Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Залік - відповіді.docx
Скачиваний:
105
Добавлен:
19.03.2015
Размер:
82.98 Кб
Скачать

37. Реагування на інциденти інформаційної безпеки, основні задачі.

Для обробки подій та інцидентів інформаційної безпеки необхідно організувати процес реагування на інциденти. Основними задачами процесу реагування на інциденти ІБ є:

  • забезпечення координації реагування на інцидент;

  • підтвердження/спростування факту виникнення інциденту ІБ;

  • забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти ІБ, що мали місце, про корисні рекомендації;

  • мінімізація порушень порядку роботи і пошкодження даних ІТ-системи, відновлення в найкоротші терміни працездатності організації при її порушенні в результаті інциденту;

  • мінімізація наслідків порушення конфіденційності, цілісності і доступності інформації ІТ-систем;

  • захист прав організації, встановлених законом; створення умов для порушення цивільної або кримінальної справи проти зловмисників;

  • захист репутації організації та її ресурсів;

  • швидке виявлення та/або попередження подібних інцидентів в майбутньому;

  • навчання персоналу компанії діям з виявлення, усунення наслідків і запобігання інцидентів ІБ;

  • своєчасне інформування керівництва про стан інформаційної безпеки.

38. Впровадження системи управління інцидентами інформаційної безпеки.

Таким чином, будь-якій організації, що серйозно відноситься до питань забезпечення інформаційної безпеки, необхідно реалізувати комплексний підхід щодо вирішення наступних задач:

  • виявлення, інформування та облік інцидентів інформаційної безпеки;

  • реакція на інциденти інформаційної безпеки, включаючи застосування необхідних засобів для запобігання, зменшення і відновлення завданого збитку;

  • аналіз відбувшихся інцидентів, з метою планування превентивних заходів захисту і поліпшення процесу забезпечення інформаційної безпеки в цілому.

Також слід зазначити, що при експлуатації різного роду систем менеджменту інформаційної безпеки процес управління інцидентами є одним з найважливіших постачальників даних для аналізу функціонування подібних систем, оцінки ефективності використовуваних заходів зниження ризиків і планування поліпшень в роботі системи.

В сучасних умовах жоден комплекс програмно-технічних засобів, що підтримується відповідним штатом фахівців з інформаційної безпеки, не здатний забезпечити ефективне функціонування системи захисту інформації. Дане питання вимагає системного підходу та розробки комплексних систем управління безпекою, в яких мають брати безпосередню участь всі співробітники організації. Метою системи управління безпекою є створення високоефективної інфраструктури, що дозволяє забезпечити безперебійність бізнес-процесів, які підтримуються цими інформаційними системами, та унеможливити інформаційні втрати. Отже, задачами системи управління інформаційною безпекою є систематизація процесів забезпечення захисту інформації, розташування пріоритетів організації в галузі захисту інформації, забезпечення адекватності системи існуючим ризикам тощо.

Основною проблемою організації систем управління інформаційною безпекою є відсутність налагодженої системи моніторингу інцидентів, так як часто відсутність інцидентів не вказує на те, що система управління безпекою працює правильно, а означає тільки те, що інциденти не фіксуються або не визначаються.

В роботі сучасних систем моніторингу інцидентів виділяються наступні етапи:

- визначення інциденту;

- сповіщення про виникнення інциденту;

- реєстрація інциденту;

- усунення наслідків і причин інциденту;

- розслідування інциденту;

- реалізація дій, що попереджують повторне виникнення інциденту.

Для забезпечення управління інцидентами система повинна виконувати наступні функції:

1. Контроль зовнішніх пристроїв, що підключаються, зокрема можливість в режимі online контролювати клієнтські комп’ютери, контроль роботи агента, контроль політик агента, можливість налаштування реагування на події, захист агента від видалення або виключення, наявність засобів контролю цілісності.

2. Моніторинг агентів і їх захист, зокрема можливість в режимі online контролювати клієнтські комп’ютери, контроль роботи агента, контроль політик агента, можливість налаштування реагування на події, захист агента від видалення або виключення, контроль цілісності.

3. Управління системою та обробка інцидентів, зокрема наявність власної консолі, розподіл ролей адміністратора і спеціалістів з безпеки, налаштування сповіщень, можливості реагування на інциденти, аналіз подій, зафіксованих системою, збереження історії інцидентів для наступного аналізу, заборона на пропуск затриманого повідомлення або дозвіл із записом про інцидент.

4. Формування системи звітності про роботу системи управління інцидентами, зокрема можливість побудови звітів про порушення, наявність варіантів отримання звітів про порушення, тимчасовий запис звіту в локальне сховище у разі недоступності сервера, експорт звітів, запис в журнал реєстрації дій адміністраторів системи.