Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации с учетом современных требований.pdf
Добавлен: 26.06.2023
Просмотров: 251
Скачиваний: 8
Корректирующие и превентивные действия. После устранения последствий инцидента и восстановления нормального функционирования бизнес-процессов компании, возможно, потребуется выполнить действия по предотвращению повторного возникновения инцидента. Для определения необходимости реализации таких действий следует провести анализ рисков, в рамках которого определяется целесообразность корректирующих и превентивных действий.
В некоторых случаях последствия инцидента незначительны по сравнению с корректирующими и превентивными действиями, и тогда целесообразно не совершать дальнейших шагов после устранения последствий инцидента.
Рассмотрены все этапы модели PDCA применительно к процессу управления инцидентами информационной безопасности. Кроме того, для того чтобы процедура была проведена правильно и эффективно, все эти шаги должны повторяться непрерывно и последовательно.
После определенного времени (обычно полгода или год), необходимо повторно просмотреть список событий, называемых инцидентами, форму отчета и прочее, внедрить обновленную процедуру в информационную систему, проверить ее функционирование и эффективность и реализовать превентивные действия.
Таким образом, модельный цикл PDCA будет повторяться непрерывно и обеспечивать бесперебойную работу процедур по управлению инцидентами и, самое главное, его постоянное совершенствование.
2.3 Общие принципы концепции реагирования на инциденты информационной безопасности
В первую очередь необходимо определить контекст, в котором работает организация и четко понимать потребности и ожидания всех сторон, заинтересованных в функционирующей системе управления информационной безопасностью[21].
1. Формализация принципов приоритизации событий информационной безопасности.
Инциденты информационной безопасности необходимо различать по значимости, так как утерянная флешка с ПДн сотрудника (скан паспорта, фото, иные документы) безусловно, является инцидентом информационной безопасности и на это нужно реагировать, но если в тоже время утеряна флешка с информацией, представляющую коммерческую тайну Компании, приоритет должен быть отдан коммерческой тайне.
2. Структуризация и приоритезация потока информации о возможных инцидентах информационной безопасности, поступающих от технических средств мониторинга и сбора данных.
С появлением компьютера и Интернета, количество инцидентов возросло. Для их контроля необходимы специальные программы сбора и анализа данных для проверки инцидентов информационной безопасности. После анализа и структурирования инцидентов программное обеспечение может уведомлять ответственные лица о результатах.
3. Информирование о результатах расследования инцидентов своих сотрудников и партнеров.
На плановых собраниях в организации необходимо раскрывать прошлые инциденты, с целью их уменьшения, так как многие инциденты происходят из-за незнания сотрудника. Крупные инциденты следует доводить до сведения своих партнеров, с тем чтобы не допустить возникновения аналогичных ситуаций в их структуре.
4. Создание необходимых условий для внедрения процедуры расследования инцидентов информационной безопасности внутри организации.
Необходимо проводить аудит компании с привлечением квалифицированных специалистов или организаций извне. Такая проверка более компетентна и не имеет предвзятого отношения к конкретным инцидентам, как это может быть у сотрудника трудящегося в компании.
Кроме того, приказом должны быть назначены внутренний аудит и ответственные лица, определены их сферы ответственности и полномочия при расследовании инцидентов информационной безопасности.
5. Сокращение инцидентов информационной безопасности путем эффективного использования современных средств защиты. Компания должна заботиться о своей безопасности, и защищать конфиденциальную информацию от разглашения. В настоящее время это невозможно без средств защиты информации, таких как:
- антивирусное ПО;
- межсетевые экраны;
- DLP-системы;
- системы блокировки трафика.
6. Документирование руководящих принципов и процедур расследования инцидентов информационной безопасности.
Все инциденты информационной безопасности должны быть записаны в журнал расследования, и содержать минимальный набор информации (дату, инцидент, лицо совершившее, меры наказания). Если потребуется более детальная информация, она должна хранится у ответственного лица за инциденты.
7. Анализ инцидентов и обработка результатов с целью получения практического опыта.
После расследования инцидента следует провести анализ, с тем чтобы накопить опыт и обеспечить дальнейшую нейтрализацию такого инцидента. Например, если злоумышленник ворвался в здание через окно, необходимо поставить решетки на окна.
На основании ГОСТ Р ИСО/МЭК 27001-2006 частная политика должна устанавливать общие руководящие принципы мониторинга состояния информационной безопасности и использовать результаты для осуществления менеджмента инцидентов ИБ предприятия[22].
Таким образом, сформируем следующую политику реагирования на инциденты информационной безопасности:
- понимание руководством организации необходимости реагирования на инциденты информационной безопасности;
- управление процедурой расследования инцидентов информационной безопасности;
- определение целей, задач и места политики в общей структуре процессов управления безопасностью информации;
- определение понятий "инцидент" информационной безопасности и "последствия инцидента" информационной безопасности;
- описание состава, структуры, функциональных зон ответственности, ролей, правил внутриорганизационного взаимодействия, порядок внешних сношений команды по расследованию инцидентов информационной безопасности;
- порядок установления приоритетов и оценки серьезности последствий инцидентов информационной безопасности;
- оценка критериев качества работы команды по расследованию инцидентов;
- разработка форм отчетности и регламента оповещений об инциденте;
- разработка набора процедур, описывающих действие сотрудников организации в случае инцидента информационной безопасности;
- разработка стандартных операционных процедур, подробно описывающих действия сотрудников команды реагирования в процессе обработки инцидента информационной безопасности;
- порядок пересмотра, тестирования и актуализации стандартных операционных процедур.
