Файл: Разработка методики выявления инцидентов информационной безопасности, связанных с нарушением политики использования электронной почтовой системы организации.pdf
Добавлен: 23.05.2023
Просмотров: 54
Скачиваний: 2
Адекватность — это способность систем контроля содержимого как можно более полно воплощать словесно сформулированную политику использования e-mail, иметь все необходимые средства реализации написанных людьми правил в понятные системе условия фильтрации.
К другим наиболее общим требованиям относятся:
- Текстовый анализ e-mail (анализ ключевых слов и выражений c помощью встроенных словарей);
Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной данных, установить наличие непристойного или запрещенного содержания, остановить рассылку спама, а тоже передачу других материалов, запрещенных политикой безопасности. При этом качественный анализ текста должен предполагать морфологический анализ слов, то есть система должна иметь возможность генерировать и определять все возможные грамматические конструкции слова. Эта функция приобретает большое значение в связи c особенностями русского языка, в котором слова имеют сложные грамматические конструкции.
- Контроль отправителей и получателей сообщений e-mail;
Данная возможность позволяет фильтровать почтовый трафик, тем самым реализуя некоторые функции межсетевого экрана в почтовой системе.
- Разбор электронных писем на составляющие их компоненты (MIME-заголовки, тело письма, прикрепленные файлы и т.п.);
Устранение "опасных" вложений и последующий сбор компонентов письма воедино, причем c возможностью добавлять к сообщению e-mail необходимые для администраторов безопасности элементы (например, предупреждения о наличии вирусов или "запрещенного" текста в содержании письма).
- Блокировка или задержка сообщений большого размера;
До того момента, когда канал связи будет менее всего загружен (например, в нерабочее время). Циркуляция в почтовой сети фирмы таких сообщений может привести к перегрузке сети, а блокировка или отложенная доставка позволит этого избежать.
- Распознавание графических, видео и звуковых файлов;
Обычно, такие файлы имеют большой размер, и их циркуляция может привести к потере производительности сетевых ресурсов. Поэтому способность распознавать и задерживать материалы типы файлов позволяет предотвратить снижение эффективности работы фирмы.
- Обработка сжатых/архивных файлов;
Это дает возможность проверять сжатые файлы на содержание в них запрещенных материалов.
- Распознавание исполняемых файлов;
Обычно, такие файлы имеют большой размер и редко имеют отношение к коммерческой деятельности фирмы. Кроме того, исполняемые файлы являются основным источником заражения вирусами, передаваемыми c электронной почтой. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы фирмы и избежать заражения системы.
- Контроль и блокирование спама;
Циркуляция спама приводит к перегрузке сети и потере рабочего времени сотрудников. Функция контроля и блокирования спама позволяет сберечь сетевые ресурсы и предотвратить снижение эффективности работы фирмы. Основными способами защиты от спама являются: проверка имен доменов и IP-адресов источников рассылки спама по спискам, запрос на указанный адрес отправителя (блокировка в случае отсутствия ответа), текстовый анализ спам сообщения на наличие характерных слов и выражений в заголовках e-mail (from/subject), проверка заголовков на соответствие спецификации RFC-822 и т.п.
- Способность определять число вложений в сообщениях e-mail;
Пересылка электронного письма c большим количеством вложений может привести к перегрузке сети, поэтому контроль за соблюдением определенных политикой безопасности информации ограничений на количество вложений обеспечивает сохранение ресурсов корпоративной сети.
- Контроль и блокирование программ-закладок (cookies), вредоносного мобильного кода (Java, ActiveX, JavaScript, VBScript и т.д.), а тоже файлов, осуществляющих автоматическую рассылку (так называемые "Automatic Mail-to");
Эти виды вложений являются крайне опасными и приводят к утечке данных из корпоративной сети. Категоризация ресурсов почтовой системы фирмы ("административный", "отдел кадров", "финансы" и т.д.) и разграничение доступа сотрудников фирмы к различным категориям ресурсов сети (в т.ч. и в зависимости от времени суток).
- Реализация различных вариантов реагирования;
В том числе: удаление или временная блокировка сообщения; задержка сообщения и помещение его в карантин для последующего анализа; "лечение" зараженного вирусом файла; уведомление администратора безопасности или любого другого адресата о нарушении политики безопасности и т.п.
- Возможность модификации данных;
Которая предусматривает, например, удаление неприемлемых вложений и замену их на тексты заданного содержания. Такая возможность позволит администратору удалять из писем прикрепленные файлы, тип которых запрещен политикой безопасности фирмы. К таким типам могут относиться исполняемые, видео и звуковые файлы, не имеющие отношения к деятельности фирмы. А это, в конечном итоге, позволит избежать заражения сети вирусами и добиться от сотрудников продуктивного использования почтового сервиса.
- Ведение полнофункционального архива e-mail;
Способного обеспечить хранение в режиме on-line большого количества e-mail c высоким уровнем доступности данных. На основании хранящейся в архиве данных, возможно проводить дальнейший анализ почтового потока фирмы, корректировать работу системы, осуществлять анализ инцидентов, связанных c злоупотреблением сотрудниками фирмы почтовым сервисом и т.п.
На Рис. 3 представлена последовательность работы типичной системы контроля содержимого e-mail. Схема обработки сообщения, обычно, включает в себя следующие этапы: рекурсивная декомпозиция электронного письма; анализ содержимого электронного письма; "категоризация" электронного письма (отнесение к определенной категории); действие над письмом по результатам присвоения категории.
