Please enable JavaScript.
Coggle requires JavaScript to display documents.
Менеджмент інцидентів інформаційної безпеки ! Мельник Владислав КБ-21 -…
Менеджмент інцидентів інформаційної безпеки
! Мельник Владислав КБ-21
Базові принципи, терміни та визначення*
Головна задача служби ІБ – це запобігання і зменшення збитку активам бізнес-рівня.Адміністратор має своєчасно відстежити і виявити інцидент чи підозрілу активність.
Жоден найдосконаліший захід не може гарантувати виникнення в
інформаційному середовищі подій, що потенційно несуть загрозу бізнесу.
1.
Інцидент
(від лат. incidentis) — неприємна подія, непорозуміння, випадок, зіткнення.
організації, що серйозно ставиться до питань забезпечення інформаційної безпеки, необхідно вирішити такі завдання:
виявлення, інформування та облік ІІБ;
СМІІБ - система менеджменту інцидентів інформаційної безпеки
реагування на ІІБ, зокрема застосування необхідних засобів для запобігання, зменшення і відновлення після завданого збитку
аналіз ІІБ, що відбулися, з метою планування превентивних заходів захисту і поліпшення процесу забезпечення інформаційної безпеки в цілому
Цілі управління інцидентами:
відновлення нормальної роботи служб в найкоротші терміни
зведення до мінімуму впливу інцидентів на роботу організації
забезпечення злагодженої обробки всіх ІІБ і запитів обслуговування
зосередження ресурсів підтримки на найбільш важливіших напрямках
надання відомостей, які надають можливість оптимізувати процеси підтримки, зменшити кількість інцидентів і спланувати управління
Основними заходами створення СМІІБ є
Виділення ресурсів для розробки та впровадження СМІІБ.
Визначення сфери функціонування СМІІБ
Розробка комплексу процесів СМІІБ
Навчання персоналу.
Впровадження процесів УІІБ та їх інтегрування з функціонуючими процесами управління інформаційної безпекою, такими як, інвентаризація активів, аналіз ризиків та оцінка ефективності
Розробка архітектури і комплексу технічних засобів з автоматизації процесів УІІБ і моніторингу подій інформаційної безпеки.
Впровадження комплексу програмно-технічних засобів автоматизації УІІБ.
Результат заходів буде впровадження СМІІБ,яка буде вирішувати такі завдання:
Оперативний моніторинг стану інформаційної безпеки в межах обраної сфери дії СМІІБ.
Виявлення, облік, реагування, розслідування та аналіз ІІБ.
Інформування вищого керівництва і зацікавлених осіб про поточний стан інформаційної безпеки
Міжнародні стандарти ISO/IEC 27001 та ISO/IEC 27035 вводять такі визначення основних понять у галузі УІІБ:
подія інформаційної безпеки
інцидент інформаційної безпеки
будь-яка небажана та непередбачена подія, яка може порушити діяльність чи інформаційну безпеку
незаплановане переривання послуги або зниження якості послуги
будь-яка подія, яка не є частиною стандартної роботи служби
Вимоги стандарту ISO/IEC 27001 до побудови процесів управління УІІБ:
використання вже згадуваної вище моделі PDCA
належне документування процесів і процедур;
своєчасне виявлення невдалих і успішних спроб порушення безпеки та ІІБ;
своєчасне повідомлення про ІІБ в установленому порядку
встановлення відповідальності керівництва і процедур для забезпечення швидкого й ефективного реагування на ІІБ
наявність механізмів вимірювання і відстежування типів, обсягів і вартості ІІБ;
збирання, збереження і надання доказів відповідно до вимог локального законодавства; - забезпечення підтримки процесів УІІБ керівництвом;
безперервний аналіз і удосконалення процесів управління інцидентами.
ISO/IEC 27035 визначає формальну модель процесу реагування на ІІБ. Цілями впровадження моделі є:
події та ІІБ виявляються і обробляються ефективним чином, особливо в частині класифікації подій
виявлені ІІБ враховуються і обробляються найбільш відповідним і ефективним чином;
наслідки ІІБ можуть бути мінімізовані у процесі реагування
Шляхом аналізу інцидентів та подій ІБ підвищується ймовірність запобігання майбутнім ІІБ, удосконалюються механізми і процеси забезпечення ІБ.
Поняття інциденту інформаційної безпеки
Основні категорії інцидентів
Додатки:
служба недоступна
помилка в додатку, що не дає можливості клієнту нормально працювати;
вичерпано дисковий простір
Устаткування:
збій системи;
– внутрішній сигнал тривоги;
відмова принтера.
Заявки на обслуговування
надходження заявки на одержання додаткової інформації, поради, документації; забутий пароль.
