- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
Злоумышленные действия и указатели, связанные с несоответствующим использованием.
Инцидент, связанный с несоответствующим использованием, происходит тогда, когда пользователь выполняет действия, которые нарушают приемлемые политики использования вычислительных средств. Несанкционированное использование услуг. (например, Web-сервера, совместное использование файлов, совместное использование музыки): 1)Предупреждения об обнаружении вторжения в сеть.2)Необычный трафик по направлению к узлу и из узла.3)Новый процесс/программное обеспечение установлены и функционируют на узле.4)Новые файлы или каталоги с необычными именами (например, имена в стиле сервера «warez»).5)Увеличившееся использование ресурсов (например, CPU, хранение файлов, деятельность сети).6)Сообщения пользователей.7) Записи журналов регистрации приложений (например, модули(ей) доступа к Internet, серверы(ов) FTP, серверы(ов) e-mail) Доступ к несоответствующим материалам. (например, передача спама): 1)Предупреждения об обнаружении вторжения в сеть.2)Сообщения пользователей.3)Записи журналов регистрации приложений (например, модулей доступа к Internet, серверов FTP, серверов e-mail) 4)Несоответствующие файлы на рабочих станциях, серверах или съемных носителях. Атака в отношении внешней стороны:1)Предупреждения об обнаружении вторжения в сеть.2)Сообщения внешних сторон.3)Записи журналов регистрации сетей, узлов и приложений.
Процессы проверки иб ас. Мониторинг иб ас
К процессам проверки ИБ относятся: 1) Мониторинг ИБ АС.2) Проверка соответствия ИБ АС. 3)анализ ИБ АС со стороны руководства. Мониторинг ИБ АС. Это постоянное наблюдение за объектами, влияющими на ОИБ, сбор, анализ и обобщение результатов наблюдения. Для реализации необходимо создавать журналы мониторинга для записи событий связанных с ИБ. Хранить журналы следует в течении установленного времени с целью использования в расследованиях ИБ. Записи мониторинга должны фиксировать следующие события: 1)ид-р пользователя. 2) дата и время входа в систему. 3) ид-р терминала 4)успешные попытки доступа в систему.5) успешные попытки доступа к данным и ресурсам. 6) неуспешные попытки доступа к данным и ресурсам. При распределение ответственности за просмотр журналов нужно разделить роли между лицами, проводящими мониторинг и теми объектами , за которыми осуществляется мониторинг. Необходимо обеспечить безопасность средств регистрации т.к. в случае их преднамеренной модификации могут быть изменены записи мониторинга. Должны быть предусмотрены средства защиты от следующих атак: 1)отключение средств мониторинга 2) редактирование и удаление записей мониторинга. Способы реализации систем мониторинга: 1) Система мониторинга со сбором данных в сегментах; + обработка данных в защищенном домене; – увеличение трафика в сети; злоумышленник может влиять на некоторые компоненты СДМ в сегментах 2) Система мониторинга с первичным анализом данных в сегментах. +уменьшение трафика; некоторые решения по инцидентам не требуют анализа ЛПР; –злоумышленник может влиять на первичный анализ. 3)Система мониторинга с анализом данных в сегментах. +максимальное число решений принимается в доменах; - система мониторинга должна быть интеллектуальна ; злоумышленник в сегменте может влиять на большое число решений.