Рисунок 3. Схема обработки сообщения системой контроля содержимого электронной почты
Глава 4. Разработка методики выявления инцидентов информационной безопасности, связанных с нарушением политики использования электронной почтовой системы организации
4.1 Описание содержания основных разделов
«Общее положение». Раздел описывающий потребность создания данного документа в компании, указывает какие вопросы рассматривает.
«Нормативные ссылки». Указания на стандарты и документы используемые при написании методики.
«Основные понятия». Основные термины, сокращения и определения для пояснения пользователям необходимых для любой аудитории.
«Жизненный цикл». Позволяет описать жизненный цикл мероприятий по расследованию инцидентов информационной безопасности и указать необходимость использования структурного подхода к менеджменту инцидентов информационной безопасности.
«Инциденты». Раздел описывающий конкретный примеры инцидентов информационной безопасности, которые могут привести к нарушению информационной безопасности фирмы. Такие как нецелевое использование, спам атаки и подобные.
«Признаки инцидентов». Раздел описывает критерии по которым можно определить инциденты.
«Обнаружение инцидента». Описывает способы обнаружения и предотвращения инцидентов. Возможности для обнаружения: технические и организационные средства. К техническим средствам можно отнести системы обнаружения вторжений (IDS, intrusion detection systems) и брандмауэры (firewall), формирующие сообщения об аварийных событиях в сети. К организационным средствам можно отнести работу администраторов и обычных пользователей по поиски нерационального использованию ресурсов и учетных записей.
«Информирование об инцидентах». В разделе находится информация определяющая порядок действий работников при нарушении или подозрения в нарушении информационной безопасности.
Необходимо записать все полученные сведения при любом способе получения информации об инциденте. Список сообщения об инциденте должен содержать все необходимые подробности, хотя не все данные могут использоваться для сообщения. Тем не менее необходимо передать основные факты, к которым относят:
- текущие дата и время;
- объект который уведомил об инциденте;
- характер инцидента;
- описание инцидента;
- оборудование и программное обеспечение на котором произошел инцидент;
- контактные данные лиц, определивший инцидент.
Заполнив список сообщения об инциденте, следует обратиться в соответствующее подразделение организации и собрать группу реагирования на инцидент (ГРИИБ).
В первую очередь ГРИИБ выявляет категорию к которой относится данный инцидент и действуют в соответствии с инструкциями и методами описанными для данного вида угрозы.
К таким категориям следует отнести:
- спам рассылку;
- угрозу утечки информации;
- возможность получения или получение вредоносных программ;
- использование почты в личных целях;
- и т.д.
После подтверждения инцидента и выявления категории член ГРИИБ немедленно приступает к устранению угрозы. Так же оповещает работникам требуемые действия в случае инцидента. Результат данных работ:
- принятие аварийных мер по защите информации;
К таким мерам можно отнести полную остановку работы сервиса, ограничения по работе определенного сотрудника или отдела, а также изменения доступа к почтовому сервису.
- создание дополнительных постоянных мер защиты.
При невозможности устранить угрозу или после устранения ее, необходимо предотвратить возможность повторения инцидента.
Необходимо верно оценивать степень нанесенного ущерба и в зависимости от оценки принятой в данной компании выполнить шаги по остановке процессов бизнеса. Если инцидент несет значительную угрозу то необходимо уведомить вышестоящее руководство и выработать план устранения потерь.
ГРИИБ формирует отчет в который входят:
- описание категории инцидента;
- детали проведения защитных мероприятий;
- степень нанесенного ущерба;
- возможные меры защиты для данной угрозы в дальнейшем.
«Классификация инцидентов». Раздел описывающий классификацию инцидентов по категориям критичности повреждений. В зависимости от категории происходит расчет времени реагирования и характер выполняемых действий в зависимости от ситуации.
«Реагирование на инциденты». Описание характера действий при выявлении соответствующего инцидента. Включает в себя описание действий для ГРИИБ, работников и руководства фирмы.
«Расследование инцидентов». Данный раздел включает в себя цель расследования инцидента информационной безопасности. Включает в себя процесс реагирования.
«Анализ причин и оценка результатов». Описывает мероприятия необходимые для проведения после расследования.
Заключение
Итак, сегодня, когда e-mail по праву занимает ведущее место среди средств электронной связи бизнеса, все более актуальным становится комплекс проблем, решить которые можно только внедряя политику использования электронной почтовой системы организации. Эта политика основывается на правилах, и поэтому ее реализация должна опираться на организационные меры, которые не может заменить никакая автоматизированная система. А документом, которым следует руководствоваться при выявлении инцидентов информационной безопасности, является "Методика выявления инцидентов безопасности информации, связанных c нарушением политики использования электронной почтовой системы организации", описанная в данной курсовой работе. Если только в организации отсутствует подобная методика, то работники не знают, какие события являются инцидентами, не осведомлены о том, кого и в какой форме следует ставить в известность при возникновении инцидента. Это приводит к несвоевременной реакции на инциденты безопасности и устранению их последствий, что негативно сказывается на эффективности функционирование информационной системы и репутации организации.
Список использованной литературы
- ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
- ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.»;
- NIST SP800-61. «Руководство по обработке инцидентов компьютерной безопасности»;
- Выявление инцидентов информационной безопасности, [Электронный документ], http://www.itsec.ru;
- Управление инцидентами информационной безопасности, [Электронный документ], http://www.dsec.ru.