Добавил:

ivanov666 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пермский национальный исследовательский политехнический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

книги / Управление информационной безопасностью

..pdf

Скачиваний:

Добавлен:

12.11.2023

Размер:

2.04 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 67 / 107 8 9 10 > Следующая >>>

−преобладают тенденции, направленные на уменьшение общего количества инцидентов ИБ;

−увеличивается количество инцидентов ИБ, обработанных

врамках допустимого времени реакции на инцидент;

−снижается среднее фактическое время, затраченное на разрешение инцидента ИБ;

−уменьшаются средние затраты на полную обработку инцидента ИБ;

−уменьшается количество инцидентов ИБ, требующих обращения к специализированным группам поддержки;

−СУИБ позволяет осуществлять процесс управления инцидентамиИБавтоматизированно(илиавтоматически) вудаленномрежиме.

Общая диаграмма процесса управления инцидентами ИБ представлена на рис. 16 и содержит основные виды работ, обеспечивающих данный виддеятельности.

Для внедрения, последующего совершенствования процесса управления инцидентами ИБ и достижения поставленных целей в соответствии с основными стандартами по управлению ИБ процесс управленияинцидентами ИБ можетбытьразбитнаэтапыPDCA:

−планирование и подготовку деятельности по управлению инцидентами ИБ;

−реализацию процесса управления инцидентами ИБ;

−анализ работы СУИБв сфереуправленияинцидентами ИБ;

−улучшение параметров работоспособности процесса управления инцидентами ИБ.

Применение модели PDCA в процессе управления инцидентами ИБ обосновано следующими целями:

– все инциденты ИБ должны выявляться, учитываться и обрабатываться наиболее эффективным образом;

– последствия инцидентов ИБ могут быть минимизированы

впроцессе реагирования на инциденты;

– за счет анализа событий и инцидентов ИБ повышается вероятность предотвращения инцидентов в будущем, улучшаются механизмы и процессы ОИБ.

Рис. 16. Диаграмма процесса управления инцидентами ИБ

Система управления инцидентами ИБ (СУИИБ) является неотделимым компонентом СУИБ предприятия (организации), частью общей системы управления организации и предназначена для решения основных задач: обнаружения и регистрации, оценки, классификации и приоритизации, исследования инцидентов ИБ, а также предотвращения инцидентов ИБ в дальнейшем.

Элементы системы управления инцидентами ИБ показаны на рис. 17.

Как правило, при создании СУИИБ определяются:

1.Обязательства руководства и организация с его стороны данного вида деятельности.

2.Степень осведомленности об инцидентах ИБ и подготовленности персонала к реагированию на события и инциденты ИБ.

3.Эффективность и качество функционирования СУИИБ.

4.ТипизацияосновныхпроцедуруправленияинцидентамиИБ.

5.Анонимность участников информационного обмена.

6.Конфиденциальность результатов работы.

7.Независимость деятельности группы реагирования на инциденты ИБ.

8.Правовые и нормативные аспекты в политике управления инцидентами ИБ и СУИИБ.

Рис. 17. Система управления инцидентами ИБ

В случае возникновения инцидента ИБ действия осуществляются в следующем порядке:

1. Обнаружение событий ИБ и инцидентов ИБ и опове-

щение о них осуществляется физическим лицом или способом, имеющим технический, физический или процедурный характер. Специалистами ИБ факт инцидента ИБ может быть установлен из сообщения от СЗИ, по результатам проведения анализа защищенности активов организации, с использованием инструментальных средств, журналов регистрации событий или данных систем видеонаблюдения и контроля доступа.

Основными источниками сведений для администраторов ИС также являются:

−сайты и новостные рассылки производителей ПО;

−новостные сайты и рассылки третьих сторон;

−банки данных уязвимостей ПО;

−сообщения о доступных обновлениях ПО;

−другие уведомления об уязвимостях, обновлениях или угрозах ИБ.

Рядовые пользователи обнаруживают инциденты ИБ посредством наблюдения за работой систем, сервисов и сетей, а также за работой других пользователей и служб организации.

2. Обработка событий ИБ и инцидентов ИБ производит-

ся сотрудником, принявшим сообщение о событии или инциденте ИБ. Как правило, полученные сообщения классифицируются по типам (например, инциденты физической безопасности, про- граммно-технические инциденты).

3. Осуществляется предварительная (первая) оценка и принимается предварительное решение по событию ИБ. Фик-

сирование основной информации о произошедшем факте включает в себя:

−дату, время события (инцидента ИБ);

−проведенные мероприятия (включая использованные средства) иих цели;

−место хранения свидетельства наличия события ИБ;

−способ архивирования свидетельства (если это уместно);

−способ верификации свидетельства;

−детали хранения материалов и последующего доступа

кним.