ЗАКЛЮЧЕНИЕ
Таким образом, по итогам исследования были решены следующие задачи:
- изучены теоретико-методологические аспекты управления инцидентами информационной безопасности;
- проанализировано применение модели PDCA для процессов управления инцидентами ИБ;
- разработана концепция системы управления инцидентами информационной безопасности в организации.
Таким образом, вследствие повсеместного внедрения информационных технологий, развития все более инновационных возможностей сети Интернет, а также, самое главное, активизации деятельности нарушителей в сфере информационной безопасности службам ИБ сегодня необходимо делать акцент на тщательной разработке детальных инструкций управления, в частности реагирования, на возникающие инциденты.
В условиях постоянного изменения ландшафта угроз, необходимо регулярно оценивать, насколько эффективны принятые меры по обеспечению информационной безопасности и достаточно ли ресурсов для достижения нужного уровня защищенности.
При этом, отмечу, что статистику инцидентов следует регулярно анализировать в рамках аудита системы управления информационной безопасностью, потому что она представляет особую ценность для компании как показатель эффективности функционирования системы управления информационной безопасностью в целом.
Кроме этого, как отмечает Н.И. Журавленко – немалых дополнительных усилий со стороны ученых и практических работников в настоящий период требует выявление и исследование новых видов компьютерных преступлений[23].
На сегодняшний день специалисты сходятся во мнении, что люди являются сегодня самым слабым звеном систем информационной безопасности в компаниях, но эту ситуацию, безусловно можно и даже нужно изменять.
Поэтому сотрудникам сегодня не только нужно разъяснять и распределять обязанности по обеспечению и реагированию на инциденты информационной безопасности, но и, прежде всего, добиваться того, чтобы в привычку вошло осмысление вероятных последствий для безопасности практически всех действий работника.
Подводя итоги всему вышесказанному, отмечу, что важным источником данных для непосредственного анализа эффективности системы информационной защиты и, безусловно, планирования улучшений в процессе управления инцидентами информационной безопасности. Как результат, необходимость управления инцидентами возникает не только в рамках обеспечения ИБ, но и при управлении ИТ-инфраструктурой в целом.
Разработанная мною концепция, а также рекомендации по построению системы управления инцидентами помогут не только оперативно локализовать и пресечь нарушения информационной безопасности организации, но и организовать сбор необходимой информации для проведения внутреннего расследования и передачи в компетентные органы.
В заключение мне остается лишь подчеркнуть, что на сегодняшний день управление инцидентами информационной безопасности является наиважнейшим процессом для любой организации. Организации должны, прежде всего, правильно и, безусловно, своевременно отслеживать обработку различных инцидентов с помощью разработки конкретной концепции и построения эффективной системы управления инцидентами информационной безопасности.
1. ГОСТ Р ИСО/МЭК 18044. Менеджмент инцидентов информационной безопасности // Соотв. ISO/IECTR 18044. М., 2007. - 50 с.
2. Акиншина, Г.В. Разработка положения о группе реагирования на инциденты информационной безопасности / Г.В. Акиншина // Sci-Article. – 2014. - № 8.
3. Алексеев, Д.М. Реагирование на инциденты информационной безопасности: цели и алгоритм / Д.М. Алексеев, К.Н. Иваненко, В.Н. Убирайло // Инновационная наука. – 2016. - № 9. – С. 42-43.
4. Алексеев, Д.М. Расследование инцидента информационной безопасности с использованием Volatility Framework / Д.М. Алексеев // Международный студенческий научный вестник. – 2017. – № 4-4. – С. 460-466.
5. Варлатая, С.К. Моделирование жизненного цикла уязвимостей информационной безопасности с помощью поглощающей цепи Маркова / С.К. Варлатая, Е.А. Калужин, Д.С. Монастрыский. – 2016. - № 4(23). – С. 39-44.
6. Дорофеев, А.В. Менеджмент информационной безопасности: основные концепции / А.В. Дорофеев, А.С. Марков // Вопросы кибербезопасности. – 2014. - № 1(2). – С. 67-73.
7. Жуков, В.Г. Исследование алгоритмов прецедентного анализа в задаче классификации инцидентов информационной безопасности / В.Г. Жуков, А.А. Шаляпин, М.М. Соколов // Вестник Сибирского государственного университета науки и технологий имени академика М. Ф. Решетнева. – 2015. - № 3. – С. 572-579.
8. Жуков, В.Г. Прецедентный анализ инцидентов информационной безопасности / В.Г. Жуков, А.А. Шаляпин // Вестник Сибирского государственного университета науки и технологий имени академика М. Ф. Решетнева. – 2013. - № 2. – С. 19-24.
9. Жукова, М.Н. О системе управления метаданными инцидентов информационной безопасности / М.Н. Жукова, Д.В. Калачев // Решетневские чтения. – 2015. – С. 284-285.
10. Журавленко, Н.И. Способы совершения компьютерных преступлений / Н.И. Журавленко // Проблемы информационной безопасности: сборник научных трудов II Международной научно-практической конференции, 2016. - 256 с.
11. Зиненко, О. Анализ угроз информационной безопасности 2016-2017 [Электронный ресурс] // Режим доступа: https://www.anti-malware.ru/analytics/Threats_Analysis/Analysis_information_security_threats_2016_2017 (дата обращения: 11.03.2018).
12. Зефиров, С.Л. Исследование возможности анализа обработки инцидентов информационной безопасности / С.Л. Зефиров // Труды Международного симпозиума «Надежность и качество». – 2015. - № 1. – С. 70-73.
13. Исследование уровня информационной безопасности в российских компаниях [Электронный ресурс] // Режим доступа: https://searchinform.ru/research/2017/ (дата обращения: 15.03.2018).