Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный авиационный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
dip / диплом1!!! / priklad1.docx
Скачиваний:
76
Добавлен:
19.02.2016
Размер:
3.82 Mб
Скачать
►Содержание►

Розділ 2 удосконалення системи управління інцидентами інформаційної безпеки

Однією з найбільших проблем експлуатації інформаційних систем в сучасному світі є проблема забезпечення достатнього рівня інформаційної безпеки. В сучасних умовах жоден комплекс програмно-технічних засобів, що підтримується відповідним штатом фахівців з інформаційної безпеки, не здатний забезпечити ефективне функціонування системи захисту інформації. Дане питання вимагає системного підходу та розробки комплексних систем управління безпекою, в яких мають брати безпосередню участь всі співробітники організації. Згідно з [48, 28] метою системи управління безпекою є створення високоефективної інфраструктури, що дозволяє забезпечити безперебійність бізнес-процесів, які підтримуються цими інформаційними системами, та унеможливити інформаційні втрати [50].

Будь-яка система забезпечення інформаційної безпеки принципово не може гарантувати стовідсоткового захисту. Після впровадження комплексної системи захисту інформаційних ресурсів все одно залишаються ризики і можливе виникнення інцидентів безпеки телекомунікаційних мереж. Тому, стале функціонування мереж телекомунікацій неможливе без створення системи запобігання, виявлення й усунення наслідків несанкціонованих дій щодо інформаційних ресурсів в ІКС та ефективного розподілу відповідальності щодо реагування та обробки інцидентів безпеки [23].

А отже, задачами системи управління інформаційною безпекою є систематизація процесів забезпечення захисту інформації, розташування пріоритетів організації в галузі захисту інформації, забезпечення адекватності системи існуючим ризикам тощо. Слід звернути увагу, що забезпечення інформаційної безпеки компанії пов’язано не тільки із захистом інформаційних систем і бізнес-процесів, які підтримуються цими інформаційними системами. В [62] визначено, що основною проблемою організації систем управління інформаційною безпекою є відсутність налагодженої системи моніторингу інцидентів, так як часто відсутність інцидентів не вказує на те, що система управління безпекою працює правильно, а означає тільки те, що інциденти не фіксуються або не визначаються [50].

Тому, СУІІБ повинна постійно вдосконалюватися, доповнюватися новаційними технологіями виявлення та запобігання інцидентів ІБ.

2.1. Аналіз переваг та недоліків системи управління інцидентами інформаційної безпеки nau-cert

NAU-CERT – університетська команда реагування на комп’ютерні інциденти, яка покликана своєчасно реагувати на кібератаки в ІКС університету і студмістечка НАУ, а також визначати ефективні шляхи усунення їх наслідків. Команда забезпечує повноцінне функціонування ІКС університету і при виявлені кіберзлочинних дій вчасне усунення їх з мінімальними затратами ресурсів.

Процес управління комп'ютерними інцидентами в НАУ побудований таким чином:

  • отримання інформації про комп'ютерний інцидент;

  • отримання додаткової інформації, пов'язаної з виявленим порушенням;

  • аналіз ситуації, локалізація порушення і оперативне застосування контрзаходів;

  • встановлення причин, за якими стало можливим порушення, що трапилося, і, можливо, визначення відповідальних осіб (розслідування);

  • проведення профілактичних заходів, розробка і впровадження заходів з недопущення повторного порушення.

Недоліком СУІІБ НАУ є те, що на виявлення та аналіз інцидентів затрачується багато часу. Щоб спростити роботу експерту NAU-CERT і заощадити час, необхідно ввести програмний модуль який би сортував інциденти по категоріям автоматично.

Для досягнення необхідного результату СУІІБ повинна являти собою сукупність послідовних дій, спрямованих на вирішення зазначених завдань. Отже, система управління інцидентами – це безперервний процес взаємопов'язаних заходів, в якому заздалегідь визначені дії відповідальних осіб, перелік розробляються і запитуваних документів.

Процес реагування на інциденти інформаційної безпеки у мережі НАУ пересікається з процесами управління безпекою (ISM – Information Security Management), із забезпеченням ефективного управління інформаційною безпекою усіх послуг й усіх видів діяльності, технічною експлуатацію та управлінням мережею (TMN – Telecommunication Management Network), менеджментом якості (TQM – Total Quality Management) та послуг (QoS), управлінням людськими ресурсами (HRM – Human Resource Management).

Рис. 2.1. Процеси, що пов’язані з реагуванням на інциденти ІБ у ІКС НАУ

Основними завданнями процесу реагування на інциденти ІБ NAU-CERT є:

  • координація реагування на інцидент;

  • підтвердження / спростування факту виникнення інциденту ІБ;

  • забезпечення зберігання і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про місце де відбулися інциденти ІБ, про корисні рекомендаціях;

  • мінімізація порушень порядку роботи і пошкодження даних ІТ-системи, відновлення в найкоротші терміни працездатності компанії при її порушенні в результаті інциденту;

  • мінімізація наслідків порушення конфіденційності, цілісності та доступності інформації ІТ-систем;

  • захист прав компанії, встановлених законом; створення умов для порушення цивільної або кримінальної справи проти зловмисників;

  • захист репутації компанії та її ресурсів;

  • швидке виявлення та/або попередження подібних інцидентів в майбутньому;

  • навчання персоналу компанії діям з виявлення, усунення наслідків та запобігання інцидентів ІБ [4].

