1.1.1. Гост р ісо/мекто 18044-2004. Менеджмент інцидентів інформаційної безпеки
В даному стандарті [29] зазначено, що типові політики ІБ або захисні заходи ІБ не можуть повністю гарантувати захист інформації, інформаційних систем, сервісів і мереж. Після впровадження захисних заходів, ймовірно, залишаться слабкі місця, які можуть зробити забезпечення інформаційної безпеки неефективним, і, отже, інциденти інформаційної безпеки – можливими. Інциденти інформаційної безпеки можуть надавати прямий чи непрямий негативний вплив на бізнес-діяльність організації. Крім того, будуть неминуче виявлятися нові, раніше не ідентифіковані загрози. Недостатня підготовка конкретної організації до обробки таких інцидентів робить практичну реакцію на інциденти малоефективною, і це потенційно збільшує ступінь негативного впливу на бізнес. Таким чином, для будь-якої організації, яка серйозно відноситься до інформаційної безпеки, важливо застосовувати структурний і плановий підхід до:
виявлення, оповіщення про інциденти інформаційної безпеки та їх оцінка;
реагування на інциденти інформаційної безпеки, включаючи активізацію відповідних захисних заходів для запобігання, зменшення наслідків і (або) відновлення після негативних впливів (наприклад, в областях підтримки та планування безперервності бізнесу);
вилучення уроків з інцидентів інформаційної безпеки, запровадження превентивних захисних заходів і поліпшенню загального підходу до менеджменту інцидентів інформаційної безпеки [29].
Положення цього стандарту [29] містять уявлення про менеджмент інцидентів інформаційної безпеки в організації з урахуванням сформованої практики на міжнародному рівні.
Цей стандарт [29] призначений для використання організаціями всіх сфер діяльності при забезпеченні інформаційної безпеки в процесі менеджменту інцидентів. Його положення можуть використовуватися спільно з іншими стандартами, в тому числі стандартів, що містять вимоги до системи менеджменту інформаційної безпеки та системи управління якістю.
Документ містить рекомендації з менеджменту інцидентів інформаційної безпеки в організаціях для керівників підрозділів по забезпеченню ІБ при застосуванні ІТ, інформаційних систем, сервісів і мереж.
У даному стандарті [29] використовуються такі терміни та визначення:
планування безперервності бізнесу (business continuity planning): Процес забезпечення відновлення операції у разі виникнення будь-якого несподіваного чи небажаного інциденту, здатного негативно впливати на безперервність важливих функцій бізнесу і підтримуючих його елементів.
подія інформаційної безпеки (information security event): ідентифікована поява певного стану системи, сервісу або мережі, що вказує на можливе порушення політики ІБ або відмова захисних заходів, або виникнення невідомої раніше ситуації, яка може мати відношення до безпеки.
інцидент інформаційної безпеки (information security incident): поява одного або декількох небажаних або несподіваних подій ІБ, з якими пов'язана значна ймовірність компрометації бізнес-операцій і створення загрози ІБ.
ГРІІБ (Information Security Incident Response Team (ISIRT)): група навчених і довірених членів організації.
У якості основи загальної стратегії ІБ організації необхідно використовувати структурний підхід до менеджменту інцидентів ІБ. Цілями такого підходу є забезпечення таких умов:
події ІБ повинні бути виявлені і ефективно оброблені, зокрема, визначені як пов'язані або не пов'язані з інцидентів ІБ1);
ідентифіковані інциденти ІБ повинні бути оцінені, і реагування на них повинно бути здійснено найбільш доцільним і результативним способом;
вплив інцидентів ІБ на організацію та на її бізнес-операції необхідно мінімізувати відповідними захисними заходами, які є частиною процесу реагування на інцидент, іноді поряд із застосуванням відповідних елементів плану(ів) забезпечення безперервності бізнесу;
з інцидентів ІБ та їх менеджменту необхідно швидко витягти уроки [29]. Це робиться з метою підвищення шансів запобігання інцидентів ІБ в майбутньому, поліпшення впровадження і використання захисних заходів ІБ, поліпшення загальної системи менеджменту інцидентів ІБ.
Для досягнення цілей менеджменту інцидентів ІБ поділяють на чотири окремі етапи:
1) планування та підготовка;
2) використання;
3) аналіз;
4) поліпшення.
Основний зміст цих етапів показано на рис. 1.1.
Рис. 1.1. Етапи менеджменту інцидентів ІБ
Планування і підготовка. Ефективний менеджмент інцидентів ІБ потребує належного планування та підготовки. Для забезпечення ефективності реакції на інциденти ІБ необхідно:
розробити та документувати політики менеджменту інцидентів ІБ, а також отримати очевидну підтримку цієї політики зацікавленими сторонами і, особливо, вищого керівництва;
розробити та в повному обсязі документувати систему менеджменту інцидентів ІБ для підтримки політики менеджменту інцидентів ІБ. Форми, процедури та інструменти підтримки виявлення, оповіщення, оцінки та реагування на інциденти ІБ, а також градації шкали2) серйозності інцидентів повинні бути відображені в документації на конкретну систему;
оновити політику менеджменту ІБ та ризиків на всіх рівнях, тобто на корпоративному і для кожної системи, сервісу та мережі окремо з урахуванням системи менеджменту інцидентів ІБ;
створити в організації відповідний структурний підрозділ менеджменту інцидентів ІБ, тобто ГРІІБ, із заданими обов'язками і відповідальністю персоналу, здатного адекватно реагувати на всі відомі типи інцидентів ІБ. У більшості організацій ГРІІБ є групою, що складається з фахівців з конкретних напрямків діяльності, наприклад, при відбитті атак шкідливої програми залучають спеціаліста по інцидентам подібного типу;
ознайомити весь персонал організації за допомогою інструктажів та (або) іншими способами з існуванням системи менеджменту інцидентів ІБ, її перевагами і з належними способами повідомлення про події ІБ. Необхідно проводити відповідне навчання персоналу, відповідального за управління системою менеджменту інцидентів ІБ, осіб, які приймають рішення з визначення того, чи є події інцидентами, та осіб, які досліджують інциденти;
ретельно тестувати систему менеджменту інцидентів ІБ [29].
Використання системи менеджменту інцидентів інформаційної безпеки. При використанні системи менеджменту інцидентів ІБ необхідно здійснити наступні процеси:
виявлення і оповіщення про виникнення подій ІБ (людиною або автоматичними засобами);
збір інформації, пов'язаної з подіями ІБ, і оцінка цієї інформації з метою визначення, які події можна віднести до категорії інцидентів ІБ;
реагування на інциденти ІБ:
негайно, в реальному або майже реальному масштабі часу;
якщо інциденти ІБ знаходяться під контролем, виконати менш термінові дії (наприклад, що сприяють повному відновленню після катастрофи);
якщо інциденти ІБ не знаходяться під контролем, то виконати «антикризові» дії (наприклад, викликати пожежну команду/підрозділ або ініціювати виконання плану безперервності бізнесу);
повідомити про наявність інцидентів ІБ і будь-які пов'язані з ним подробиці персоналу своєї організації, а також персоналу сторонніх організацій (що може включити в себе, у міру необхідності, поширення подробиць інциденту з метою подальшої оцінки та (або) прийняття рішень);
правову експертизу;
належну реєстрацію всіх дій і рішень для подальшого аналізу;
вирішення проблеми інцидентів [29].
Аналіз. Після дозволу / закриття інцидентів ІБ необхідно зробити наступні дії з аналізу стану ІБ:
провести додаткову правову експертизу (при необхідності);
вивчити уроки, витягнуті з інцидентів ІБ;
визначити поліпшення для впровадження захисних заходів ІБ, отримані з уроків, витягнутих з одного або декількох інцидентів ІБ;
визначити поліпшення для системи управління інцидентів ІБ в цілому, враховуючи уроки, витягнуті з результатів аналізу якості проведеного підходу (наприклад, з аналізу результативності процесів, процедур, форм звіту і (або) організації) [29].
Поліпшення. Необхідно підкреслити, що процеси менеджменту інцидентів ІБ є ітеративним, з постійним внесенням поліпшень з плином часу в ряд елементів ІБ. Ці поліпшення пропонуються на основі даних про інциденти ІБ і реагуванні на них, а також даних про динаміку тенденцій. Етап «Поліпшення» включає в себе:
перегляд існуючих результатів аналізу ризиків ІБ і аналіз менеджменту організації;
поліпшення системи менеджменту інцидентів ІБ і її документації;
ініціювання поліпшення у сфері безпеки, включаючи впровадження нових і (або) оновлених захисних заходів ІБ.
В стандарті зазначено, що будь-яка організація, яка використовує структурний підхід до менеджменту інцидентів ІБ, може отримати з нього значні переваги, які можна об'єднати в такі групи:
поліпшення ІБ;
зниження негативних впливів на бізнес, наприклад, переривання бізнесу і фінансові збитки як наслідки інцидентів ІБ;
посилення уваги до питань запобігання інцидентів;
посилення уваги до встановлення пріоритетів і збору доказів;
внесок в обгрунтування бюджету та ресурсів;
оновлення результатів менеджменту та аналізу ризиків на більш високому рівні;
надання матеріалу для програм підвищення обізнаності і навчання в області ІБ;
надання вхідних даних для аналізу політики ІБ та відповідної документації.
Використання структурного підходу до менеджменту інцидентів ІБ сприяє:
збору більш якісних даних для ідентифікації та визначення характеристик різних типів загроз і пов'язаних з ними вразливостей [29];
надання даних про частоту виникнення ідентифікованих типів загроз.
Отримані дані про негативні наслідки інцидентів ІБ для бізнесу будуть корисні для аналізу цих наслідків. Дані про частоту виникнення різних типів загроз набагато підвищать якість оцінки загроз. Аналогічно, дані про уразливість набагато підвищать якість майбутніх оцінок вразливостей.
Вищезазначені дані значно поліпшать результати аналізу менеджменту та аналізу ризиків ІБ.
Щодо правових та нормативних аспектів менеджменту інцидентів ІБ, в стандарті зазначено, що у політиці менеджменту інцидентів ІБ і відповідній системі їх необхідно враховувати.
Забезпечення адекватного захисту персональних даних і недоторканність персональної інформації
У країнах, де існує спеціальне законодавство, що захищає конфіденційність і цілісність даних, воно часто обмежена контролем за персональними даними. Оскільки інциденти ІБ зазвичай виникають в результаті діяльності персоналу або сторонніх осіб, то може знадобитися відповідна реєстрація інформації особистого характеру та управління нею. Отже, при структурному підході до менеджменту інцидентів ІБ слід враховувати необхідність у відповідній захисту персональних даних, а також наступні умови:
особи, які мають доступ до персональних даних, не повинні особисто знати тих людей, інформація про яких вивчається;
особи з доступом до особистих даних повинні підписати угоду про їх нерозголошення до того, як отримають доступ до них;
персональні дані повинні використовуватися виключно для тих цілей, для яких вони були отримані, тобто для розслідування інцидентів ІБ [29].
Інциденти ІБ можуть бути навмисними або випадковими (наприклад, бути наслідком будь-якої людської помилки або природних явищ) і викликані як технічними, так і нетехнічними засобами. Їх наслідками можуть бути такі події, як несанкціоновані розкриття або зміна інформації, її знищення або інші події, які роблять її недоступною, а також нанесення шкоди активів організації або їх розкрадання. Інциденти ІБ, про які не було повідомлено, проте вони були визначені як інциденти, розслідувати неможливо і захисних заходів для запобігання повторного появи цих інцидентів застосувати не можна.
Нижче наведені деякі приклади інцидентів ІБ та їх причин, які даються тільки з метою роз'яснення. Важливо зауважити, що ці приклади не є вичерпними.
Цілями включення змісту менеджменту інцидентів ІБ в корпоративні політики менеджменту ризиків та ІБ і спеціальні політики ІБ систем, сервісів і мереж є:
опис значимості менеджменту інцидентів ІБ, особливо системи оповіщення та обробки інцидентів ІБ;
вказівка обов'язків вищого керівництва щодо належної підготовки до інцидентів ІБ та реагування на них, тобто щодо системи менеджменту інцидентів ІБ;
забезпечення узгодженості різних політик;
забезпечення планового та систематичного реагування на інцидент ІБ для мінімізації негативного впливу інцидентів [29].