- •10. Політика інформаційної безпеки: мета, задачі та основний зміст.
- •1. Листи можливостей: для кожного суб'єкта створюється лист (файл) усіх об'єктів, до яких має доступ даний суб'єкт;
- •2. Листи контролю доступу: для кожного об'єкта створюється список усіх суб'єктів, що мають доступи до цього об'єкта;
- •Розробка й аналіз профілю захисту
- •37. Реагування на інциденти інформаційної безпеки, основні задачі.
- •38. Впровадження системи управління інцидентами інформаційної безпеки.
- •39.Обстеження об’єкту у процесі управління інцидентами
- •40. Основні труднощі при управлінні інцидентами інформаційної безпеки.
- •41.Основні етапи оцінки ризиків:
- •42. Кількісна та якісна оцінка ризиків.
- •45. Класифікація технічних каналів витоку інформації
- •50. Контроль ефективності функціонування системи захисту.
- •51. Основні завдання криптографії
39.Обстеження об’єкту у процесі управління інцидентами
Управління інцидентами – це важливий процес, який забезпечує організації можливість спочатку виявити інцидент, а потім за допомогою коректно обраних засобів підтримки якомога швидше його вирішити.
Об’єктами системи моніторингу інцидентів є:
- апаратні засоби (комутатори, маршрутизатори, сканери, UTM пристрої).
- програмні комплекси (операційні системи, антивірусні шлюзи, персональні антивірусні системи, підсистеми обробки даних, доступні служби та сервіси);
- інформаційні ресурси (бази даних, файли користувачів доступні в мережі тощо);
- дії користувачів корпоративної мережі.
У загальному вигляді система моніторингу має декілька рівнів прийняття рішень.
На нульовому рівні здійснюються спостереження, збір, первинна обробка даних, формування системи знань.
На першому, другому і третьому рівнях послідовно здійснюється обробка даних, з проходженням всіх етапів. Виконання робіт на даних етапах здійснюється системним аналітиком з метою отримання експертної оцінки поточного і прогнозованих станів об'єктів моніторингу. На цих етапах поповнюються динамічні знання системи.
На четвертому рівні особа, що приймає рішення, на основі оцінок стану системи, генерує рішення по управляючій дії на об'єкти моніторингу і системи спостереження.
Робота з впровадження системи управління інцидентами інформаційної безпеки пропонується проводити у декілька етапів.
На першому етапі проводиться обстеження об'єкту. На даному етапі здійснюється збір й аналіз інформації щодо наявних та використовуваних на даний момент регламентах, процедурах і засобах забезпечення інформаційної безпеки і управління інцидентами. Виявляються джерела подій інформаційної безпеки, збираються відомості щодо використовуваних інформаційних систем і технологій обробки інформації. Визначається область дії системи управління інцидентами інформаційної безпеки. Розробляються документи «Завдання щодо робіт з розробки системи управління інцидентами інформаційної безпеки» і «Технічне завдання на автоматизовану систему моніторингу й управління інцидентами інформаційної безпеки».
40. Основні труднощі при управлінні інцидентами інформаційної безпеки.
Основною проблемою організації систем управління інформаційною безпекою є відсутність налагодженої системи моніторингу інцидентів, так як часто відсутність інцидентів не вказує на те, що система управління безпекою працює правильно, а означає тільки те, що інциденти не фіксуються або не визначаються.
В багатьох організаціях не завжди можливо прослідкувати за зміною кількості та характеру інцидентів інформаційної безпеки – відсутня процедура управління інцидентами. Часто відсутність інцидентів не вказує на те, що система управління безпекою працює правильно, а означає тільки, що інциденти не фіксуються або не визначаються. Як правило, основні складнощі при управлінні інцидентами викликають наступні моменти.
Визначення інциденту. В компанії відсутня методика визначення інцидентів, а співробітники не знають, які події є інцидентами. Це особливо важливо у випадку інцидентів інформаційної безпеки – вони не завжди заважають нормальній роботі.
Сповіщення про виникнення інциденту. Співробітники компанії часто не обізнані про те, кого і в якій формі слід ставити перед фактом при виникненні інциденту, – наприклад, не визначені ні форми звітів, ні перелік осіб, яким необхідно відправляти звіти про інциденти.
Реєстрація інциденту. Відповідальним особам (навіть якщо такі призначені) часто не надається методика реєстрації інцидентів – не існує спеціальних журналів їх реєстрації, а також правил і термінів заповнення.
Усунення наслідків і причин інциденту. В організаціях, як правило, відсутня документально зафіксована процедура, що описує дії, які необхідно виконати з метою усунення наслідків і причин інциденту. В першу чергу така процедура повинна передбачати, щоб заходи щодо усунення наслідків і причин інциденту не порушували процедури їх розслідування: усунення наслідків інциденту не повинне «замітати сліди», щоб неможливо було встановити винних в інциденті.
Розслідування інциденту. На етапі розслідування інцидентів основну роль відіграють: ведення журналів реєстрації подій, чітке розділення повноважень користувачів, відповідальність за виконані дії – важливі докази того, хто приймав участь в інциденті і які дії він виконував. На жаль, про розслідування інцидентів в організаціях часто просто забувають. Як тільки наслідки інциденту усунені та бізнес-процеси відновлені, подальші дії щодо розслідування інциденту і здійснення коректуючих і превентивних заходів не виконуються.
Реалізація дій, застерігаючих повторне виникнення інциденту. Як правило, якщо організації був завданий який-небудь збиток, то до винних у виникненні інциденту (які визначені без необхідних в таких випадках процедур) все ж таки застосовуються різні стягнення, проте внесення дисциплінарних стягнень не завжди підкоряється затвердженим процедурам й інші дії щодо запобігання повторення інциденту виконуються теж не завжди.
Управління інцидентами – одна з найважливіших процедур управління інформаційною безпекою. Перш за все, важливо правильно і своєчасно усунути наслідки інциденту, а також мати нагоду проконтролювати, які дії були виконані для цього. Необхідно також розслідувати інцидент, що включає визначення причин його виникнення, винних осіб і конкретних дисциплінарних стягнень. Далі, як правило, слід виконати оцінку необхідності дій щодо усунення причин інциденту, якщо потрібно – реалізувати їх, а також виконати дії щодо попередження повторного виникнення інциденту. Окрім цього, важливо зберігати всі дані про інциденти інформаційної безпеки, оскільки статистика інцидентів інформаційної безпеки допомагає усвідомлювати їх кількість і характер, а також зміну в часі. За допомогою інформації про статистику інцидентів можна визначити найбільш актуальні загрози для організації і, відповідно, максимально точно планувати заходи щодо підвищення рівня захищеності інформаційної системи організації.