- •Міністерство освіти і науки, молоді та спорту україни
- •Календарний план виконання дипломної роботи
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1 нормативно-правове забезпечення процесу управління інцидентами інформаційної безпеки
- •1.1.1. Гост р ісо/мекто 18044-2004. Менеджмент інцидентів інформаційної безпеки
- •1.1.2. Мсе-т е.409«Організація з реагування на інциденти та обробка інцидентів безпеки: Керівництво для організацій електрозв'язку»
- •1.1.3. Галузевий стандарт України суіб 2.0/iso/iec 27002:2010
- •1.2. Рекомендовані практики щодо управління інцидентами іб
- •1.2.1. Nist sp 800-61 Computer security incident handling guide
- •1.2.2. Рекомендаціі Інституту програмного інжинірингу університету Карнегі Мелона
- •1.3. Аналіз сучасних підходів до створення команд реагування на інциденти іб
- •Розділ 2 удосконалення системи управління інцидентами інформаційної безпеки
- •2.1. Аналіз переваг та недоліків системи управління інцидентами інформаційної безпеки nau-cert
- •2.2. Проектування програмного модуля для категоризації загроз
- •2.3. Синтез удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •2.4. Висновки до розділу 2
- •Розділ 3 дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.1. Розробка програмного модуля категоризації інцидентів іб
- •3.2. Експериментальне дослідження удосконаленої системи управління інцидентами інформаційної безпеки nau-cert
- •3.3. Висновки до розділу 3
- •Висновки
- •Список використаних джерел
- •Вихідний код програмного модуля категоризації інцидентів інформаційної безпеки
Перелік умовних скорочень
|
ГРІІБ |
– група реагування на інциденти інформаційної безпеки; |
|
ЗВУНІБ |
– запобігання, виявлення й усунення наслідків інцидентів безпеки; |
|
ІБ |
– інформаційна безпека; |
|
ІКС |
– інформаційно-телекомунікаційна система; |
|
ІТ |
– інформаційні технології; |
|
КСЗІ |
– комплексна система захисту інформації; |
|
КСЗІР |
– комплексна система захисту інформаційних ресурсів; |
|
НАУ |
– Національний авіаційний університет; |
|
ПЗ |
– програмне забезпечення; |
|
СУІІБ |
– система управління інцидентами інформаційної безпеки; |
|
ICN |
– інформаційно-комунікаційні мережі. |
ВСТУП
Інформаційні технології з кожним днем все більше входять у наше життя. У сучасному світі бізнес залежить від електронної пошти, систем управління проектами та Інтернет-банкінгу, засобів мобільного зв'язку, CRM-систем та інше. Безперечно, дані технології дозволяють оптимізувати роботу організації в кілька разів і, як наслідок, надати додаткові конкурентні переваги і максимізувати прибуток . Однак з новими можливостями вони привносять і додаткові ризики.
Щодня ми стикаємося з випадками кібершахрайство. На сьогоднішній день без інформаційних технологій неможливо конкурувати на сучасному високотехнологічному ринку, тому постає питання: яким чином убезпечити організацію від загроз та інцидентів інформаційної безпеки?
Щоб уникнути інцидентів інформаційної безпеки, впроваджують нову систему, систему управління інцидентами інформаційної безпеки, тому про забезпечення захисту інформації потрібно задуматися ще на стадії проектування і впровадження [63].
Міжнародний стандарт ISO 27001:2005 звертає особливу увагу на необхідність створення процедури управління інцидентами інформаційної безпеки – очевидно, що без своєчасної реакції на інциденти безпеки та усунення їх наслідків неможливо ефективне функціонування системи управління інформаційною безпекою [63].
У разі настання інциденту інформаційної безпеки перед організацією постають такі завдання:
забезпечення своєчасної реакції, зупинка та запобігання поширенню атаки;
мінімізація збитків від інциденту;
коректний збір і забезпечення юридичної значимості, що збираються для доказової інформації про інциденти;
виявлення обставин інцидентів;
усунення вразливостей, за допомогою яких була реалізована атака;
надання можливості переслідувати зловмисників і залучення їх до відповідальності;
відшкодування збитку завданого інцидентом відповідно до законодавства [2].
Для досягнення необхідного результату система управління інцидентами інформаційної безпеки повинна являти собою сукупність послідовних дій, спрямованих на вирішення зазначених завдань. Отже, система управління інцидентами – це безперервний процес взаємопов'язаних заходів, в якому заздалегідь визначені дії відповідальних осіб, перелік розроблених і запитуваних документів.
Управління інцидентами – одна з найважливіших процедур управління інформаційною безпекою. Перш за все, важливо правильно і своєчасно усунути наслідки інциденту, а також мати можливість проконтролювати, які дії були виконані для цього. Необхідно також розслідувати інцидент, що включає визначення причин його виникнення, винних осіб і конкретних дисциплінарних стягнень. Далі, як правило, слід виконати оцінку необхідності дій з усунення причин інциденту, якщо потрібно – реалізувати їх, а також виконати дії щодо попередження повторного виникнення інциденту. Крім цього, важливо зберігати всі дані про інциденти інформаційної безпеки, так як статистика інцидентів інформаційної безпеки допомагає усвідомлювати їх кількість і характер, а також зміна в часі. За допомогою інформації про статистику інцидентів можна визначити найбільш актуальні загрози для компанії і, відповідно, максимально точно планувати заходи щодо підвищення рівня захищеності інформаційної системи компанії [36].
Використання системи управління інцидентами безпеки в телекомунікаційних мережах посідає своє важливе місце серед загальної експлуатації мережі, функціонування служб та врахуванні людських факторів. Основна задача системи запобігання, виявлення й усунення наслідків інцидентів безпеки (ЗВУНІБ, яка багато у чому еквівалентна CSIRT) під час експлуатації КСЗІР полягає у «розслідуванні випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій» [43].
Кіберзлочинність на сьогоднішній день набуває глобального характеру і потребує об’єднаних дій для боротьби з нею, починаючи від фіксації інциденту і закінчуючи його вирішенням та запобіганням рецидиву. З огляду на це, по всьому світу створюються команди (групи) реагування на інциденти інформаційної безпеки – CERT/CSIRT. Основним завданням останніх є своєчасне та оперативне реагування на кібератаки в ІКС різного класу, а також визначення шляхів усунення їх наслідків і розробка превентивних заходів [22].
Нещодавно на базі кафедри безпеки інформаційних технологій НАУ була створена перша в Україні університетська команда реагування на комп’ютерні інциденти – NAU-CERT. Основним покликанням цієї команди є своєчасна реакція на кібератаки в ІКС університету і студмістечка, а також визначення ефективних шляхів усунення їх наслідків. NAU-CERT є складовою загальної СУІІБ. Проте, дана система не є досконалою з точки зору автоматизації процесу категоризації інцидентів. З огляду на це, удосконалення даної СУІІБ, за рахунок розробки відповідного програмного модуля, є актуальною задачею.
Метою роботи є підвищення рівня захищеності інформаційно-комунікаційної системи НАУ за рахунок удосконалення системи управління інцидентами інформаційної безпеки NAU-CERT.
Для досягнення поставленої мети роботи потрібно розв’язати такі задачі:
проаналізувати діючі міжнародні стандарти та рекомендовані практики у галузі управління інцидентами інформаційної безпеки;
дослідити переваги та недоліки сучасних систем управління інцидентами інформаційної безпеки;
удосконалити систему управління інцидентами інформаційної безпеки;
провести дослідження удосконаленої системи управління інцидентами інформаційної безпеки.
Об'єктом дослідження є процес звітування про інциденти та події інформаційної безпеки.
Предметом є методи та системи управління інцидентами ІБ.
Наукова новизна роботи полягає у тому, що удосконалено СУІІБ, яка, за рахунок введення модуля категоризації подій та інцидентів, дозволяє підвищити ефективність роботи системи NAU-CERT і, як наслідок, підвищити загальний рівень захищеності ІКС НАУ.
Практична цінність отриманих результатів полягає у тому, що запропоновано ПЗ, яке може бути використаним для більш ефективної роботи команди реагування на інциденти інформаційної безпеки NAU-CERT.
Апробація результатів роботи. Основні результати дипломної роботи доповідалися та обговорювалися на II науково-технічній конференції «Безпека інформаційних технологій» (м. Київ, 24–25 квітня 2012 р.). Базові положення роботи опубліковано в двох наукових працях – у матеріалах зазначеної конференції та статті у фаховому науковому журналі («Захист інформації» №1, 2012 р.).