- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
22 Планирование обработки инц-ов иб
Процесс планирования обработки инц-ов:
Вх. Данные: цели обработки инцидентов;описание известных инцидентов;результаты оценки и обработки рисков ИБ.
Упр.инф-ия:решения руководства по менеджменту инцидентов ИБ; политика обработки инцидентов ИБ; стандарты (международные, национальные), касающиеся менеджмента инцидентов ИБ.
Ресурсы: материальные и финансовые ресурсы; сотрудники, выполняющие роли по обработке инцидентов ИБ.
Вых.инф.: инфраструктура обработки инцидентов; описание и реализация защитных мер; контрольный перечень действий; приоритетный порядок обработки инцидентов.
Процесс: подготовка к обработке инцидентов ИБ; выбор и реализация защитных мер, препятствующих инцидентам ИБ; формирование контрольного перечня действий по обработке инцидентов ИБ; формирование приоритетного порядка обработки инцидентов ИБ.
При подготовке к обработке инц-та ИБ формируется инфраструктура обработки инц-ов ИБ, т.е. определяются инструментарий и ресурсы, которые могут быть полезны во время обработки инц-та ИБ.
Выбор и реализация защитных мер, препятствующих инц-там ИБ, осуществляется на основе результатов оценки и обработки рисков ИБ. Предпринятые меры должны обеспечивать многоуровневую стратегию защиты инц-ов ИБ.
При планировании обработки инц-ов ИБ формируется контрольный перечень действий по обработке инц-ов ИБ, который определяет начальную обработку инц-та ИБ, которая является общей для всех инц-ов ИБ, и дальнейшую обработку инц-та ИБ, которая должна быть адаптирована к каждому конкретному типу инц-та ИБ.
В организации должен быть сформирован приоритетный порядок обработки инц-ов ИБ, который заключается в том, что инц-ты ИБ не должны обрабатываться в порядке: первым пришел, первым обрабатывается. Обработка инц-ов ИБ должна проводиться в соответствии с приоритетами на основе двух факторов:
существующее и потенциальное техническое воздействие инц-та
критичность затронутых ресурсов.
Команда реагирования представляет собой группу обученных и доверенных членов организации, которая обрабатывает инц-ты ИБ в течение их жизненного цикла. Иногда эта группа может дополняться внешними экспертами.
Организации должны документировать руководство по приоритетам инц-ов ИБ, например, в виде матрицы.
23 Реализация и эксплуатация процедур обработки инц-ов иб
Процесс реализации и эксплуатации процедур обработки инц-ов ИБ:
Вх. данные:признаки инцидента: предвестники и указатели.
Упр.инф.:решения руководства по менеджменту инцидентов ИБ; стандарты (международные, национальные), касающиеся менеджмента инцидентов ИБ; стратегии и процедуры сдерживания инцидента; политика обработки инцидентов ИБ.
Ресурсы:материальные и финансовые ресурсы; сотрудники, выполняющие роли по обработке инцидентов ИБ.
Вых.данные: отчет о произошедших инцидентах ИБ.
Процесс:обнаружение и оповещение об инцидентах ИБ; анализ инцидентов ИБ; сдерживание инцидентов ИБ; устранение инцидентов ИБ и восстановление после инцидентов ИБ; сбор и обработка данных (доказательств) об инцидентах ИБ, подготовка отчета об инцидентах ИБ.
Обнаружение инц-та ИБ осуществляется с помощью:
систем обнаружения вторжений;
антивирусного ПО;
ПО проверки целостности файлов;
записей мониторинга ИБ;
сотрудников организации
на основе признаков инц-ов ИБ. Признаки инц-ов ИБ можно разделить на две категории: «указатели» и «предвестники». «Предвестник» является признаком того, что инцидент ИБ может произойти в будущем. «Указатель» - это признак того, что инцидент ИБ, возможно, случился или может случиться сейчас.
Лицо, заметившее нечто необычное или оповещенное об этом автоматическими средствами, является ответственным за начало процесса обнаружения и оповещения об инциденте ИБ.
Анализ инцидентов ИБ начинается с того, что принимающее лицо должно зафиксировать получение заполненной отчетной формы, ввести ее в базу данных событий/инцидентов ИБ и проанализировать ее. Далее команда реагирования должна немедленно начать запись всех фактов, касающихся этого инцидента. Наряду с записями мониторинга каждый шаг, предпринятый со времени обнаружения инцидента до окончательного решения, должен быть задокументирован и отмечен временем. Каждый документ, касающийся инцидента, должен быть с датой и подписан обработчиком инцидента.
Когда инцидент ИБ был обнаружен и проанализирован, необходимо обеспечить сдерживание инцидента ИБ до того, как может быть нанесен ущерб системе, ресурсам, данным, бизнес-процессам
Действия по устранению инцидента и восстановлению после инцидента заключаются в том, что после того, как инцидент был сдержан, может понадобиться устранить элементы инцидента, такие как ликвидация вредоносного кода или блокирование взломанных учётных записей (паролей) пользователя. Для некоторых инцидентов устранение либо не является необходимым, любо выполняется во время восстановления.
Важнейшим действием по обработке инцидентов ИБ с точки зрения оценки процедур обработки инцидентов ИБ и их последующего совершенствования является сбор и обработка данных (доказательств) об инцидентах ИБ и подготовка отчета об инцидентах ИБ.