Декларация, указы, конституция / 09. Политика информационной безопасности
.pdfПолитика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
5.Создать условия для накопления и хранения точной информации о компьютерных инцидентах.
6.Обеспечить быстрое обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа "прошедших уроков", изменения политики ИБ, модернизации системы ИБ и др.).
7.Обеспечить сохранность и целостность доказательств произошедшего инцидента.
8.Применить предусмотренные ПИБ (уставом, иным документом) дисциплинарные меры к нарушителям, адекватные событию. Создать условия для возможного возбуждения гражданского или уголовного дела против выявленного нарушителя, если есть предпосылки отнесения его к разряду злоумышленника.
9.Защитить частные права, установленные законом.
10.Минимизировать нарушение порядка работы и повреждения данных ИТ-системы.
11.Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ-системы.
12.Защитить репутацию организации и ее ресурсы.
13.Провести дополнительное обучение персонала в процессе реагирования на инцидент, а также по его результатам.
Состав участников процесса реагирования на инцидент
Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений организации: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др.
Должна быть создана комиссия по расследованию инцидента ИБ. Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.
Основные этапы процесса реагирования на инцидент
Инцидент компьютерной безопасности часто оказывается проявлением комплексной и многосторонней проблемы. Правильный подход к решению этой проблемы - в первую очередь ее декомпозиция на структурные компоненты и изучение входных и выходных данных каждого компонента.
Основные этапы процесса реагирования на инцидент следующие.
1.Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения
61
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании).
2.Формирование комиссии по расследованию инцидентов. Этот этап является одним из самых важных, от него зависит успех в проведении расследования потенциального инцидента.
3.Обнаружение инцидента - идентификация инцидента ИБ.
4.Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте.
5.Пресечение незаконных действий.
6.Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Подтверждается руководством. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента.
7.Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.
8.Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.
9.Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".
Расследование инцидента
Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера. Оно может быть разделено на два этапа:
1.сбор данных;
2.криминалистический анализ собранных данных.
Информация, собранная в ходе выполнения первого этапа расследования, служит в дальнейшем для выработки стратегии реагирования на инцидент.
На этапе анализа, собственно, и определяется, кто, что, как, когда, где и почему были вовлечены в инцидент.
Анализ собранных данных включает анализ системных журналов, файлов протоколов работы, конфигурационных файлов, истории приложений для
62
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
доступа в интернет (включая cookies), сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и прочего.
Необходимо провести анализ ПО, поиск по ключевым словам, проверить дату и время инцидента. Криминалистический анализ может также включать анализ на "низком" уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
8.Процедуры управления инцидентами информационной безопасности
Уведомление о событии информационной безопасности
Сведения о событиях информационной безопасности должны передаваться через соответствующие каналы управления настолько быстро, насколько это возможно.
Должна быть реализована формальная процедура уведомления о событиях информационной безопасности, используемая вместе с процедурой реагирования на инцидент и мобилизации системы безопасности, в которой описаны действия, предпринимаемые после получения сообщения о событии информационной безопасности.
Для сообщения о событиях информационной безопасности должно быть определено подразделение, с которым необходимо связаться в такой ситуации. В рамках этого подразделения должен быть организован постоянно доступный пункт приема и обработки уведомлений, в особых случаях - постоянно действующий пост ИБ. Дежурный персонал пункта (поста) должен иметь достаточный уровень знаний по вопросам ИБ с учетом всех особенностей организации, обеспечить адекватный и своевременный ответ.
Должно быть приняты меры по доведению до всего персонала сведений о механизме передачи уведомлений (номер телефона, другие способы). Для физической передачи уведомлений не следует полагаться только на возможности общей сети IT-структуры, поскольку она в этот момент может быть выведена из строя. При использовании телефонной связи для номера пункта рекомендуется использовать сокращенный набор, а также многоканальную линию. Настоятельно рекомендуется внести номер пункта (поста) ИБ в список телефонов аварийных служб организации.
В должностные инструкции или иные документы равной силы всех категорий служащих организации, контрагентов и пользователей третьей стороны в качестве одной из обязанностей должна быть указана обязанность как можно быстрее сообщать о любых событиях информационной безопасности по указанному телефону (месту) и процедура ее выполнения.
Процедуры уведомления должны включать:
63
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
1.соответствующие цепи обратной информационной связи, гарантирующие, что источник уведомления будет в обязательном порядке ознакомлен с результатами реагирования на инцидент или решения проблемы;
2.формы представления уведомления (например, в виде документа типа «донесение» с шаблоном типового текста) о событиях информационной безопасности, а также инструкции в виде памятки минимально необходимого объема (один лист текста с легко читаемым шрифтом), перечисляющей действия по передаче уведомления в их логической последовательности (5-9 пунктов);
3.порядок личного поведения и действий персонала в случае наступления события информационной безопасности в виде инструкции, например, с таким текстом:
4.зафиксировать все возможные детали внешнего проявления события (например, изменение интерфейса, проблемы отображения, странные режимы работы, неизвестные сообщения, самопроизвольные попытки установления внешнего соединения…);
5.изолировать компьютер от общей сети, отсоединить провод от сетевой карты или коммуникационной розетки
6.сформировать и отправить уведомление в пункт (на пост) ИБ
7.не предпринимать никаких действий по своей инициативе и ожидать прибытия сотрудника ИБ или сообщения из пункта (поста) ИБ;
8.в случае возникновения угрозы личной безопасности действовать по обстановке
Действия в условиях высоких рисков с возможным нахождением персонала под принуждением должны быть указаны в специальной инструкции, составленной с участием представителей службы общей безопасности или внешних компетентных органов.
9.Изучение инцидентов информационной безопасности
При изучении инцидентов должны проводиться количественная оценка и мониторинг типов, объемов и стоимостей нанесенных ущербов.
Информация, полученная при оценке инцидентов информационной безопасности, должна использоваться для определения возможности их повторения или возникновения инцидентов с более тяжкими последствиями.
Результативность и эффективность изучения инцидентов ИБ и разработки мер по их профилактике, обнаружению, ликвидации и недопущению в последующем существенно возрастает при использовании базы данных, формируемой по результатам проведенных расследований.
В состав такой базы должны входить основные составляющие инцидента: кто, что, когда, где, как и почему.
64
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
Сбор доказательств
Все доказательства, собираемые в процессе расследования инцидентов в ЕСЭДО, независимо от того, будут ли они использованы при дисциплинарных мерах, или в процессе судебного разбирательства, должны быть собраны и сохранены в соответствие с общими правилами, обеспечивающими:
1.допустимость доказательства: действительно ли доказательство может быть использовано в суде;
2.весомость доказательства: качество и полнота доказательства. Определения «допустимость доказательства» и «весомость
доказательства» раскрываются компетентными структурами организации. Любая работа в интересах судебного разбирательства должна
выполняться только с копиями материалов доказательств.
Должна быть защищена целостность всего материала доказательств. Копирование материалов доказательств должно контролироваться
заслуживающим доверие персоналом, должен быть создан отчет со следующей информацией: где и когда был выполнен процесс копирования, кто выполнил операции копирования, какие инструментальные средства и программы использовались, данные о носителе (поставщик/изготовитель, тип, заводской номер носителя).
65