- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
24 Проверка эффективности обработки инц-ов иб
Процесс проверки эффективности обработки инц-ов ИБ:
Вх. данные:отчет о произошедших инцидентах; описание принятых в организации защитных мер; процедуры обработки инцидентов.
Упр.инф.: решения руководства по менеджменту инцидентов ИБ; стандарты (международные, национальные), касающиеся менеджмента инцидентов ИБ; политика обработки инцидентов ИБ.
Ресурсы:материальные и финансовые ресурсы; сотрудники, выполняющие роли по обработке инцидентов ИБ.
Вых.инф.: объективная оценка обработки инцидентов; субъективная оценка обработки инцидентов; заключения по результатам аудита обработки инцидентов ИБ.
Процесс:анализ результатов обработки инцидентов ИБ; аудит обработки инцидентов ИБ.
После инц-та ИБ необходимо провести анализ произошедшего инц-та ИБ и результаты его обработки со всеми вовлеченными сторонами для улучшения мер по обеспечению ИБ и самого процесса обработки инц-ов.
Для получения объективной оценки по обработке каждого инц-та ИБ должна быть проанализирована реакция на обработанный инцидент, чтобы определить, насколько была эффективна эта реакция. Для объективной оценки инц-та ИБ необходимо произвести следующие действия:
анализ записей мониторинга, отчетов и другой документации по инциденту с т.з. соблюдения установленных политик и процедур обработки инц-та;
анализ зарегистрированных предвестников и указателей инц-та с т.з. эффективности обнаружения инц-та;
определение того, нанес ли инцидент ущерб до того, как он был обнаружен;
определение того, правильно ли была идентифицирована причина инц-та;
определение того, какие ЗМ могли бы предотвратить инцидент;
вычисление ущерба от инц-та в денежном выражении.
Для получения субъективной оценки обработки каждого инц-та ИБ члены команды реагирования могут быть опрошены с целью самооценки своей работы, оценки работы других членов команды и всей команды в целом. Владельцы активов, которые были атакованы, должны определить, эффективно ли был обработан инцидент.
Кроме того, используя собранные и обработанные данные об инц-тах ИБ и отчеты об инц-тах ИБ для измерения эффективности обработки инц-ов ИБ в организации должны проводиться периодические аудит обработки инц-ов ИБ. Аудиты позволят определить проблемы и недостатки, которые затем будут скорректированы.
25 Совершенствование обработки инцидентов иб
Процесс совершенствования обработки инцидентов ИБ:
Вх. данные: отчеты о произошедших инцидентах; список защитных мер; процедуры обработки инцидентов.
Упр.инф.: решения руководства по менеджменту инцидентов ИБ; стандарты (международные, национальные), касающиеся менеджмента инцидентов ИБ.
Ресурсы: материальные и финансовые ресурсы; сотрудники, выполняющие роли по обработке инцидентов ИБ.
Вых.инф.: скорректированные существующие, либо дополнительные защитные меры; скорректированные существующие, либо дополнительные нормативные документы; программа обучения персонала.
Процесс: обучение (подготовка и переподготовка) и осведомление сотрудников на примере произошедших инцидентов ИБ; корректировка существующих защитных мер и введение в действие дополнительных защитных мер, препятствующих инцидентам ИБ; корректировка процедур обработки инцидентов ИБ; корректировка нормативных документов и политик, разработка новых нормативных документов.
Одним из важных итогов обработки инцидентов является обучение и, если необходимо, подготовка и переподготовка персонала команды реагирования. Обучение способствует развитию навыков команды реагирования по отражению новых угроз, улучшению технологий, систем. Кроме того, о каждом значительном инциденте ИБ должны быть осведомлены сотрудники организации.
Оценка произошедшего инцидента может указать на недостаточность существующих защитных мер, на необходимость их корректировки, чтобы противодействовать подобным инцидентам ИБ, или на необходимость введения в действие дополнительных защитных мер, препятствующих инцидентам ИБ.
Оценка произошедшего инцидента может указать и на необходимость корректировки процедур обработки инцидентов ИБ, если они оказались недостаточно эффективны для обработки инцидентов ИБ.
Введение в действие дополнительных защитных мер, изменение процедур обработки инцидентов ИБ, как правило, приводит к корректировке нормативных документов и политик и/или к разработке новых нормативных документов.
26.Обработка инцидентов с неавторизованным доступом. Определение инцидента с неавторизованным доступом. Примеры инцидентов с неавторизованным доступом. Подготовка к обработке инцидента с неавторизованным доступом
Инцидент с неавторизованным доступом происходит, когда пользователь получает доступ к информационным активам, к которым он не должен иметь доступ. Неавторизованный доступ обычно реализуется через использование уязвимостей операционной системы или приложений, использование имен пользователей и паролей или их подбор. Примеры инцидентов с неавторизованным доступом:
дистанционная компрометация почтового сервера;
дискредитация Web-сервера;
угадывание и взлом паролей;
копирование базы данных, содержащей номера кредитных карт;
просмотр конфиденциальных данных, например, записи платежных ведомостей и медицинской информации, без авторизации;
запуск анализаторов на рабочей станции с целью захвата имен пользователей и паролей;
соединение с незащищенным модемом и получение доступа к внутренней сети;
При планировании обработки инцидентов, связанных с неавторизованным доступом, выполняются следующие мероприятия:
подготовка к обработке инцидентов с неавторизованным доступом;
выбор и реализация защитных мер, препятствующих инцидентам с неавторизованным доступом;
формирование приоритетного порядка обработки инцидентов с неавторизованным доступом.
В дополнение к общему руководству при подготовке к обработке инцидентов с неавторизованным доступом должны быть выполнены следующие действия:
установка сетевых и узловых СОВ для идентификации и оповещения о попытках неавторизованного доступа;
применение централизованных серверов (архивов) журналов мониторинга ИБ с целью хранения записей мониторинга в одном безопасном месте;