4. Детальная (последующая) оценка и подтверждение инцидента ИБ предполагают детальный анализ ситуации с учетом перспектив ее развития и степени нарастания опасности последствий, а также необходимость привлечения группы специалистов. При этом необходимый отчет об инциденте ИБ может включать ответы на следующие вопросы:

−что представляет собой инцидент ИБ;

−что явилось его причиной, чем или кем он был вызван;

−на что он влияет или может повлиять;

−какое фактическое или потенциальное воздействие (ущерб) оказываетинцидент ИБнабизнесорганизации;

−какова вероятная значительность/незначительность инцидента ИБ (по шкале опасности инцидентов ИБ, принятой в организации);

−как инцидент ИБ обрабатывался до этого времени, правильны ли и эффективны ли были действия по реагированию на инцидент ИБ.

5. Реагирование на инциденты ИБ предполагает возмож-

ное развитие событий с учетом принятия основных мер по его предотвращению:

−пресечение НСД нарушителя или устранение инцидента ИБ с возможной временной остановкой работы отдельных систем

исервисов;

−мониторинг действий нарушителя или хода инцидента ИБ без прерывания самого инцидента с фиксированием необходимых фактов доказательной базы с целью дальнейшего привлечения к ответственности виновных лиц.

Варианты реагирования на инциденты ИБ:

1) немедленное реагирование на инцидент ИБ;

2) последующее реагирование на инцидент ИБ;

3) антикризисные действия;

4) правовая экспертиза инцидентов ИБ;

5) передача информации;

6) расширение области принятия решений;

7) регистрация деятельности и контроль за внесением изменений.

Документация системы управления инцидентами ИБ, как правило, должна включать:

−шкалу особенностей и опасности инцидентов ИБ для их классификации;

−формы докладов о событиях и инцидентах ИБ;

−Политику управления инцидентами ИБ;

−программу управления инцидентами ИБ.

Техническая поддержка реагирования на инциденты ИБ

способствует:

−быстрому получениюотчетово событиях и инцидентах ИБ;

−уведомлению ранее отобранного персонала;

−соблюдению предосторожностей, соответствующих оцененным рискам ИБ (исключает утечку информации);

−процессу сбора всех данных о системе, сервисе и/или сети

ивсех обрабатываемых данных;

−использованию контроля целостности;

−упрощению архивирования и защиты собранной инфор-

мации;

−подготовке документации;

−восстановлению штатного режима работы системы, сервиса и/или сети.

Техническую поддержку процесса управления инцидентами ИБ обеспечивает группа реагирования на инциденты ИБ. Тра-

диционная классификация подобных подразделений (групп) основана на специализации. Группы могут иметь отличия в названиях, но, как правило, их деятельность связана с похожими процессами и задачами. Варианты названий таких групп могут быть следующими:

1. CERT или CERT/CC (Computer Emergency Response Team/ Coordination Center) – группа оперативного реагирования на компьютерные инциденты;

2. CIRT (Computer Incident Response Team) – группа реаги-

рования на компьютерные инциденты;

3. CSIRT (Computer Security Incident Response Team) – груп-

па реагирования на инциденты компьютерной безопасности;

4. IRT (Incident Response Team) – группа реагирования на инциденты;

5. SERT (Security Emergency Response Team) – группа опе-

ративного реагирования на инциденты безопасности;

6. SOC (Security Operations Center) – центр обеспечения безо-

пасности.

Вопросы для контроля знаний

1.Укажите нормативную базу управления инцидентами ИБ.

2.Сформулируйте понятие события ИБ.

3.Сформулируйте понятие инцидента информационной безопасностииназовитеосновные отличия событияотинцидентаИБ.

4.Раскройте сущность процесса управления инцидентами информационной безопасности.

5.Назовите цели организации по управлению инцидентами информационной безопасности.

6.Перечислите действия, выполняемые в процессе управления инцидентами информационной безопасности.

7.На чем основывается оценка эффективности управления инцидентами информационной безопасности?

8.Определите общий порядок действий по обработке инцидента ИБ.

9.Что включает основная документация системы управления инцидентами информационной безопасности?

10.Что подразумевает техническая поддержка процесса управления инцидентами ИБ?

