Please enable JavaScript.
Coggle requires JavaScript to display documents.
Система управління інцидентами інформаційної безпеки - Coggle Diagram
Система управління інцидентами інформаційної безпеки
Управління інцидентами – одна з найважливіших процедур управління інформаційною безпекою.
Правильно і своєчасно усунути наслідки інциденту, а також мати нагоду проконтролювати, які дії були виконані для цього.
Розслідувати інцидент, що включає визначення причин його виникнення, винних осіб і конкретних дисциплінарних стягнень.
Виконати оцінку необхідності дій щодо усунення причин інциденту, якщо потрібно – реалізувати їх, а також виконати дії щодо попередження повторного виникнення інциденту.
Зберігати всі дані про інциденти інформаційної безпеки, оскільки статистика інцидентів інформаційної безпеки допомагає усвідомлювати їх кількість і характер, а також зміну в часі.
За допомогою інформації про статистику інцидентів можна визначити найбільш актуальні загрози для організації і, відповідно, максимально точно планувати заходи щодо підвищення рівня захищеності інформаційної системи організації.
Для обробки подій та інцидентів інформаційної безпеки необхідно організувати процес реагування на інциденти.
Основними задачами процесу реагування на інциденти ІБ є:
– забезпечення координації реагування на інцидент;
– підтвердження/спростування факту виникнення інциденту ІБ;
– забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти ІБ, що мали місце, про корисні рекомендації;
– мінімізація порушень порядку роботи і пошкодження даних ІТ- системи, відновлення в найкоротші терміни працездатності організації при її порушенні в результаті інциденту;
– мінімізація наслідків порушення конфіденційності, цілісності і доступності інформації ІТ-систем;
– захист прав організації, встановлених законом; створення умов для порушення цивільної або кримінальної справи проти зловмисників;
– захист репутації організації та її ресурсів;
– швидке виявлення та/або попередження подібних інцидентів в майбутньому;
– навчання персоналу компанії діям з виявлення, усунення наслідків і запобігання інцидентів ІБ;
– своєчасне інформування керівництва про стан інформаційної безпеки.
В якості прикладу основних процесів системи управління інцидентами інформаційної безпеки можна навести наступні процеси:
Стадія планування:
– Виділення людських і матеріальних ресурсів.
– Розробка схеми управління інцидентами.
– Розробка і затвердження організаційно-регламентуючих документів.
– Навчання персоналу та апробація обраної схеми реагування на інциденти.
Стадія експлуатації:
o Виявлення та ідентифікація інциденту.
o Попередній аналіз інциденту.
o Початкове реагування на інцидент.
o Реагування на інцидент.
o Розслідування інциденту.
збір даних
криміналістичний аналіз даних
Аналіз зібраних даних включає аналіз
o файлів протоколів роботи
o конфігураційних файлів
o історії Інтернет-провідників (включаючи cookies)
o повідомлень електронної пошти і прикріплених файлів
o інстальованих додатків
o графічних файлів і іншого.
Криміналістичний аналіз може також включати
o пошук видалених файлів і областей
o втрачених кластерів
o вільного місця
o аналіз відновлених даних із зруйнованих носіїв (наприклад, по залишковій намагніченості).
При розслідуванні інциденту збір даних може бути виконаний з допомогою програмного забезпечення, яке дозволяє зробити точні копії жорстких дисків ("сектор в сектор") автоматизованих робочих місць користувачів (співробітників компанії) і серверів.
Аналіз просторів жорстких дисків може проводитися з використанням
спеціалізованого програмного продукту "Encase Enterprise Edition"
експертних засобів компанії Vogon International
На етапі розслідування інцидентів важливу роль відіграють: ведення журналів реєстрації подій, чітке розділення повноважень користувачів, відповідальність за виконані дії — важливі докази того, хто брав участь в інциденті і які дії він виконував.
Типовою практикою є ведення журналу розслідування інциденту, який не має стандартної форми і розроблюється командою реагування.
