Please enable JavaScript.
Coggle requires JavaScript to display documents.
СИСТЕМА УПРАВЛІННЯ ІНЦИДЕНТАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (Управління…
СИСТЕМА УПРАВЛІННЯ ІНЦИДЕНТАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Реагування на інциденти ІБ
Задачі:
– забезпечення координації реагування на інцидент;
– підтвердження/спростування факту виникнення інциденту ІБ;
– забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти ІБ, що мали місце, про корисні рекомендації;
– мінімізація порушень порядку роботи і пошкодження даних ІТ- системи, відновлення в найкоротші терміни працездатності організації при її порушенні в результаті інциденту;
– мінімізація наслідків порушення конфіденційності, цілісності і доступності інформації ІТ-систем;
– захист прав організації, встановлених законом; створення умов для порушення цивільної або кримінальної справи проти зловмисників;
– захист репутації організації та її ресурсів;
– швидке виявлення та/або попередження подібних інцидентів в майбутньому;
– навчання персоналу компанії діям з виявлення, усунення наслідків і запобігання інцидентів ІБ;
– своєчасне інформування керівництва про стан інформаційної безпеки.
Процеси:
Стадія планування:
– Виділення людських і матеріальних ресурсів.
– Розробка схеми управління інцидентами.
– Розробка і затвердження організаційно-регламентуючих документів.
– Навчання персоналу та апробація обраної схеми реагування на інциденти.
Стадія експлуатації:
– Виявлення та ідентифікація інциденту.
– Попередній аналіз інциденту.
– Початкове реагування на інцидент.
– Реагування на інцидент.
– Розслідування інциденту.
– Аналіз інциденту.
– Розробка рекомендацій.
Стадія аналізу:
– Аналіз метрик внутрішньої ефективності процесів.
– Аналіз метрик ефективності досягнення цілей процесів.
– Аналіз відгуків зацікавлених осіб.
– Розробка рекомендацій.
Стадія поліпшення:
– Узгодження і апробація поліпшень.
– Перехід на стадію планування процесу впровадження поліпшень.
Основні поняття:
Інцидент - будь-яка подія, що не є елементом нормального функціонування служби і при цьому надає або здатна зробити вплив на роботу служби шляхом її переривання або зниження якості.
Основні категорії:
Заявки на обслуговування:
– надходження заявки на отримання додаткової інформації, поради, документації;
– забутий пароль.
Додатки:
– служба недоступна;
– помилка в додатку, що не дає змогу клієнту нормально працювати;
– вичерпано дисковий простір.
Устаткування:
– збій системи;
– внутрішній сигнал тривоги;
– відмова принтера.
Подія інформаційної безпеки – це ідентифікований випадок стану системи або мережі, який вказує на можливе порушення політики інформаційної безпеки або відмову засобів захисту, або раніше невідому ситуацію, яка може бути суттєвою для політики безпеки.
Інцидент інформаційної безпеки – це одинична подія або ряд небажаних та непередбачених подій інформаційної безпеки, через які існує ймовірність компрометації бізнес-інформації і загрози інформаційній безпеці
– відмова в обслуговуванні сервісів, засобів обробки інформації, устаткування;
– порушення конфіденційності і цілісності цінної інформації;
– недотримання вимог до інформаційної безпеки, прийнятих в компанії (порушення правил обробки інформації);
– незаконний моніторинг інформаційної системи;
– шкідливі програми;
– компрометація інформаційної системи (наприклад, розголошення пароля користувача).
Управління інцидентами
Цілі:
– відновлення нормальної роботи служб в найкоротші терміни;
– зведення до мінімуму впливу інцидентів на роботу організації;
– забезпечення злагодженої обробки всіх інцидентів і запитів обслуговування;
– зосередження ресурсів підтримки на найбільш важливіших напрямах;
– надання відомостей, що дозволяють оптимізувати процеси підтримки, зменшити кількість інцидентів і запланувати управління.
Роботи:
– виділити ресурси для розробки та впровадження системи управління інцидентами;
– визначити область функціонування системи управління інцидентами;
– розробити комплекс процесів системи управління;
– навчити персонал;
– впровадити процеси управління інцидентами та інтегрувати їх зі вже функціонуючими процесами управління інформаційної безпекою, такими як, інвентаризація активів, аналіз ризиків та оцінка ефективності;
– розробити архітектуру і комплекс технічних засобів з автоматизації процесів управління інцидентами і моніторингу подій інформаційної безпеки;
– впровадити комплекс програмно-технічних засобів автоматизації управління інцидентами.
Задачі:
– оперативний моніторинг стану інформаційної безпеки в рамках обраної галузі діяльності системи;
– виявлення, облік, реагування, розслідування та аналіз інцидентів інформаційної безпеки;
– інформування вищого керівництва і зацікавлених осіб про поточний стан інформаційної безпеки.
Документи:
ISO/IEC 27035:2011 ''Information technology. Security techniques. Information security incident management'' (ISO/IEC TR 18044 ''Information security incident management'') описує інфраструктуру управління інцидентами в рамках циклічної моделі PDCA. Розглядаються питання забезпечення нормативно-розпорядчою документацією, ресурсами, приводяться докладні рекомендації щодо необхідних процедур.
– події та інциденти інформаційної безпеки виявляються і обробляються ефективним чином, особливо в частині класифікації подій;
– виявлені інциденти інформаційної безпеки враховуються і обробляються найбільш відповідним і ефективним чином;
– наслідки інцидентів інформаційної безпеки можуть бути мінімізовані в процесі реакції на інциденти, можливо із залученням процесів відновлення після збоїв та аварій (DRP/BCP);
– за рахунок аналізу інцидентів та подій ІБ підвищується ймовірність запобігання майбутніх інцидентів, поліпшуються механізми і процеси забезпечення ІБ.
CMU/SEI-2004-TR-015 Defining incident management processes for CISRT (Software Engineering Institute/Carnegie Mellon University) описує методологію планування, впровадження, оцінки і поліпшення процесів управління
інцидентами. Основний наголос робиться на організації роботи CISRT (Critical Incident Stress Response Team) – групи або підрозділів, які забезпечують сервіс і підтримку запобігання, обробки і реакції на інциденти інформаційної безпеки. Вводиться ряд критеріїв, на підставі яких можна оцінювати ефективність даних сервісів, приводяться докладні процесні карти.
NIST SP 800-61 Computer security incident handling guide - збірка "кращих практик" щодо побудови процесів управління інцидентами і реакції на них. Детально розбираються питання реакції на різні типи загроз, такі як розповсюдження шкідливого програмного забезпечення, несанкціонований доступ та ін.
ISO/IEC 27001
Вимоги:
– використання моделі PDCA для забезпечення планування процесів, впровадження процесів, контролю й аналізу процесів, поліпшення процесів.
– належне документування процесів і процедур;
– своєчасне виявлення невдалих і успішних спроб порушення безпеки та інцидентів інформаційної безпеки;
– своєчасне повідомлення про інциденти ІБ за належними управлінськими каналами;
– встановлення відповідальності керівництва і процедур для забезпечення швидкої і ефективної реакції на інциденти ІБ;
– повинні бути реалізовані механізми, які дозволяють вимірювати і відстежувати типи, обсяги і вартість інцидентів ІБ;
– необхідно зібрати, зберегти і надати докази відповідно до вимог локального законодавства;
– повинна бути забезпечена підтримка керівництвом процесів управління інцидентами;
– процеси управління інцидентами повинні безперервно аналізуватися і поліпшуватися.