嶋・3-15
.pptУИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ
Нормативная база управления инцидентами ИБ: стандарты (лучшая практика)
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования.
(ISO/IEC 27001:2005)
ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management»
ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management»
CMU/SEI-2004-TR-015 «Defining incident management processes for CISRT»
NIST SP 800–61 «Computer security incident handling guide».11
CISRT»
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ
Нормативная база управления инцидентами ИБ: стандарты (лучшая практика)
Технические рекомендации (Разработаны Carnegie Mellon University (США) в
поддержке со стороны U.S. Department of Defense):
•описывает методологию планирования, внедрения,
оценки и улучшения процессов управления инцидентами ИБ;
•основной упор делается на организации работы группы
или подразделения, обеспечивающего сервис и поддержку предотвращения, обработки и реагирования на инциденты ИБ;
•вводит ряд критериев, на основании которых можно
оценивать эффективность данных сервисов;
•приводит подробные процессные карты.
CMU/SEI-2004-TR-015 «Defining incident management processes for CISRT»
CSIRT - computer security incident response team |
12 |
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ
Нормативная база управления инцидентами ИБ: стандарты (лучшая практика)
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования.
(ISO/IEC 27001:2005)
ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management»
ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management»
CMU/SEI-2004-TR-015 «Defining incident management processes for CISRT»
NIST SP 800–61 «Computer security incident handling guide».13
CISRT»
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ
Нормативная база управления инцидентами ИБ: стандарты (лучшая практика)
Нормативный документ США:
•представляет собой сборник «лучших практик» по
построению процессов управления инцидентами ИБ и реагирования на них;
•подробно разбирает вопросы реагирования на разные
типы инцидентов, такие как атаки «отказ в обслуживании» (DoS), распространение вредоносного программного обеспечения (ПО), несанкционированный
доступ (НСД), нерегламентированное использование и
распределенные (многокомпонентные) атаки.
NIST SP 800–61 «Computer security incident handling guide».14
CISRT»
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ Термины и определения
«Инцидент» - ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.
«Инцидент ИБ» -
появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операций и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации ;
«Событие ИБ» - идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.
Как следует из приведенных выше определений, инцидент и событие ИБ, по сути, имеют схожий смысл и обозначают некоторое событие, которое может негативно повлиять на ИБ организации, при этом, например, возможное нарушение политики ИБ определено и как событие и как инцидент.
С точки зрения ИБ нежелательным может являться любое состояние, в котором нарушено хотя бы одно из свойств безопасности (целостность, доступность или конфиденциальность) защищаемой информации. Кроме того, нежелательными также могут быть состояния, из которых возможен переход в нежелательные состояния с недопустимо высокой вероятностью. Таким образом, множество нежелательных состояний можно определить на
основе оценки рисков ИБ. |
15 |
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ Термины и определения «Инцидент ИБ» -
появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операций и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации
Примеры инцидентов ИБ:
1. Отказ в обслуживании (англ. denial of service, DoS) является достаточно большой категорией инцидентов ИБ, приводящим к сбоям в системах, сервисах или сетях, которые не могут продолжать работу с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.
2. Сбор информации включает действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, запущенных на идентифицированных целях атаки.
3. НСД включает инциденты, которые не вошли в первые две категории. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети.
4. Подбор пароля к учетной записи для доступа к некоторой
системе субъектом, не являющимся владельцем учетной записи.
16
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ Термины и определения
«Событие ИБ» - идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.
17
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ Термины и определения
«Инцидент ИБ» -
появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операций и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации
18
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс
Управление инцидентами ИБ – состоящий из ряда подпроцессов процесс, на вход которого поступают данные, полученные в результате сбора и протоколирования событий ИБ, а на выходе – информация о причинах произошедшего инцидента ИБ, нанесенном организации ущербе и мерах, которые необходимо принять для того, чтобы инцидент ИБ не повторился вновь.
|
|
|
|
|
Причины инцидента |
|
|
|
|
|
|
ИБ |
|
|
|
|
|
|
|
|
|
|
Процесс |
|
|
|
|
Данные о |
|
|
|
Ущерб, нанесенный |
|
|
|
управления |
|
|
|
||
событиях |
|
|
|
организации |
|
|
|
инцидентами |
|
|
|
||
ИБ |
|
|
|
|
|
|
|
|
|
|
|
||
|
ИБ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Необходимые меры |
|
|
|
|
|
|
для не повторения |
|
|
|
|
|
|
инцидента |
|
19
УИБ |
Тема 3 |
Концептуальные подходы к управлению инцидентами ИБ
Управление инцидентами как процесс
Типовые действия в рамках процесса управления инцидентом ИБ –
•идентификация инцидента ИБ (получение информации о нем, его регистрацию, оценку критичности и классификацию инцидента);
•реагирование на инцидент ИБ (эскалация инцидента группе по обработке инцидентов ИБ, идентификация причин его возникновения, изоляция инцидента и подавление причин его возникновения);
•восстановление после инцидента ИБ (оперативное внесение изменений в конфигурации систем, восстановление данных и закрытие инцидента ИБ);
•последующие действия по инциденту ИБ (анализ
первопричин возникшего инцидента ИБ, проведение
служебного расследования и предоставление отчета |
|
об инциденте ИБ заинтересованным сторонам). |
20 |
|