7. ПРОВЕРКА ОРГАНИЗАЦИИ ДЕЯТЕЛЬНОСТИ ПО УПРАВЛЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Проверка организации деятельности по управлению ИБ

является комплексной и многоуровневой системной деятельностью по обеспечению процесса управления ИБ и заключается в выявлении признаков несоответствия системы защиты информации установленным требованиям или актуальным угрозам безопасности информации. Данный вид деятельности является неотъемлемой частью общей системы управления ИБ и заключается в выполнении функций контроля и мониторинга состояния объектов управления на уровне как всей организации, так и ее отдельных активов, например информационных систем, сетей связи, сервисов защиты информации, самой информации и т.д.

В зависимости от сроков, периодичности или глубины проведения выделяются следующие основные виды проверок организации деятельности по управлению ИБ:

1)мониторинг состояния защищенности информации;

2)самооценка организации управления ИБ;

3)анализ функционирования СУИБ;

4)организация и проведение аудита ИБ.

7.1. Мониторинг состояния защищенности информации

Мониторинг состояния защищенности информации –

это постоянное во времени или пространстве наблюдение за объектами и субъектами, влияющими на обеспечение ИБ объекта информатизации, а также сбор, анализ и обобщение результатов данных наблюдений.

К основным видам деятельности при организации мониторинга состояния защищенности объекта относятся:

1) постоянное наблюдение (24/7) за состоянием основных параметров защищенности объекта;

2)сбор, анализ и обработка данных о состоянии объекта защиты в соответствии с заданными целями;

3)обеспечение полной, своевременной, достоверной информацией для принятия обоснованных решений в области действия СУИБ.

Основные цели анализа при мониторинге следующие [7]:

1)организация и выполнение требований по обеспечению безопасности информации, а также выявление фактов нарушения политики ИБ, в частности требований по ограничению логического доступа к информационным активам;

2)контроль качества функционирования средств защиты информации;

3)выявление нештатных ситуаций, нарушений действий с информационными активами, а также определение их влияния на бизнес-процессы;

4)выявление событий и инцидентов ИБ, а также определение их влияния на функционирование информационных систем;

5)выявление уязвимостей информационных систем и активов, позволяющих реализовывать компьютерные атаки на информационные системы, блокировать доступ к сервисам информационной инфраструктуры;

6)сбор доказательной базы для расследования компьютерных инцидентов и нарушений политики ИБ.

Деятельность по организации мониторинга состояния защищенности информации тесно взаимосвязана с процессами по управлению инцидентами ИБ и управлению рисками ИБ и качественно зависит от них (рис. 18).

Процессы мониторинга состояния защищенности информации в рамках деятельности СУИБ включают:

−наблюдение за состоянием показателей защищенности объекта защиты;

−накопление, систематизацию, аналитическую обработку сведений, относящихся к области ИБ;

− прогнозирование состояния защищенности и параметров всех объектов и процессов в информационной системе.

Рис. 18. Взаимосвязь мониторинга ИБ и управления инцидентами ИБ

7.2. Самооценка организации управления ИБ

Самооценкой управления ИБ называется систематический и документируемый процесс получения участниками информационного обмена свидетельств деятельности по самостоятельному обеспечению ИБ и установления степени выполнения установленных критериев обеспечения ИБ.

Основной целью самооценки является предоставление информации о качестве самостоятельной деятельности по обеспечению ИБ, а также рекомендаций по ее улучшению на основе личного опыта.

Критериями самооценки для заинтересованных лиц являются требования политики ИБ, правильность выполнения процедур защиты информации. Для сопоставления с требованиями политики ИБ используются свидетельства самооценки ИБ.

<<< < Предыдущая 1 2 3 4 5 67 / 107 8 9 10 > Следующая >>>

Соседние файлы в папке книги

#
12.11.2023860.24 Кб0Управление инновационной деятельностью..pdf
#
12.11.20236.63 Mб0Управление инновационным развитием социально-экономических систем..pdf
#
12.11.20231.24 Mб0Управление инновационным спросом предприятий в регионе..pdf
#
12.11.20232.85 Mб0Управление инновационными проектами..pdf
#
12.11.20235.18 Mб0Управление интеллектуальной собственностью создание и коммерциализация..pdf
#
12.11.20232.04 Mб7Управление информационной безопасностью..pdf
#
12.11.20239.04 Mб5Управление качеством в масштабах компании становление и этапы..pdf
#
12.11.20232.32 Mб1Управление качеством на промышленном предприятии организация, экономика и управление затратами..pdf
#
12.11.20237.92 Mб8Управление качеством руд при добыче..pdf
#
12.11.20232.87 Mб0Управление качеством РЭС..pdf
#
12.11.20233.42 Mб2Управление качеством технологии селективного лазерного спекания..pdf