Файл: Современные технические средства выявления инцидентов информационной безопасности.pdf
Добавлен: 29.03.2023
Просмотров: 154
Скачиваний: 1
СОДЕРЖАНИЕ
Глава 1 Характеристика инцидентов информационной безопасности
1.1 Инцидент информационной безопасности
1.5 Нормативные документы, стандарты
1.6 Процесс управления инцидентами ИБ
1.7 Обучение пользователей вопросам выявления инцидентов ИБ
Глава 2 Технические средства и системы выявления инцидентов ИБ
2.2 DLP система предотвращения утечек данных
Необоснованное количество взаимодействия между беспроводным клиентом и точкой доступа, используя EAP аутентификацию, что может говорить о возможной атаке подбора WPS пина с помощью Reaver / WPSCrack.
Выявление изменений в связи — подключение к другой точке доступа, которая может быть мошеннической ТД (Пользователю нужно оценить ситуацию, является ли имя ТД сходим).
Выявляет возможные мошеннические точки доступа, отвечающие за зонды от беспроводных устройств в округе.
2.4 Security Operation Center
Актуальной темой стало построение центров реагирования на инциденты информационной безопасности — Security Operation Center, или SOC.
SOC — это центр реагирования на критические инциденты информационной безопасности (ИБ), который позволяет осуществлять предотвращение атак и полный мониторинг на всех уровнях ИТ: сетевых пакетов, сетевых потоков, активности операционной системы, контента, поведения пользователей. Платформа SOC обычно базируется на отказоустойчивой конфигурации SIEM, к которой дополнительно подключены источники данных об актуальных угрозах информационной безопасности (не вызывающих доверия IP, URL, бот-сетях), получаемые от ведущих лабораторий, которые занимаются обнаружением атак и противодействием киберпреступности.
Это даёт возможность агрегировать информацию об угрозах, выявлять больше инцидентов и обнаруживать атаки нулевого дня (zero day) в кратчайшие сроки.Система визуализации позволяет выводить операционную и сводную информацию заинтересованным лицам.
ЦЕЛИ И ПРОЦЕССЫ SOC
Цели SOC определяются в соответствии с бизнес-целями организации и должны быть зафиксированы документально. Можно использовать успешно зарекомендовавшую себя модель PDCA (Plan Do Check Act) (цикл Деминга-Шухарта). Она используется Международной организацией по стандартизации (ISO) как основа для формирования рекомендаций по различным направлениям обеспечения безопасности, в частности, в области управления инцидентами в стандарте ISO/ IEC 27035:2011 Information technology — Security techniques — Information security incident management. Согласно PDCA, деятельность SOC можно разделить на несколько процессов.
PLAN: планирование и подготовка деятельности:
• разработка политик и процедур;
• доработка существующих политик и процедур безопасности и управления рисками для обеспечения поддержки деятельности SOC;
• создание и обеспечение деятельности SOC как организационной единицы;
• повышение квалификации сотрудников SOC и осведомлённости персонала организации по вопросам деятельности SOC;
• обеспечение периодического тестирования функций SOC;
DO: использование SOC:
• обнаружение и оповещение о возникших событиях ИБ;
• сбор информации о произошедших событиях ИБ для выявления инцидентов ИБ;
• реагирование на инциденты ИБ;
• регистрация свидетельств инцидента ИБ для последующего анализа;
• устранение выявленных причин возникновения инцидента ИБ;
CHECK-анализ:
• правовая экспертиза инцидента ИБ;
• анализ инцидента и извлечение уроков;
• определение необходимых улучшений системы безопасности;
• определение необходимых улучшений деятельности SOC, в том числе на основе сформированных ключевых индикаторов эффективности;
ACT: корректирующие воздействия для устранения выявленных несоответствий:
• корректировка результатов анализа рисков безопасности и анализа менеджмента в организации;
• пересмотр документации и повышение эффективности программно-технических средств SOC;
• реализация улучшений в области безопасности, включая внедрение новых и/или обновлённых защитных мер.
Заключение
В данной курсовой работе были рассмотрены следующие вопросы:
Понятие Инцидент информационной безопасности
Классификацию и примеры инцидентов информационной безопасности
Современные технические средства выявления инцидентов информационной безопасности.
Данные вопросы имеют большое значение в контексте ИБ на предприятии
Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о состоянии системы ИБ. Важно, чтобы ни один инцидент ИБ не остался незамеченным, было проведено расследование, выявлены виновные и, самое главное, выполнены корректирующие и превентивные действия.
Список литературы
- Защита информации в телекоммуникационных системах / Г.Ф. Конахович и др. - Москва: Высшая школа, 2017. - 288 c.
- Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2014. - 256
- Мельников, В. П. Защита информации. Учебник / В.П. Мельников, А.И. Куприянов, А.Г. Схиртладзе. - М.: Образовательно-издательский центр "Академия", 2014. - 304 c.
- Партыка, Н. З. Емельянова. Т. Л. Партыка Защита информации в персональном компьютере. Учебное пособие / Н. З. Емельянова. Т. Л. Партыка Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2015. - 368 c.
- Сергеева, Ю. С. Защита информации. Конспект лекций / Ю.С. Сергеева. - Москва: ИЛ, 2015. - 128 c.
- Соколов, А.В. Защита информации в распределенных корпоративных сетях и системах / А.В. Соколов, В.Ф. Шаньгин. - М.: ДМК Пресс, 2015. - 656 c.
- Спесивцев, А.В. Защита информации в персональных ЭВМ / А.В. Спесивцев, В.А. Вегнер, А.Ю. Крутяков. - М.: Радио и связь, 2016. - 192 c.
- Холево, А.С. Введение в квантовую теорию информации / А.С. Холево. - М.:, 2016. - 119 c.
- Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. - М.: ДМК Пресс, 2017. - 275 c.