- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
При планировании обработки инцидентов с применением вредоносного кода выполняются следующие мероприятия:
подготовка к обработке инцидентов с применением вредоносного кода;
выбор и реализация защитных мер, препятствующих инцидентам с применением вредоносного кода;
формирование контрольного перечня действий по обработке инцидентов с применением вредоносного кода;
формирование приоритетного порядка обработки инцидентов с применением вредоносного кода.
В дополнение к общему руководству при подготовке к обработке инцидентов связанных с использованием вредоносного кода, должны быть предприняты и другие действия:
обеспечение осведомленности пользователей о проблемах, связанных с использованием вредоносного кода. Такая информация должна включать в себя основной анализ методов, которые вредоносный код использует для распространения, и симптомы инфицирований.
чтение бюллетеней поставщиков антивируса. Пользователи могут воспользоваться списками рассылки, выпускаемыми поставщиками антивирусного программного обеспечения, которые обеспечивают своевременную информацию о новых угрозах, которые несет с собой вредоносный код;
применение на критичных узлах централизованных систем обнаружения вторжения. Централизованное программное обеспечение IDS может обнаружить признаки инцидентов, связанных с использованием вредоносного кода, такие как изменения конфигурации и модификации исполняемой системы. Программы проверки целостности файлов являются полезными при идентификации затронутых компонентов системы.
Советы по предотвращению инцидентов, связанных с использованием вредоносного кода, используемее наряду с общими рекомендациями и способами:
Использование антивирусного программного обеспечения.
блокировка подозрительных файлов.
ограничение использования неосновных программ со способностями передачи файла
обучение пользователей безопасной обработке вложений e-mail.
Необходимо пренебрегать открытым совместно используемым ресурсом (общим каталогом) Windows
использование установок безопасности Web-браузеров (систем просмотра), чтобы ограничить распространение мобильного кода.
конфигурация клиентов e-mail, для более безопасных действий.
Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
Контрольный перечень, применяемый в отношении обработки инцидента, связанного с использованием вредоносного кода:
Анализ инцидента, связанного с применением вредоносного кода
1 Приоритетная обработка инцидента с т.з. воздействия на бизнес
1.1 Идентификация затронутых активов и прогнозирование, какие активы будут затронуты
1.2 Оценивание существующих и потенциальных воздействий инцидента
1.3 Определение по матрице приоритетов условий реагирования на основе технического воздействия и затронутых активов
2 Сообщение об инциденте соответствующему внутреннему персоналу и внешним организациям
Сдерживание, устранение и восстановление
3 Сдерживание инцидента
3.1 Выявление инфицированных систем
3.2 Отключение инфицированных систем от сети
3.3 Анализ и снижение уязвимостей, которые были использованы вредоносным кодом
3.4 при необходимости произвести блокировку механизмов передачи вредоносного кода
4 Устранение инцидента
4.1 Удаление компонентов инцидента
4.2 Снижение используемых уязвимостей, в отношении других узлов организации
5 Восстановление после инцидента
5.1 Восстановление затронутых инцидентом систем в рабочее состояние
5.2 Проверка функционирования затронутых систем
Постинцидентная деятельность
6 Подготовка завершающего отчета
7 Проведение обсуждения полученных уроков
В организации должен быть сформирован приоритетный порядок обработки инцидентов, связанных с применением вредоносного кода.
Примерная матрица соглашения уровня услуг при реагировании на инциденты , связанные с применением вредоносного кода
Существующее воздействие или вероятное будущее воздействие инцидента |
Критичность (важность) активов, затрагиваемых в настоящее время, или, которые по всей вероятности, будут затронуты инцидентом |
||
Высокая (например, связность с Internet, Web-серверы, рабочие станции системных и ИБ администраторов, сервер мониторинга) |
Средняя (например, серверы файлов, серверы печати, почтовый сервер) |
Низкая (например, рабочие станции пользователей) |
|
Воздействие вредоносного кода на системном уровне |
15 минут |
30 минут |
1 час |
Заголовки столбцов показывают различную степень критичности ресурсов, а заголовки строк показывают различные категории технического воздействия. Каждое значение в матрице определяет максимальное время, которое имеет команда реагирования на инциденты, чтобы начать ответные действия на инцидент.
Система оповещения предупреждает о новом вредоносном коде, который нацелен на программное обеспечение, используемое организацией - Необходимо исследовать новый вирус, чтобы определить, является ли он реальностью или мистификацией. Это может быть сделано посредством Web-сайтов поставщика антивируса и сайтов, содержащих вирусные мистификации. Если вредоносный код подтверждается как аутентичный, понадобиться обеспечить уверенность в том, что антивирусное программное обеспечение обновляется сигнатурами вирусов в отношении нового вредоносного кода. Если сигнатура вируса пока недоступна (отсутствует), а угроза является серьезной и неотвратимой, такая деятельность может быть блокирована другими средствами, такими как конфигурирование серверов или клиентов e-mail с целью заблокировать сообщение e-mail, совпадающее по характеристикам с новым вредоносным кодом. Группа реагирования может также пожелать оповестить о новом вирусе поставщиков антивируса
Антивирусное программное обеспечение обнаруживает и успешно «дезинфицирует» или «отправляет на карантин» вновь полученный инфицированный файл - Необходимо определить, каким образом вредоносный код был введен в систему и какую уязвимость или недостаток он пытался использовать. Если вредоносный код может представлять значительный риск для других пользователей и узлов, понадобиться уменьшить недостатки, которые были использованы вредоносным кодом, чтобы достичь системы и которые были бы использованы, чтобы инфицировать целевой узел