Полная версия

Главная arrow Информатика

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ГЛАВА2. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОСОБЕННОСТИ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Тема управления инцидентами информационной безопасности на сегодняшний день является одной из наиболее обсуждаемых и актуальных для компаний. Это связанно с тем, что управление инцидентами ИБ является важнейшим процессом развития и совершенствования всей системы управления информационной безопасности (СУИБ). Именно процесс управления инцидентами ИБ позволяет определить конкретные уязвимости ИБ компании, обнаружить следы атак и вторжений в информационную среду компании, что, в свою очередь, дает информацию о слабостях в системе защиты информации. Таким образом, управление инцидентами ИБ позволяет оценить эффективность СУИБ, определить ключевые роли персонала в результате возникновения нештатных ситуаций, и главное, за минимальный промежуток времени принять необходимые меры для восстановления полноценной работы компании[1].

С точки зрения нормативного обеспечения процесса управления инцидентами следует обратить внимание на следующие документы.

ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». Стандарт описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA, дает подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения СУИБ.

ISO/IEC 27001-2013 «Information technology. Security techniques. Information security management systems. Requirements» и ГОСТ P ИСО/МЭ 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Устанавливают требования к СУИБ в целом, а также отдельно - к процессу управления инцидентами ИБ.

CMU/SEI-2004-TR-015 «Dening incident management processes for CSIRT». Описывают методологию планирования, внедрения, оценки и улучшения процессов управления инцидентами ИБ. При этом основной упор делается на организацию работы группы или подразделения, обеспечивающего сервис и поддержку предотвращения, обработки и реагирования на инциденты информационной безопасности.

NIST SP 800-61 «Computer security incident handling guide». Представляет собой сборник «лучших практик» по построению процессов управления инцидентами информационной безопасности и реагирования на них. Подробно разбираются вопросы реагирования на разные типы инцидентов, такие как атаки «отказ в обслуживании» (DoS), распространение вредоносного программного обеспечения, несанкционированный доступ, нерегламенти- рованное использование и распределение (многокомпонентные) атаки.

ISO/IEC 27035-2011 «Information technology. Security techniques. Information security incident management». Содержит структурированный и планомерный подход к обнаружению, составлению отчетов и оценке инцидентов ИБ, к осуществлению ответной реакции и управлению.

ISO/IEC 27031-2011 «Information technology. Security techniques. Guidelines for information and communications technology readiness for business continuity». Содержит описание концепции и принципов, информационных и телекоммуникационных технологий, как неотъемлемой части критической инфраструктуры любой компании по обеспечению непрерывности ее бизнеса.

Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» принят и введен в действие распоряжением Банка России от 17 мая 2014 г. № Р-399 и направлен на минимизацию рисков возникновения инцидентов и снижения потерь от сбоев в работе[2].

Рассмотрим поочередно этапы процесса управления инцидентами в соответствии с ГОСТ ИСО/МЭК 18044-2007[3], рис. 9.

1. Планирование и подготовка управления инцидентами ИБ

Очевидно, что данный этап является подготовительным и предназначен для организации и регламентирования деятельности по реагированию на инциденты. На данном этапе необходимо:

  • - обеспечить людские и материальные ресурсы для восстановления работы;
  • - создать схему реагирования на инциденты;
  • - составить и утвердить ряд организационно-регламентирующих документов в области управления инцидентами;
  • - ознакомить персонал с нормативными документами, обозначить ответственность за несоблюдение и провести обучение согласно разработанной схеме реагирования на инциденты;
  • - провести тестирование схемы реагирования на инциденты ИБ;
  • - назначить группу людей ответственных в расследовании и устранении инцидентов;
  • - составить перечень возможных инцидентов;
  • - создать единую базу данных (БД) всех возникающих инцидентов.
Этапы менеджмента инцидентов ИБ ГОСТ ИСО/МЭК 18044-2007

Рис. 9. Этапы менеджмента инцидентов ИБ ГОСТ ИСО/МЭК 18044-2007

2. Использование или эксплуатация

Данный этап должен выполнять функции схемы по реагированию на инциденты:

  • - обнаружение инцидента;
  • - регистрация инцидента - запись в базу данных и составление отчета, который должен включать в себя: идентификатор инцидента, время обнаружения, влияние инцидента на бизнес-процесс, приоритет инцидента, имя сотрудника, обнаружившего инцидент и его обязанности, описание возникшей проблемы, метод обратной связи;
  • - оповещение службы реагирования о возникновении инцидента на предприятии;
  • - предварительный анализ инцидента (выполняется сопоставление возникшего инцидента с уже случившимися ранее инцидентами, проверяется наличие возможного решения или обходного пути, также выявляются причины возникновения инцидента);
  • - обновление базы данных (приоритет инцидента, его статус, необходимое время на его устранение, контактные данные группы поддержки, которая приняла уведомление об инциденте, действия, осуществленные для разрешения инцидента, время и дата его закрытия)
  • - реагирование на инцидент (устранение последствий и причин возникновения инцидента).
  • 3. Анализ

На данном этапе проводится углубленный анализ инцидента, на основе которого выдаются рекомендации по улучшению всего процесса обеспечения информационной безопасности и процесса управления инцидентами. Составляется отчет, содержащий в себе всю информацию об инциденте.

