Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации с учетом современных требований.pdf
Добавлен: 26.06.2023
Просмотров: 250
Скачиваний: 8
ВВЕДЕНИЕ
Сегодня мы все чаще слышим о том, что в странах постоянно случаются какие-либо инциденты информационной безопасности. И пусть кажется, что инциденты случаются где-то далеко, они вполне могут затронуть каждого из нас. Стоить отметить, что нет ни одной сферы общественной деятельности, которая не была бы интересна хакерам.
Стоит подчеркнуть, что на современном этапе компании достаточно часто подвергаются различным кибератакам. Одновременно с ростом уровня информатизации бизнеса увеличивается и уровень возможных финансовых рисков, а для преступников в сфере кибербезопастности, в свою очередь, возрастает привлекательность получения незаконного заработка.
Одной из главной стран является Россия, на которую приходится активный рост преступлений в сфере информационных технологий. Главным фактором стремительного роста преступности в области информационной безопасности является юридическая основа в сфере квалификации действий и преследования хакеров в правовом поле является главным фактором стремительно растущей эволюции преступности в области высоких технологий. Как результат, все это ведет к ощущению безнаказанности для «виртуальных» мошенников.
Кроме этого, в связи неразвитостью правоприменительной практики в области расследования преступлений в сфере информационной безопасности такие инциденты зачастую предпочитают скрывать, что, безусловно, является весьма хорошим стимулом активизации преступной деятельности в этой сфере.
Актуальность моей работы состоит в том, что в настоящее время тема управления инцидентами информационной безопасности, а также их непосредственного расследования является одновременно и популярной в мире, и самой щепетильной. Так как именно эффективно построенная система управления инцидентами информационной безопасности во время расследования и реагирования на инцидент проявляются конкретные уязвимости информационной системы, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, качество архитектуры системы ИБ и ее управления.
Основные теоретические аспекты проблемы управления рисками ИБ нашли отражение в работах Д.М. Алексеева, В.Г. Жукова, М.Н. Соколовой, С.Л. Зефировой, М.Н. Жуковой и многих других исследователей.
Объектом моего исследования выступают инциденты в области информационной безопасности. Предметом исследования являются выработка концепции по эффективному управлению инцидентами информационной безопасности в организации.
Целью курсовой работы является – разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации.
Поставленная цель предполагает решение следующих задач:
- изучить теоретико-методологические аспекты управления инцидентами информационной безопасности;
- проанализировать применение модели PDCA для процессов управления инцидентами ИБ;
- разработать концепцию системы управления инцидентами информационной безопасности в организации.
Методологической базой данной работы явились изучение научной литературы, анализ и синтез, индукция и дедукция, методы системного подхода, средства факторного и статистического анализа.
Теоретическая значимость работы состоит в развитии эффективной системы управления инцидентами информационной безопасности для организации.
Практическая значимость состоит в возможности применения ее на практике для организации, которая хотела бы повысить уровень защищенности своих ресурсов.
-
Глава 1. Теоретико-методологические аспекты управления инцидентами информационной безопасности в организации
1.1 Актуальность разработки концепции и системы по управлению инцидентами информационной безопасности для организации
Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации[1].
Важной частью системы информационной безопасности любой современной организации является управление инцидентами информационной безопасность. Так, связанные с нарушением информационной безопасности в финансовых организациях могут приводит к прямым финансовым потерям.
Вследствие чего сотрудники отдела информационной безопасности компании должны иметь возможность не только выявлять, но и расследовать любые попытки совершения незаконных действий.
Так, эксперты Searchinform оценили уровень ИБ в российских компаниях. Данные были получены в ходе серии конференций Road Show SearchInform 2017 «DLP будущего», в которой приняли участие 1806 ИБ-специалистов и экспертов[2]. Согласно полученным данным ИБ-инциденты в 2017 чаще происходили по следующим причинам (таблица 1).
Таблица 1
Причины инцидентов информационной безопасности в 2017 году
|
Причина ИБ-инцидентов |
Процент |
|
Случайно |
37% |
|
В равной пропорции |
34% |
|
Намеренно |
29% |
Прежде всего, необходимо своевременно обнаружить инцидент, иначе просто невозможно будет отреагировать на него максимально быстро. В то же время по инцидентам, которые удалось все-таки выявить, зачастую просто отсутствуют четкий регламент процедуры реагирования[3]. Такие ситуации требуют значительного времени для разрешения.
Основными средствами управления инцидентами являются системы мониторинга и корреляции событий информационной безопасности, автоматизирующие этап обнаружения инцидентов.
Сегодня вопросами защиты конфиденциальных данных в компаниях по-прежнему чаще всего занимаются службы безопасности и ИТ-отделы (таблица 2).