І взагалі потрібно зазначити, що реагування на інциденти ІБ є завданням, яке необхідно вирішувати не перманентно, а постійно мати в полі уваги як послідовний безперервний процес, що динамічно протікає в режимі реального часу на всіх етапах життєвого циклу первинної мережі, починаючи з розробки вимог безпеки, складання технічного завдання на проектування КСЗІ, технічної експлуатації, наступної модернізації та вдосконалення, і надалі продовжуючи на наступних життєвих циклах.

Реагування на інциденти інформаційної безпеки у мережі НАУ являє собою складне й трудомістке завдання, тому що необхідно збирати й консолідувати надвелику кількість даних у різних форматах, вести централізований архів. Недоліком є те, що для ручної обробки даних щодо подій та інцидентів у мережі потрібна достатня кількість висококваліфікованих фахівців, а через великий обсяг рутинної роботи обробка подій найчастіше буває неповною і може не відображати всього змісту поточної ситуації. Може статись, що інциденти інформаційної безпеки, критичні для надійного й захищеного функціонування мережі, виявляються поза полем зору інженерів-аналітиків, і через це можуть не прийматись відповідні превентивні заходи.

Оскільки в команді NAU-CERT не вистачає висококваліфікованих експертів, то розслідування інцидентів ІБ може бути неповним і тому в майбутньому, коли доказів буде недостатньо, залучення зловмисника до кримінальної справи буде неможливим і всі збитки прийдеться відшкодовувати самому університету. Тому, в команді реагування на інциденти ІБ повинна бути особа, яка відповідатиме за розслідування і буде передбачати такі дії – виявлення вразливостей, припинення їх подальшого використання, визначення джерел загрози, її виконавця, грамотний збір доказів і доказової бази, надання матеріалів до правоохоронних органів для заведення справи про кримінальне порушення.

Щодня НАУ стикається з інцидентами, пов'язаними з навмисним чи випадковим порушенням корпоративної інформаційної безпеки. Але, нажаль, механізми мінімізації та запобігання інцидентів не відповідають достатньому рівню захищеності, оскільки NAU-CERT була створена нещодавно, то її робота не є достатньо ефективною і підлягає удосконаленню.

В основному інциденти, що представляють ризик для університету і потребують негайного реагування, можна розділити на внутрішні (наприклад, витік конфіденційних даних) і зовнішні (наприклад, DDoS-атаки, спроби злому веб-порталу). На жаль, системи захисту і контролю інформації не забезпечують стовідсоткової гарантії. Але все-таки, якщо команда реагування стикається з інцидентом ІБ, то експерти проводять оперативне реагування, спрямоване на припинення діяльності зловмисників, а також встановлення причин, що сприяли виникнення інциденту.

Оперативне реагування на інцидент ІБ передбачає розробку в найкоротші терміни плану дій, націлених на швидке стримування інциденту, зниження збитку і відновлення критичних процесів. Для виконання такого завдання в команді NAU-CERT є фахівці з високою кваліфікацією, які щодня на практиці стикаються з різноманітними інцидентами, будь то атака на сайт, систему банківського обслуговування, програмне забезпечення або будь-які інші інформаційні активи. Недоліком роботи команди NAU-CERT є те, що експерти не працюють в режимі 24х7, тому не завжди на інцидент, який надійшов, експерт реагує відразу. У результаті цього, невчасне запобігання рецидиву може бути уже не актуальним і може призвести до значущих збитків.

Команди експертів включає також наступний спектр робіт, пов'язаних з реагуванням на інциденти ІБ:

  • оперативна розробка та реалізація плану реагування на інцидент з урахуванням світових практик управління інцидентами ІБ та особливостей університету;

  • юридичний супровід усіх вироблених робіт з урахуванням збереження доказової бази та подальшого супроводу інциденту;

  • оперативне усунення критичних вразливостей;

  • проведення криміналістичної експертизи;

  • розробка рекомендацій щодо поліпшення заходів захисту інформації;

  • розробка плану і набору рекомендацій з розслідування інциденту;

  • оперативне надання інформації за первинними етапами розслідування та рекомендацій з оперативного відновлення процесів;

  • надання комплексного списку рекомендацій по повному відновленню інформаційної інфраструктури; надання повного звіту про інцидент.

І у разі появи ознак інциденту кваліфікований спеціаліст NAU-CERT оперативно реагує, прибуває на місце інциденту і проводить збір необхідних цифрових доказів, здійснює незалежне криміналістичне дослідження, яке в допоможе визначити обставини інциденту.