Ключовими позиціями подібних журналів є:
– статус розслідування, який є на даний момент;
– опис інциденту;
– дії, проведенні командою реагування в процесі обробки ІІБ;
– перелік свідоцтв(з обов‘язковою вказівкою джерел), зібраних в процесі обробки інциденту;
– коментарі учасників розслідування інциденту;
– опис послідуючих дій.
o Аналіз інциденту.
o Розробка рекомендацій.
Стадія аналізу:
o Аналіз метрик внутрішньої ефективності процесів.
o Аналіз метрик ефективності досягнення цілей процесів.
o Аналіз відгуків зацікавлених осіб.
o Розробка рекомендацій.
Стадія поліпшення:
o Узгодження і апробація поліпшень.
o Перехід на стадію планування процесу впровадження поліпшень.
ознаки інциденту поділяються на дві основні категорії
повідомлення про те, що інцидент відбувається в даний момент
повідомлення про те, що інцидент, можливо, станеться в недалекому майбутньому
Для опису процедури управління інцидентами безпеки використовується класична модель безперервного поліпшення процесів, що отримала назву від циклу Шухарта-Демінга – модель ПРПД (PDCA) (Плануй (Plan) - Роби (Do) - Перевіряй (Check) - Дій (Act)) .
Відповідно до ISO/IEC TR 18044 необхідно створити групу щодо розслідування інцидентів ІБ. Основні цілі:
– забезпечення організації кваліфікованим персоналом для обліку, реагування та аналізу інцидентів;
– забезпечення необхідної координації і управління процесом реагування на інциденти;
– забезпечення належного рівня інформування керівництва і зацікавлених осіб;
– забезпечення максимального зниження наслідків інцидентів як в матеріальній сфері, так і для підтримки репутації організації.
До складу групи рекомендується включити представників наступних підрозділів організації:
– служба інформаційної безпеки: забезпечення координаційної, адміністративної, експертної і технологічної діяльності;
– служба інформаційних технологій: забезпечення експертної і технологічної діяльності;
– служба персоналу: забезпечення адміністративної і процедурної діяльності;
– юридична служба: забезпечення експертної і нормативно-правої діяльності;
– бізнес-менеджери профільних підрозділів: залучаються на тимчасовій основі для підтримки забезпечення адміністративної, експертної і технологічної діяльності;
– зовнішні експерти: забезпечення консультативної, експертної і технологічної діяльності.
Складнощі при управлінні інцидентами
Визначення інциденту
В компанії відсутня методика визначення інцидентів, а співробітники не знають, які події є інцидентами. Це особливо важливо у випадку інцидентів інформаційної безпеки – вони не завжди заважають нормальній роботі.
Сповіщення про виникнення інциденту.
Необізнаність співробітників про те, кого і в якій формі слід ставити перед фактом при виникненні інциденту ( форми звітів, перелік осіб, яким необхідно відправляти звіти про інциденти.)
Реєстрація інциденту.
Відсутність методики реєстрації інцидентів ( спеціальних журналів їх реєстрації, а також правил і термінів заповнення)
Усунення наслідків і причин інциденту.
Відсутня документально зафіксована процедура, що описує дії, які необхідно виконати з метою усунення наслідків і причин інциденту. Ця процедура повинна передбачати, щоб заходи щодо усунення наслідків і причин
інциденту не порушували процедури їх розслідування
Розслідування інциденту.
На етапі розслідування інцидентів основну роль відіграють: ведення журналів реєстрації подій, чітке розділення повноважень користувачів, відповідальність за виконані дії – важливі докази того, хто приймав участь в інциденті і які дії він виконував.
Реалізація дій, що застерігають повторне виникнення інциденту.
Внесення дисциплінарних стягнень не завжди підкоряється затвердженим процедурам й інші дії щодо запобігання повторення інциденту виконуються теж не завжди.
Основною метою забезпечення інформаційної безпеки (ІБ) організації є зниження ризиків, діючих відносно інформаційних ресурсів, і як наслідок запобігання або мінімізація збитку від можливих інцидентів ІБ.