Таблица 2
Ответственные за защиту конфиденциальных данных в компаниях
|
Ответственные |
Процент |
|
ИБ-отделы |
46% |
|
ИТ-отделы |
43% |
|
Руководители |
7% |
|
ИБ-аутсорсинг |
1% |
Из таблиц 1 и 2 можно сделать вывод, что обеспечение информационной безопасности является сегодня для различных организаций важной задачей, выполнение которой требует существенных финансовых, а также трудовых затрат. Важно понимать, что эти затраты сделаны впустую, если система защиты информации при этом действует недостаточно быстро и продуктивно.
Поэтому, неудивительно, что в последнее время все актуальнее становится проблема мониторинга событий ИБ, а также обнаружение и обработка возникающих инцидентов ИБ в самые минимальные сроки.
Инцидент компьютерной безопасности часто является сложной и многогранной проблемой. Правильный подход к решению этой задачи - прежде всего, ее разложение на структурные компоненты и изучение входных и выходных данных каждого компонента.
Управление инцидентами информационной относится к управлению eccounting, которое связано с процессом сбора, обработки и анализа данных о работе организации, сравнения их с базовыми и целевыми показателями, с целью своевременного выявления проблем, открытия резервов для более полного использования имеющегося потенциала. На рисунке 1 представлена система менеджмента информационной безопасности.
Рисунок 1. Система менеджмента информационной безопасности
Для многих компаний составляет трудность отслеживать изменения количества и особенностей инцидентов информационной безопасности. Это характерно в случае, когда процедура управления инцидентами отсутствует. Далеко не всегда отсутствие инцидентов свидетельствует о правильной работе системе управления безопасности, а скорее о том что инциденты не регистрируются.
Поэтому наиболее актуальным и важным элементом любой организации сегодня является как разработка концепции, так и эффективной системы по управлению инцидентами информационной безопасности. Рассмотрим основные этапы управления инцидентами в следующем разделе.
1.2 Модель PDCA для процессов управления инцидентами ИБ
Процесс управления инцидентами ИБ, согласно требованиям ГОСТ Р ИСО/МЭК 27001-2013, основывается на цикле Демминга (Plan-Do-Stude-Act-PDSA) и включает следующие стадии: обнаружение и регистрация инцидента, реагирование на инцидент, расследование, корректирующие и превентивные мероприятия. С точки зрения функционирования системы защиты информации особый интерес представляют первые две стадии[4].
Определение инцидента. В отсутствие методологии определения инцидентов сотрудники могут неправильно отнести событие к инциденту информационной безопасности и отреагировать на него. Инциденты не нарушают процесс работы компании, но при незначительном инциденте, например, оставлении конфиденциальных документов на столе или паролей на мониторах компьютеров, злоумышленник, работающий в компании, может легко воспользоваться таким подарком.
Оповещение о возникшем инциденте. Сотрудники часто не информированы, кому и в какой форме сообщать об инциденте, например, если коллега, работающий с конфиденциальными документами, забирает их из офиса, сотрудник, который заметил инцидент, не знает, что делать в этом случае.
Регистрация инцидента. В этом случае, даже если методология определения инцидентов существует, сотрудники информируются и даже назначаются ответственные лица, при возникновении инцидента он не регистрируется в специальном журнале.
Устранение последствий и причин инцидента. Трудность в большинстве компаний заключается в отсутствии плана действий по устранению причин и последствий инцидента. Этот план действий должен быть направлен прежде всего на обеспечение того, чтобы действия по устранению последствий и причин инцидента не нарушали меры по их расследованию. Если уничтожить все следы, то невозможно будет определить причину инцидента и наказать виновных.
Расследование инцидента. Обычно на предприятиях после устранения последствий и причин инцидента, а также восстановления нормальной работы, последующие этапы расследования не проводятся. В расследовании инцидента ключевую роль играют следующие факторы: ведение журналов регистрации, разделение полномочий, ответственность за выполненные действия.
Реализация действий, предупреждающих повторное возникновение инцидента. После того, как инцидент произошел и виновники были выявлены, чаще всего руководство наказывает "рублем" (лишает премии или штрафует), иногда увольняет, но не задумывается о том, что какой-либо другой сотрудник совершит подобный инцидент спустя некоторое время. Для этого необходимо правильно оценить произошедшее, сделать выводы и принять комплекс мер по предотвращению повторного инцидента.
При этом, на одни компании нападают в поисках конфиденциальной информации, на другие - с целью наживы, а кто-то и вовсе становится случайной жертвой массовой атаки[5].
Основными целями реагирования на инциденты ИБ являются минимизация ущерба, скорейшее восстановление исходного состояния ИС и разработка плана по недопущению подобных инцидентов в будущем. Эти цели достигаются на двух основных этапах: расследование инцидента и восстановление системы.
При расследовании требуется определить:
- начальный вектор атаки;
- вредоносные программы и инструменты, которые были использованы в процессе атаки;
- какие системы были затронуты в ходе атаки;