  • 4. Улучшение
  • - реализация составленных рекомендаций по улучшению процесса обеспечения ИБ;
  • - тестирование модернизированной системы.

Неготовность компаний к пониманию важности вопроса управления инцидентами ИБ и своевременному его решению может сильно «ударить» по бизнесу и существенно повысить величину причиненного ущерба. У компаний, которые понимают степень важности этой проблемы, возникают вопросы, связанные с ИБ, а именно:

  • - с чего стоит начинать процесс управления инцидентами?
  • - как обеспечить взаимодействие между структурными подразделениями организации и оценивать эффективность их работы?

Для решения этих вопросов руководителям компаний или специалистам по обеспечению ИБ разумно реализовать комплексный подход к решению следующих задач.

  • 1. Определение, оповещение и регистрация инцидентов ИБ.
  • 2. Реагирование на инциденты ИБ и применение превентивных мер защиты для устранения причин потенциального ущерба.

3. Расследование или анализ инцидентов, с целью предотвращения повторного их проявления.

Решить эти задачи можно путем разработки и реализации эффективного процесса менеджмента инцидентов ИБ согласно ГОСТ ИСО/МЭК 18044-2007.

Как показывает практика, необходимость своевременного выявления инцидентов и реагирования на них обусловлена тем, что на карту поставлены не только конфиденциальность, целостность и доступность информации, а прежде всего репутация и финансы, которых может лишиться компания, не идентифицировав инцидент, о котором сигнализировали средства защиты.

Международный стандарт ISO/IEC 27001 вводит следующие определения:

  • - событие информационной безопасности: идентифицированный случай состояния системы или сети, указывающий на возможное нарушение политики информационной безопасности или отказ средств защиты, либо ранее неизвестная ситуация, которая может быть существенной для безопасности;
  • - инцидент информационной безопасности: единичное событие или ряд нежелательных и непредвиденных событий информационной безопасности, из-за которых велика вероятность компрометации бизнес-информации и угрозы информационной безопасности.

Событие представляет собой логическую связь между действием, объектом, на который направленно данное действие, и результатом действия. Иногда, возникающие события являются частью шагов, предпринимаемых злоумышленником, для получения какого-либо несанкционированного результата. Эти события можно рассматривать как часть инцидента ИБ. Если событие возникает вновь и может нанести ущерб организации, то такое событие нужно считать инцидентом ИБ.

Событие ИБ характеризуется рядом параметров, которые определяют его возникновение.

Принимая во внимание тот факт, что событие может являться частью инцидента ИБ, схема его возникновения будет выглядеть следующим образом (рис. 10).

Возникновение инцидентов ИБ может быть преднамеренным (осуществляет злоумышленник) или случайным (ошибки программного обеспечения, ошибки персонала, природные явления и т.д.) и может вызываться как техническими, так и физическими средствами. Несмотря на тот факт, что случайные инциденты менее опасны, чем преднамеренные управлять ими нужно в одинаковой степени, так как даже из-за случайных ошибок возможно нарушение непрерывности основных бизнес-процессов.

На рис. 11 видно, что субъект, преднамеренно совершающий инцидент ИБ, преследует определенные цели, на достижение которых направлены все его действия. В процессе совершения инцидента субъект использует определенные методы и средства, которые при успешном выполнении позволяют ему добиться желаемых результатов.

Событие информационной безопасности

Рис. 10. Событие информационной безопасности

При случайном возникновении инцидента не подразумеваются никакие определенные цели, методы и средства, поэтому применение приведенной выше этой схемы целесообразно только для преднамеренного возникновения инцидента ИБ. Для описания случайного возникновения, инцидент стоит рассматривать как совокупность событий ИБ.

На сегодняшний день в компаниях чаще всего выделяют только компьютерные инциденты, однако, как мы уже сумели убедиться, понятие инцидента очень многогранное. В связи с этим, целесообразно привести классификацию инцидентов ИБ:

  • - компьютерные: связаны с обработкой информации в автоматизированных системах;
  • - технические: здесь подразумевается выход/вывод из строя аппаратных средств;
  • - организационные: связанные с деятельностью всего персонала компании;
  • - технологические: процессы производства, нарушение работоспособности технологических элементов и т.п.

Технологические инциденты наиболее критичны на предприятиях топливно-энергетического комплекса (например, в нефтяных компаниях) или предприятиях технологического производства.

Инцидент информационной безопасности

Рис. 11. Инцидент информационной безопасности

Для всех остальных организаций можно ограничиться анализом первых трех групп.

Примерами компьютерных инцидентов являются: отказ в обслуживании системы; заражение вирусами; несанкционированный доступ к информации и т.д.

Под организационными инцидентами подразумевается: халатность работников фирмы; несоблюдение правил политики информационной безопасности; нарушение правил трудового распорядка и др.

В качестве примеров технических инцидентов можно выделить следующие: выход из строя жесткого диска (HDD); неработоспособность флэш накопителей и т.д.

Управление инцидентами - это процесс, который отвечает за управление жизненным циклом всех инцидентов. Основная цель управления инцидентами - это скорейшее возобновление прерванной работы для пользователей. Кроме того, процесс управления инцидентами должен осуществлять точную регистрацию всех инцидентов для оценки и совершенствования процесса управления и предоставления необходимой информации для других процессов. В общем виде алгоритм выявления и реагирования на инциденты ИБ может быть представлен следующим образом (рис. 12)[4].

Алгоритм выявления и реагирования на инциденты ИБ

Рис. 12. Алгоритм выявления и реагирования на инциденты ИБ

Реагирование и устранение инцидентов

Рис. 13. Реагирование и устранение инцидентов

В зависимости от вида инцидента необходимо выставить приоритет по степени реагирования на него. Обычно, в первую очередь должны устраняться технологические инциденты, затем компьютерные, организационные и технические инциденты, но эта последовательность не всегда такова. Стоит отметить, что технологические инциденты решаются не 1Т-службой компании, поэтому для объективного определения приоритета вводятся следующие критерии:

  • - степень воздействия инцидента на бизнес-процесс, т.е. степень отклонения от нормального уровня работоспособности;
  • - срочность инцидента, т.е. приемлемая задержка разрешения инцидента для пользователя или бизнес-процесса.

Для каждого приоритета определяются количество специалистов и объем ресурсов, которые могут быть направлены на разрешение инцидента. Порядок разрешения инцидентов, имеющих одинаковые приоритеты, может быть определен в соответствии с усилиями, необходимыми для его устранения. Например, легко устраняемый инцидент может быть разрешен прежде инцидента, который требует больших усилий для устранения. На первый взгляд может показаться, что управление инцидентами весьма сложный процесс, с точки зрения его разработки, так как требуется выполнить множество действий для его реализации. В свою очередь точное следование данным этапам позволяет выстроить эффективный процесс, который позволит в кратчайшие сроки разрешить возникшие трудности и восстановить процесс работы (рис. 13). На рис. 14 представлены основные задачи процесса реагирования и устранения инцидентов. Схема детально отражает структуру разумной организации системы по управлению инцидентами ИБ.

Основные задачи процесса реагирования на инциденты ИБ

Рис. 14. Основные задачи процесса реагирования на инциденты ИБ

Ведение эффективного процесса управления инцидентами возможно только в том случае, если в организации четко определены роли и обязанности сотрудников, связанных с реализацией данного процесса. В таких случаях лучше всего применять ролевой подход для назначения обязанностей (табл. 6).

Таблица 6

Определение должностных обязанностей

Должность

Роль

Обязанности

1

Менеджер по ИБ

Руководитель группы по управлению инцидентами и связующее звено с отделом по ИБ

  • 1. Разработка плана управления инцидентами на предприятии.
  • 2. Координация действий персонала для эффективного реагирования на инциденты.
  • 3. Реализация комплекса мер по устранению инцидентов.

2

Служба

реагирования на инциденты ИБ

Служба,

занимающаяся

вопросами

ликвидации

инцидента

  • 1. Реагирование на инцидент.
  • 2. Выполнение комплексного анализа возникающих инцидентов.
  • 3. Осуществление процесса устранения инцидентов.

3

Специалист по обеспечению информационной безопасности

Сотрудник

отдела

информационной

безопасности

  • 1. Выявление причин возникновения инцидента ИБ.
  • 2. Выдача рекомендаций по улучшению системы обеспечения ИБ (СУИБ).
  • 3. Модернизация СУИБ.

В заключении хотелось бы отметить, что процесс управления инцидентами требует от персонала и службы по обеспечению информационной безопасности четкой и слаженной работы. Не стоит забывать о том, что успешное функционирование любого процесса в компании на 90% зависит от персонала. Поэтому в обязательном порядке нужно проводить обучение персонала в области реагирования на инциденты, тестировать разработанную схему реагирования и восстановления. Это необходимо для того, чтобы ни один возникающий инцидент не остался незамеченным и не превращался в катастрофу для сотрудников организации. Также стоит внимательно расследовать и применять меры по устранению для каждого возникшего инцидента за минимальный период времени. Эффективное управление инцидентами ИБ снижает вероятность их повторного возникновения и, как следствие, минимизирует причиненный ими ущерб.

  • [1] Баранова Е.К., Зубровский Г.Б. Управление инцидентами информационной безопасности. Проблемы информационной безопасности // Труды I Международной научно-практической конференции «Проблемы информационной безопасности», Крымскийфедеральный университет им. В.И. Вернадского. - 2015. - С. 27-33.
  • [2] Попова С.В. Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности еекомпонентов: дис. ... канд. техн. наук. - Тамбов, 2012.
  • [3] ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы исредства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
  • [4] Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации.Учеб, пособие. - М.: РИОР: ИНФРА-М, 2016.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>