嶋・3-15

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс

Составляющие процесс управления инцидентами ИБ:

Обнаружение событий ИБ и инцидентов ИБ и оповещение о них (например, следующими способами):

•получая сообщения от СЗИ;

•изучая результаты проведения анализа защищенности активов организации с использованием инструментальных средств;

•анализируя журналы регистрации событий серверов, активного сетевого оборудования, прикладного ПО, БД и т. д.;

•просматривая данные систем видеонаблюдения и контроля доступа и т. д.

Обработка событий ИБ и инцидентов ИБ:

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс Диаграмма процесса «Управление инцидентами ИБ»

23

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс

Составляющие процесс управления инцидентами ИБ: Обработка событий ИБ и инцидентов ИБ

24

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс Составляющие процесс управления инцидентами ИБ:

Реагирование на инциденты ИБ (два варианта развития событий):

1)пресечение НСД нарушителя или устранение инцидента ИБ (включая, например, временную остановку работы отдельных систем и сервисов);

2)мониторинг действий нарушителя или хода инцидента ИБ без прерывания инцидента, что позволяет собрать необходимые доказательства и факты для привлечения возможного

нарушителя к ответственности. Реагирование на инциденты ИБ (порядок):

1. Немедленное реагирование на инцидент ИБ

2. Контролируемость инцидента ИБ

3. Последующее реагирование на инцидент ИБ

4. Антикризисные действия

5. Правовая экспертиза инцидентов ИБ

6. Передача информации

7. Расширение области принятия решений

8. Регистрация деятельности и контроль за внесением изменений

9. Техническая поддержка реагирования

на инциденты ИБ

25

Концептуальные подходы к управлению инцидентами ИБ

Управление инцидентами как процесс Составляющие процесс управления инцидентами ИБ: Документация системы управления инцидентами ИБ:

1.Политика управления инцидентами ИБ (отражаются следующие вопросы):

•Значимость управления инцидентами ИБ для организации, а также обязательства высшего руководства.

•Общее представление об обнаружении событий ИБ, оповещении о них, сборе соответствующей информации и путях ее использования для определения инцидентов ИБ.

•Общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, необходимые для выполнения действия, уведомления об инцидентах ИБ и дальнейшие действия ответственных лиц.

•Краткое изложение действий после подтверждения категории инцидента ИБ.

•Ссылку на необходимость правильной регистрации всех видов действия.

•Действия, следующие за разрешением инцидента ИБ, включая извлечение уроков и улучшение процесса, следующего за инцидентами ИБ.

•Подробности места хранения документации, включая процедуры хранения.

•Общее представление о деятельности ГРИИБ.

•Общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ.

•Перечень затронутых правовых и нормативных аспектов.

26

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс Составляющие процесс управления инцидентами ИБ: Документация системы управления инцидентами ИБ:

2.Программа управления инцидентами ИБ(план реагирования на инциденты)

Вкачестве руководства при следующих действиях:

• реагировании на события ИБ;

• определении того, являются ли события ИБ инцидентами ИБ;

• управлении инцидентами ИБ до их разрешения;

• извлечении уроков при обработке инцидентов ИБ, а также выработки

необходимых улучшений системы и/или ИБ в целом;

• реализации идентифицированных улучшений.

Вкачестве руководства для лиц, ответственных за следующее:

•обнаружение и оповещение о событиях ИБ. Эти лица могут быть служащими, работающим на постоянной основе или по контракту;

•оценку и реагирование на события ИБ и инциденты ИБ, которые участвуют в извлечении уроков на этапе разрешения инцидентов ИБ и в улучшения ИБ и самой программы управления инцидентами ИБ. Это члены группы обеспечения эксплуатации - ГОЭ (или подобной группы), ГРИИБ, руководство, персонал отделов по связям с общественностью и юристы.

Включает следующие описания:

•Обзор политики управления инцидентами ИБ.

•Обзор СУИИБ в целом.

•Детальные процессы и процедуры (по усмотрению организации).

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс Составляющие процесс управления инцидентами ИБ:

Группа реагирования на инциденты ИБ (ГРИИБ): ответственность за получение, рассмотрение и реагирование на сообщения о компьютерных инцидентах (варианты названий группы):

1)CERT или CERT/СС (Computer Emergency Response Team/Coordi nation Center) – группа оперативного реагирования на компьютерные инциденты/координационная группа, основной целью которой является оказание услуг по обработке компьютерных инцидентов для минимизации ущерба и эффективного восстановления после инцидента, связанного с компьютерной безопасностью (США);

2)CIRT (Computer Incident Response Team) – группа реагирования на компьютерные инциденты;

3)CSIRT (Computer Security Incident Response Team) – группа реагирования на инциденты компьютерной безопасности [этот термин используется преимущественно в Европе для обозначения, защищенного авторским правом термина CERT, официально зарегистрированного в США Координационной Группой CERT (CERT/СС)];

4)IRT (Incident Response Team) – группа реагирования на инциденты.

28

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс Составляющие процесс управления инцидентами ИБ:

Обеспечение осведомленности и обучение в области инцидентов ИБ:

Необходима специальная программа обучения для членов ГОЭ, ГРИИБ, для ответственного за ИБ персонала и специальных администраторов. Для каждой группы, непосредственно участвующей в управлении инцидентами ИБ, требуются различные уровни подготовки, зависящие от типа, частоты и значимости их участия в процессах управления инцидентами ИБ.

Сохранение доказательств инцидента ИБ:

Если после инцидента ИБ, направленного против людей или организации, возбуждается судебный иск (гражданский или уголовный), то собираются, сохраняются и представляются свидетельства (доказательства), что осуществляется с соответствии с правилами, сформулированными в соответствующей юрисдикции.

В зарубежной практике существует специальный термин «компьютерная экспертиза» (computer forensics, аналоги – forensic computing, investigative computing, digital forensics).

29

Концептуальные подходы к управлению инцидентами ИБ Управление инцидентами как процесс

Составляющие процесс управления инцидентами ИБ:

Средства управления событиями ИБ:

Для решения задачи управления потоком событий ИБ, получаемых от СЗИ, и для автоматизации ряда процессов управления инцидентами ИБ используются автоматизированные средства управления событиями ИБ – системы класса SIEM (Security Information and Event Management – управление информацией и событиями ИБ).

Они позволяют:

•получить информацию о реальном состоянии уровня защищенности активов организации;

•провести обоснованный анализ и управление рисками ИБ организации;

•обнаружить расхождения и привести активы, бизнес-процессы в соответствии с внутренними ПолИБ, требованиям регуляторов и аудиторов;

•формализовать и осуществить эффективное принятие решений в области ИБ;

•своевременно устранить или снизить риски ИБ.

К функциям таких средств могут относиться следующие:

•обнаружение в режиме реального времени и централизованный сбор информации о событиях ИБ;

•обработка собранной информации: фильтрация, агрегация, нормализация и корреляция;

•отслеживание всего жизненного цикла каждого инцидента ИБ – анализ и автоматическое выполнение определенных действий в ответ на события ИБ, классифицированные как инциденты ИБ;

•автоматизированное формирование отчетов и рекомендаций по устранению