Загальний алгоритм дій при настанні інциденту. Основне завдання команди реагування на інцидент ІБ – це запобігання реалізації можливих ризиків, пов'язаних з витоком або втратою інформації для університету, яка заснована на розумінні, формулюванні і задоволенні усвідомлених побажань СУІІБ.

Всі загальні принципи і правила діяльності команди прописані в документах. У додатку до даного документу наявний чіткий і покроковий прописаний загальний алгоритм дій експертів NAU-CERT в разі настання інциденту ІБ. Це сприяє чіткому визначенню обов’язків та повноважень експертів NAU-CERT та обґрунтування їхніх дій в екстрених ситуаціях.

Типовий сценарій при порушеннях ІБ може бути заснований на наведених нижче базових діях. У разі виникнення інциденту ІБ експерти NAU-CERT дотримуватися певного типового сценарію щодо порушень в ІКС університету та студмістечка НАУ:

  • ідентифікувати інцидент;

  • локалізувати область ІТ-інфраструктури, задіяної в інциденті;

  • обмежити доступ до об'єктів, задіяним в інциденті;

  • оформити службову записку на ім'я керівника NAU-CERT про факт виникнення інциденту;

  • залучити компетентних фахівців для консультації;

  • створити групу з розслідування інциденту і скласти план робіт зі збору доказів і відновлення систем. Протоколювати всі дії, які здійснюються в ході реагування на інцидент;

  • забезпечити збереження і належне оформлення доказів:

  • зняти енергозалежну інформацію з працюючої системи;

  • зібрати інформацію, щодо інциденту, який протікає в реальному часу;

  • відключити від мережі споживання;

  • у присутності третьої незалежної сторони провести вилучення та опечатування носіїв інформації з доказовою базою, а також зняття образів та іншої інформації для подальшого аналізу та збереження:

  • оформити протокол в якому вказуються всі операції, які здійснювалися з носіями інформації;

  • провести детальний опис об'єктів з інформацією даних, що вилучаються, а також місць їх збереження;

  • задокументувати процес на фото-, відеокамеру;

  • зберегти опечатані об'єкти разом з протоколом в надійному місці до передачі носіїв на дослідження або в правоохоронні органи;

  • після збереження та оформлення речових доказів відновити працездатність інформаційних систем;

  • при проведенні дослідження джерел інформації забезпечити незмінність доказів. Працювати тільки з копією;

  • при проведенні розслідування забезпечити коректну взаємодію з зацікавленими підрозділами;

  • по завершенні розслідування оформити відповідний звіт та скласти рекомендації щодо зниження ризиків виникнення подібних інцидентів в майбутньому;

  • при зверненні до правоохоронних органів представити їм докладний опис інциденту, опис зібраних доказів і результати їх аналізу.

Щодо СУІІБ в цілому, то можна зазначити, що її складові направленні на забезпечення безпеки в ІКС університету та студмістечка НАУ проти кіберзлочинів, починаючи з фіксації інциденту і закінчуючи його вирішенням та запобіганням рецидиву. Проте, дана система не є досконалою з точки зору автоматизації процесу категоризації інцидентів оскільки відсутній програмний модуль, який би виконував цю функцію.

Дані, які надходять на поштовий сервер «Zimbra», адміністратор проглядає, аналізує, а потім вживає певних заходив щодо запобігання інциденту ІБ в ІКС НАУ. Недоліком є те, що після отримання великої кількості повідомлень за певний проміжок часу, користувач поштового сервера не в змозі відразу знайти певні дані щодо інциденту, який колись відбувся, оскільки повідомлення не сортируються за певними ознаками чи групами. І в результаті адміністратор не може вивести статистику появи інцидентів ІБ, яка б була використана для акцентування уваги на інцидентах, які проявляються частіше всього. Дана статистика необхідна для відстежування інцидентів ІБ, які відбуваються частіше всього, щоб в майбутньому вжити ефективні та посилені міри для запобігання рецидиву.

Для покращення роботи команди NAU-CERT необхідно удосконалити СУІІБ шляхом введення програмного модуля. За допомогою ПЗ інформація про інциденти, яка буде надходити на поштовий сервер «Zimbra», сортируватиметься по категоріям і буде здійснюватися обробка інциденту. В результаті цього робота програми буде направлена на виведення статистики, яка дасть змогу команді реагування на інцидент інформаційної безпеки NAU-CERT виявити, які загрози відбуваються частіше всього і здійснити превентивні заходи щодо їхнього подолання та запобігання появи в майбутньому. Дані про подію чи інцидент інформаційної безпеки НАУ ділитимуться на категорії в двох режимах: автоматичний і ручний, для заощадження часу на обробку запиту.

Дослідивши СУІІБ НАУ, було визначено такі основні недоліки:

  • відсутність формалізованого процесу автоматизації процесу категоризації інцидентів ІБ;

  • недосконалість внутрішньої нормативно-розпорядчої документації;

  • відсутність зв'язків з міжнародними командами CERT/CSIRT та організацією FIRST, що займається ліцензуванням та сертифікацією у даній галузі.

Соседние файлы в папке диплом1!!!
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности