Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации с учетом современных требований.pdf
Добавлен: 26.06.2023
Просмотров: 246
Скачиваний: 8
Стоит отметить, что управление инцидентами информационной безопасности является важной частью системы ИБ в любой современной организации[14]. Для этого сотрудники, отвечающие за информационную безопасность, должны использовать целый комплекс средств, чтобы обеспечить защиту ИС и ускорить расследование инцидентов ИБ, которые все же могут возникнуть. К таким средствам относятся:
- антивирусы на компьютерах и мобильных устройствах всех сотрудников;
- SIEM системы, в которые интегрированы потоки данных об угрозах;
- анти-APT-системы, обеспечивающие обнаружение сложных угроз и целевых атак;
- системы исследования образцов программного обеспечения и поиска подробной информации о характеристиках вредоносного программного обеспечения по индикаторам компрометации.
В России до сих пор существует целый ряд серьезных проблем в области управления инцидентами информационной безопасности[15]. На рисунке 5 показано, что делали российские компании в 2017 году, когда происходили инциденты ИБ в виде утечек информации.
Рисунок 5. Действия компаний при утечках информации в 2017 году
Большинство атак проходит через этапы kill chain, перечисленные мною в разделе 1.3. В то же время на каждом этапе вредоносная программа оставляет следы на скомпрометированной машине, называемой индикаторами компромисса (IOCs). При расследовании инцидентов необходимо выявлять такие показатели, определять стадию атаки, которой они соответствуют, выявлять уязвимости, используемые вредоносным ПО, и предотвращать дальнейшее развитие атаки.
Основная сложность в данном случае заключается в сборе достаточно уникальных показателей, которые позволят Вам точно определить тип вредоносного ПО, используемого в каждой конкретной атаке.
Согласно статистике[16] инструменты, которые используют чаще всего компании (таблица 3).
Таблица 3
Инструменты, которые чаще всего используют компании
|
Инструмент защиты |
Процент использования |
|
Антивирус |
82% |
|
Firewall |
66% |
|
Proxy |
52% |
|
AD |
50% |
|
DLP-системы |
28% |
|
IDS/IPS |
15% |
|
SIEM |
7% |
Таким образом, развитие информационных технологий позволяет охватить большее количество каналов цифровых коммуникаций сотрудников и хранить значительные объемы информации для дальнейшего анализа, что существенно расширяет возможности расследования нарушений, выявления косвенных признаков мошенничества, выявления закономерностей и аномалий[17].
С целью эффективного противостояния угрозам информационной безопасности рекомендуется обеспечить защиту информационных систем на всех уровнях.
На рабочих станциях рекомендуется установить Endpoint-антивирусы. В сети ИС должны присутствовать IPS, FireWall, Proxy с авторизацией, анти-APT-решения, SIEM с интегрированными потоками данных об угрозах, системы сетевых ловушек и другие системы ИБ.
Кроме этого, проведение тестов на проникновение в ИС данной компании, а также ознакомление специалистов, обеспечивающих информационную безопасность, с отчетами по тестированию на проникновение напрямую способствуют повышению безопасности ИС
Тестирование может проводиться третьими лицами, а информация из отчетов поможет выявить и устранить уязвимости в ИС организации. Специалисты, ответственные за информационную безопасность, должны регулярно повышать свою квалификацию на различных тренингах и семинарах, следить за последними тенденциями ИБ и быть в курсе последних программных и аппаратных решений в области ИБ, а также отслеживать возникающие угрозы и атаки.
Для мониторинга и ведения статистики инцидентов необходимо разработать порядок реагирования на инциденты информационной безопасности, а также выбрать средство накопления и хранения экспертной информации и отчетов по предыдущим инцидентам ИБ. Такая информация позволит ускорить расследования инцидентов ИБ в будущем.
Обнаружение события ИБ, свидетельствующие о возможном инциденте ИБ. К источникам событий ИБ относятся Anti-APT-системы, сетевые ловушки, системы обнаружения вторжений и многие другие решения для обеспечения ИБ.
Во время инцидента сотрудники, ответственные за ИБ, должны принять быстрые и точные меры, чтобы свести к минимуму ущерб, причиненный инцидентом и собрать доказательства для уголовного преследования злоумышленников. Для того, чтобы правильно выполнить эти шаги, необходимо иметь концепцию по управлению инцидентами ИБ, созданную экспертами ИБ.
2.2 Система эффективного управления инцидентами информационной безопасности современной организации на основе - модели PDCA
Многие задаются вопросом что нужно делать для управления инцидентами информационной безопасности? Для начала нужно, чтобы разработка процедуры была принята руководством компании.
Процедура управления инцидентами является частью общей системы управления информационной безопасностью, поэтому руководство должно полностью поддерживать разработку этой процедуры. Также все сотрудники должны понимать, что информационная безопасность конфиденциальной информации в целом и управление инцидентами являются основными целями компании.
Как правило, большинство сотрудников организации не знают, что с помощью обычной электронной почты можно осуществлять целенаправленные атаки на информационные системы организации, а также последствия безответственного использования Интернет-ресурсов[18].
Затем следует разработать необходимые нормативные документы по управлению инцидентами. В данных документах должно содержаться следующее: четкое определение понятия инцидента информационной безопасности, события, которые в компании считаются инцидентом, ответственные лица, порядок оповещения ответственных лиц, порядок устранения причин и последствий инцидента, процедура расследования инцидента, внесение дисциплинарных взысканий, реализация необходимых корректирующих и превентивных мер.
Определение перечня событий, происшествий, является важным этапом в разработке процедур управления инцидентами. Следует понимать, что все события, которые не будут включены в перечень, будут считаться регулярными (даже если они представляют угрозу информационной безопасности).
В частности, инцидентами информационной безопасности могут быть:
- отказ в обслуживании сервисов, средств обработки информации, оборудования;
- нарушение конфиденциальности и целостности ценной информации;
- несоблюдение требований к информационной безопасности, принятых в компании (нарушение правил обработки информации);
- незаконный мониторинг информационной системы;
- вредоносные программы;
- компрометация информационной системы (например, разглашение пароля пользователя).
Для примера можно взять такие события, как прикрепленные к монитору листочки с паролями и логинами, вынос конфиденциальной информации за пределы контролируемой зоны, оставление компьютера незаблокированным и т.д. В таком случае инцидент информационной безопасности представляет собой событие, которое может прервать бизнес-процессы или нанести ущерб информационной безопасности компании.
Следует отметить, что управление инцидентами связано с процессы управления ИБ. Поскольку инцидент считается незаконным, должны быть установлены правила и процедуры, предусмотренные в документах, четко устанавливающих все действия, которые разрешены или запрещены.
Примером может служить следующее: сотрудник компании работает на ноутбуке с конфиденциальной информацией, и ему потребовалось поработать дома. Он забирает ноутбук, а в неконтролируемой зоне, то есть на улице, в подъезде и т.д. на него нападают и забирают его компьютер. Как следствие информацию получили злоумышленники и могут воспользоваться ей в своих целях.
Данный инцидент может произойти из-за отсутствия в компании процедур обращения с мобильными устройствами и хранением на них конфиденциальной информации. Формально сотрудник вынес ноутбук из офиса, но его нельзя привлечь к ответственности, пока данной действие не будет запрещено документально.
Поэтому, прогнозирование инцидентов информационной безопасности (ИБ) является ключом к планированию эффективной системы управления информационной безопасностью объекта[19].
Так же необходимо, чтобы в компании функционировали такие процедуры, как мониторинг событий, фильтрация действующих учетных записей, мониторинг и контроль над действиями сотрудников. В ином случае при возникновении инцидента, виновный может уйти от ответственности без каких-либо проблем.
Например, в компании произошел такой инцидент: системный администратор уволился, но захватил с собой разрабатываемый продукт, который продал конкурентам и они опередили выпуск его на рынок под своим именем. Помимо этого, он изменил параметры системы и в результате после его ухода работа отдельных компонентов прекратилась.
Администратор ушел от какой-либо ответственности очень просто. Не выполнялась регистрация его действий, он мог просто стереть все необходимые доказательства своей виновности, и в компании не выполнялась регистрация инцидентов.
На рисунке 6 для описания процедуры управления инцидентами безопасности используется классическая модель непрерывного улучшения процессов, получившая название от цикла Шухарта-Деминга - модель PDCA (Планируй, Plan - Выполняй, Do - Проверяй, Check - Действуй, Act). Стандарт ISO 27001 описывает модель PDCA как основу функционирования всех процессов системы управления информационной безопасностью.
Рисунок 6. Процедура управления инцидентами
Обнаружение и регистрация инцидента. Любой сотрудник компании может обнаружить инцидент информационной безопасности, имеющий доступ к информационной системе. Но многие пользователи не знают, что делать в случае обнаружения инцидента[20]. Для этого следует разработать инструкцию, в которой прописано: как необходимо сообщить об инциденте, кому сообщить и набор действий, которые сотрудник может выполнять самостоятельно.
Отчет должен включать в себя подробности инцидента, лиц причастных к инциденту, время, дату и сотрудника, который обнаружил данный инцидент.
Далее следует написать инструкцию для ответственного лица, который регистрирует инцидент. В малых компаниях сотрудники обычно обращаются напрямую к человеку, который может устранить инцидент, например, системный администратор или администратор по безопасности. Но в крупных компаниях назначают сотрудника, который ведет регистрацию и учет всех инцидентов, к нему обращаются, он регистрирует и дальше передает дело сотрудникам, которые устраняют причины и последствия.
Инструкция обычно содержит сроки и порядок регистрации инцидента, набор инструкций для сотрудника, обнаружившего инцидент, описании порядка передачи информации об инциденте специалисту, а так же порядок контроля за устранением последствий и причин инцидента.
Устранение причин, последствий инцидента и его расследование. Для устранения последствий и причин инцидента необходим документ, описывающий действия, непосредственно предпринимаемые в случае возникновения инцидента. Не имеет смысла определять действия для каждого инцидента в отдельности, за исключением особых случаев или критических ситуаций.
В документе определяются сроки для устранения причин и последствий инцидента, для каждого уровня инцидента определяются свои сроки. Для этого следует распределить инциденты по классам, определить количество уровней инцидентов, описать инцидент каждого уровня и сроки их устранения.
Подведем итоги, документ по устранению причин и последствий должен содержать: перечень и описание действий, для устранения причин и последствий инцидента, сроки устранения и дисциплинарные взыскания за несоблюдение данного документа.
Расследование инцидента подразумевает выявление лиц, причастных к инциденту, определение мер и взысканий к ним. В некоторых компаниях создается специальная комиссия для расследования инцидентов ИБ.
Инструкция по расследованию инцидентов включает в себя: действия, предпринимаемы для расследования инцидента, сбор и хранение улик инцидента, а так же меры и дисциплинарные взыскания, применяемые к лицам, причастных к инциденту.