних мереж.
При тому що ця рекомендація призначена для сприяння міжнародним розробкам в галузі безпеки мережі електрозв'язку, таким розробкам було б сприяти застосування вимог і до національних ICN.
Комп'ютерна злочинність такими ж швидкими темпами, як і розширення використання комп'ютерів у міжнародному електрозв'язку. За останні роки кількість комп'ютерних злочинів різко збільшилася, що підтверджено кількома міжнародними та національними обстеженнями. У більшості країн відсутні точні цифри щодо числа комп'ютерних "зломів" або інцидентів безпеки, особливо тих, які пов'язані з міжнародною електрозв'язком.
Більшість організацій або компаній електрозв'язку не мають спеціалізованої організації для обробки інцидентів безпеки в ICN (хоча вони можуть мати загальну кризову групу для обробки криз будь-якого типу). Коли виникає інцидент безпеки ICN, він обробляється в режимі, застосовне до даного випадку, тобто людина, яка виявив інцидент безпеки ICN, бере на себе відповідальність за його обробку найкращим для нього чином. Можливо, в деяких організаціях намагаються забути про інциденти безпеки ICN і приховувати їх, оскільки вони можуть вплинути на продуктивність, готовність і доходи.
Часто при виявленні інциденту безпеки ICN, людина, що його виявила, не знає, кому повідомити про це. Тому ця ситуація може привести до використання адміністратором системи або мережі обхідного дії або скоростиглого рішення лише для того, щоб позбутися від проблеми. Вони не мають делегованих повноважень, часу або досвіду для виправлення системи таким чином, щоб інцидент безпеки ICN не повторився. Це є головними доводами на користь створення навченого підрозділи або групи, які зможуть обробляти інциденти безпеки швидко і правильно. Крім того, багато з цих питань можуть ставитися до різних областей, таким як зв'язку із засобами масової інформації, право, забезпечення дотримання законів, частка на ринку або фінансові питання [33].
Використання різної систематики при повідомленні про інцидент або при його обробці веде до неправильного розуміння. Це, в свою чергу, може привести до того, що інцидент безпеки ICN не отримає ні належної уваги, ні швидкої обробки, яка необхідна для зупинки, обмеження та запобігання повторення інциденту. Це може викликати серйозні наслідки для порушеної організації («жертви»).
Щоб мати можливість домогтися успіху в обробці інциденту і в повідомленні про нього, необхідно розуміти, яким чином виявляються, обробляються і вирішуються інциденти. За допомогою встановлення загальної структури інцидентів (тобто фізичних, адміністративних або організаційних і логічних інцидентів) можна отримати загальну картину структури і течії якогось інциденту. Однакова термінологія служить основою для загального розуміння слів і термінів.
В даних рекомендаціях термін «інцидент безпеки» може бути визначений як «подія, загроза, слабке місце і несправність системи безпеки, які можуть вплинути на безпеку організаційних ресурсів». У цій рекомендації передбачається, що інцидент носить менш серйозний характер, ніж інцидент безпеки, а інцидент інформаційної безпеки є певним типом інциденту безпеки [33].
На рис. 1.2 показана піраміда подій. Внизу знаходиться подія, за якою слідують інцидент і інцидент безпеки, а на самому верху розташовані криза і катастрофа. Чим ближче до верхньої частини знаходиться подія, тим воно серйозніше. Для того щоб використовувати загальну і обгрунтовану термінологію щодо обробки інцидентів в області ICN, рекомендується вживати нижчезазначені терміни.
Рис. 1.2. Піраміда подій в рекомендаціях МСЕ-Т Е.409
В цих рекомендаціях використовують такі терміни, як:
Подія – це спостережуване явище, яке неможливо передбачити (цілком) або яким неможливо управляти.
Інцидент – це подія, що може призвести до явища чи епізоду, який не має серйозного характеру.
Інцидент безпеки – це будь-який несприятлива подія, в результаті якої якийсь аспект безпеки може піддатися загрозі.
Інцидент безпеки ICN – будь-яке фактичне або передбачувана несприятлива подія щодо безпеки ICN. Це включає:
проникнення в комп'ютерні системи ICN через мережу;
поява комп'ютерних вірусів;
зондування через мережу вразливостей ряду комп'ютерних систем;
витік викликів автоматизованої системи;
будь-які інші небажані події, що є результатом несанкціонованих внутрішніх або зовнішніх дій, включаючи атаки у вигляді відмови в обслуговуванні, лиха та інші надзвичайні ситуації, і т. д.
Криза – це стан, викликаний деяким подією, або знання про наближення подію, що може привести до серйозних негативних наслідків. Під час кризи можна, в кращому випадку, мати можливість вжити заходів для запобігання переходу кризи в катастрофу. На випадок виникнення катастрофи зазвичай є План відновлення роботи, а також група кризового управління для подолання цієї ситуації [33].
Рекомендується, щоб організації електрозв'язку, що створюють групи реагування на інциденти (комп'ютерної безпеки) (CSIRT), в якості першого кроку оголошували використовувану ними систематику щоб уникнути помилкового розуміння. Здійснювати співробітництво значно легше, коли використовується одина і та ж «мова».
Рекомендується, щоб організації використовували терміни «інцидент» і «інцидент безпеки ICN», а також визначили власні похідні терміни з урахуванням серйозності інциденту безпеки ICN. По суті інцидент безпеки ICN є будь-яким небажаним, несанкціонованим подією. Це означає, що інцидент безпеки ICN охоплює проникнення в комп'ютер, атаку «відмова в обслуговуванні» або вірус в залежності від мотивування, досвіду і доступних добре обізнаних ресурсів в організації. В організаціях, що мають ефективну групу по боротьбі з вірусами, віруси можуть розглядатися не як інциденти безпеки ICN, а скоріше як інциденти.
Прикладом, або шаблоном, такого утворення похідних термінів може бути наступне:
інциденти:
порушення мережевого етикету Інтернету (розсилка спаму, шкідливий контент і т. д.);
порушення стратегії забезпечення безпеки;
окремі віруси.
Інциденти безпеки ICN:
сканування і зондування.
проникнення в комп'ютер.
комп'ютерні диверсія і пошкодження (атаки на готовність, такі як «бомбардування», атаки DoS).
зловмисне програмне забезпечення (віруси, програми «троянський кінь», черв'яки і т. д.).
крадіжка інформації і шпигунство;
маскування під законного користувача.
Використання однієї і тієї ж міри деталізації і точності в термінології дає можливість здобувати досвід у відношенні:
керівних вказівок щодо строгості і області застосування;
вказівки про необхідність діяти оперативно (наприклад, для відновлення необхідного рівня безпеки);
можливих зустрічних заходів; і
можливих відповідних витрат [33].
Робота МСЕ Т в області безпеки підкріплюється організацією міжнародних семінарів та практикумів з питань безпеки або участю в них, розробкою проектів із забезпечення безпеки, призначенням у МСЕ Т провідною дослідної комісії по діяльності в галузі безпеки та співпрацею з іншими організаціями, що займаються розробкою стандартів (наприклад, ISO/IEC JTC 1/SC 27) [33].