- •Міністерство освіти і науки, молоді та спорту україни
- •Календарний план виконання дипломної роботи
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1 нормативно-правове забезпечення процесу управління інцидентами інформаційної безпеки
- •1.1.1. Гост р ісо/мекто 18044-2004. Менеджмент інцидентів інформаційної безпеки
- •1.1.2. Мсе-т е.409«Організація з реагування на інциденти та обробка інцидентів безпеки: Керівництво для організацій електрозв'язку»
- •1.1.3. Галузевий стандарт України суіб 2.0/iso/iec 27002:2010
- •1.2. Рекомендовані практики щодо управління інцидентами іб
- •1.2.1. Nist sp 800-61 Computer security incident handling guide
- •1.2.2. Рекомендаціі Інституту програмного інжинірингу університету Карнегі Мелона
- •1.3. Аналіз сучасних підходів до створення команд реагування на інциденти іб
- •Розділ 2 удосконалення системи управління інцидентами інформаційної безпеки
- •2.1. Аналіз переваг та недоліків системи управління інцидентами інформаційної безпеки nau-cert
- •2.2. Проектування програмного модуля для категоризації загроз
- •2.3. Синтез удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •2.4. Висновки до розділу 2
- •Розділ 3 дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.1. Розробка програмного модуля категоризації інцидентів іб
- •3.2. Експериментальне дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.3. Висновки до розділу 3
- •Висновки
- •Список використаних джерел
- •Вихідний код програмного модуля категоризації інцидентів інформаційної безпеки
1.2. Рекомендовані практики щодо управління інцидентами іб
В міжнародній практиці можна виділити кілька нормативних документів, що регламентують питання управління інцидентами інформаційної безпеки:
NIST SP 800-61 Computer security incident handling guide. Тут наведена збірка «кращих практик» щодо побудови процесів управління інцидентами і реакції на них. Детально розбираються питання реакції на різні типи загроз, такі як розповсюдження шкідливого програмного забезпечення, несанкціонований доступ та інше [21].
CMU/SEI-2003-HB-002 Рекомендаціі Інституту програмного інжинірингу університету Карнегі Мелона. В даному документі містяться рекомендації щодо реагування на інциденти інформаційної безпеки різних типів для різних посадових осіб [21].
1.2.1. Nist sp 800-61 Computer security incident handling guide
Дана публікація [57] спрямована на надання допомоги організаціям у пом'якшенні ризиків, пов'язаних з інцидентами комп'ютерної безпеки, надаючи практичні рекомендації щодо реагування на інциденти ефективно і результативно. Вона включає в себе керівні принципи щодо створення ефективної програми реагування на інциденти, але основна увага в документі акцентується на: виявлення, аналіз, встановлення пріоритетів і обробку інцидентів. Організаціям рекомендується впроваджувати описані в документі керівні принципи і рішення, що відповідають конкретним безпекам і даним вимогам документу.
Цей документ [57] був створений для комп'ютерної безпеки команд реагування на інциденти (CSIRTs), для системних і мережевих адміністраторів, співробітників служби безпеки, персоналу служби технічної підтримки, керівника з інформаційних технологій (CIO), комп'ютерних програм із забезпечення безпеки керівників та інших осіб, відповідальних за підготовку, що не відповідає безпеці за рахунок інцидентів.
Інша частина цього документа складається з семи основних розділів. Які містять обговорення необхідності реагування на інциденти, описуються можливі структури реагування на інциденти команди, і виділяються інші групи всередині організації, які можуть брати участь в обробці інцидентів. Також даний документ [57] містить основні кроки на події та надає рекомендації для виконання обробки інцидентів більш ефективно, особливо виявлення інцидентів та їх аналіз. В розділах NIST SP 800-61 описані конкретні рекомендації для обробки п'ять типів інцидентів: відмова в обслуговуванні (DoS), шкідливий код, несанкціонований доступ, неправильне використання.
Організація інцидентів комп'ютерної безпеки реагування включає в себе кілька важливих рішень і дій. Однією з перших дій має бути створення організації, конкретне визначення терміна «інцидент», та тип загрози. Організація повинна вирішити, які послуги команда реагування на інциденти повинна забезпечити; правильно визначити, яка структура і модель може більш підійти; також вибирати і реалізовувати один або більше команд реагування на інциденти. План відповідних дій, політика і процедури, щодо запобігання інциденту є важливою частиною створення команди і при складанні цих складових документу, все виконується ефективно, продуктивно і послідовно. План, політика і процедури повинні відображати взаємодію команди з іншими командами в рамках організації, а також із зовнішніми сторонами, такими як правоохоронні органи, засоби масової інформації та інші організації реагування на інциденти. Тут містяться не тільки рекомендації, які повинні бути корисні для організацій, які створюють можливим реагування на інциденти, але і консультації з питань підтримки і розширення існуючих можливостей.
В документі [57] зазначено, що подія – це спостережуване явище в системі або мережі. Події проявляються при підключенні до файлового ресурсу, сервер отримує запит на веб-сторінці, користувач відправки електронної пошти і брандмауер блокує спроби підключення. Побічні ефекти – це події з негативними наслідками, наприклад, системні збої, повені пакетної мережі, несанкціонованого використання системи привілеїв, несанкціонованого доступу до конфіденційних даних та виконання шкідливого коду, який знищує дані. Керівництво повинно розглядати тільки несприятливі події, які комп'ютер, пов'язує з безпекою і виключає небажані явища викликані джерелами, таких як стихійні лиха і збої живлення [57].
Даний документ [57] містить визначення деяких термінів щодо інформаційної безпеки, а також детально описані приклади інцидентів інформаційної безпеки, та їх характеристика, надані рекомендації щодо реагування, виявлення та боротьби з ними.