інцидентами інформаційної безпеки можуть бути
відмова в обслуговуванні сервісів, засобів оброблення інформації, устаткування;
порушення конфіденційності та цілісності цінної інформації
недодержання вимог до інформаційної безпеки, прийнятих у компанії (порушення правил оброблення інформації);
незаконний моніторинг інформаційної системи;
шкідливі програми;
компрометація інформаційної системи (наприклад, розголошення пароля користувача
Основи управління інцидентами інформаційної безпеки
Основне завдання управління інцидентамиякомога швидше відновити нормальну роботу служб і звести до мінімуму негативний вплив інциденту
Цілі управління інцидентами
відновлення нормальної роботи служб у найкоротші терміни
зведення до мінімуму впливу інцидентів на роботу організації
забезпечення злагодженого оброблення всіх інцидентів і запитів обслуговування;
зосередження ресурсів підтримки на найбільш важливих напрямах;
надання відомостей, що дозволяють оптимізувати процеси підтримки, зменшити кількість інцидентів і запланувати управління.
Для реалізації
виділити ресурси для розроблення та впровадження системи управління інцидентами
визначити сферу функціонування системи управління інцидентами;
розробити комплекс процесів системи управління; навчити персонал
упровадити процеси управління інцидентами та інтегрувати
розробити архітектуру та комплекс технічних засобів щодо автоматизації процесів управління інцидентами й моніторингу
упровадити комплекс програмно-технічних засобів автоматизації управління інцидентами
впроваджена система управління інцидентами інформаційної безпеки, буде вирішувати такі завдання
оперативний моніторинг стану інформаційної безпеки в межах обраної галузі діяльності системи
виявлення, облік, реагування, розслідування та аналіз інцидентів інформаційної безпеки
інформування вищого керівництва та зацікавлених осіб про поточний стан інформаційної безпеки
Для забезпечення інформаційної безпеки необхідно реалізувати комплексний підхід:
виявлення, інформування та облік інцидентів інформаційної безпеки;
реакція на інциденти інформаційної безпеки, зокрема застосування необхідних засобів для запобігання, зменшення та відновлення завданого збитку;
аналіз інцидентів, що відбулися, з метою планування превентивних заходів захисту та поліпшення процесу інформаційного убезпечення в цілому
Сімейство міжнародних стандартів ISO 20000:2005 в розділі Service Delivery and Support описує ряд вимог щодо організації процесу управління інцидентами в ІТ-інфраструктурі
Для найбільш ефективної реалізації - ISO\IEC 27001-2005 «Information security management systems. Requirements» та ITU-T X-1051«Information security management systems. Requirements for telecommunications».
Документи,у яких розглядаються специфічні питання:
ISO/IEC 27035:2011 (забезпечення нормативно-розпорядчою документацією, ресурсами, надають докладні рекомендації щодо необхідних процедур.)
CMU/SEI-2004-TR-015 описує методологію планування, впровадження, оцінювання та поліпшення процесів управління інцидентами.
NIST SP 800-61 щодо побудови процесів управління інцидентами та реакції
Документ ISO/IEC 27035:2011визначає формальну модель процесу реакції на інциденти.
Стандарт ISO/IEC 27001 накладає ряд загальних вимог щодо побудови процесів управління інформаційною безпекою, до складу яких входить і процес управління інцидентами.
використання моделі PDCA, належне документування, виявлення спроб порушення, встановлення відповідальності, реалізовані механізми відстеження, збір збереженняі надання доказіві підтримка керівництва.
Основні вимоги до процесу управління інцидентами в стандартах ISO/IEC 27001 та ISO/IEC 27002 полягають у
розподіленні відповідальності та розробленні процедур
інформуванні про інциденти
інформуванні про уразливість ІБ
оцінюванні та ухваленні рішень щодо інцидентів
усе залежить від ухваленої класифікації та проведеної оцінки
реагуванні на інциденти
винесення уроків з інцидентів.
збирання свідчень
Місце процесу управління інцидентами серед усіх процесів ITIL
Час вирішення інциденту зазвичай формалізований SLA, OLA та іншими базовими угодами
етапи управління:
виявити,
інформацію про нього необхідно занести в бланк.
Запис про інцидентзгідно вимог
вирішення інциденту;
категорування
категорування необхідне для подальших пошуку відомих помилок і проблем, які могли стати причиною виникнення інциденту. Стандартних методів категорування не має- організація обирає сама за своїми потребами.
Пріоритет інциденту може змінюватися від умов та вимог, залежить від впливу та терміновості
ступені вирішення інцидентів
Перший- спеціалісти служби
Service Desk
.
Другий -
Ескалація
.діяльність, спрямована на отримання додаткових ресурсів, коли це необхідно для досягнення цільових показників рівня послуги або очікувань замовників
Функціональна ескалація
– це передача інциденту в групу підтримки з більш високою кваліфікацією і компетенцією
Ієрархічна ескалація
передбачає залучення або просто інформування керівників вищого рівня про виникнення інциденту
Третій-
дослідження та діагностика.
вжиті заходи відображені в записі про інцидент
Четвертий
Закриття інциденту
: закриття категорування, опитування задоволеності користувачів, перевірка повноти запису про інцидент;визначення причини інциденту,формальне закриття інциденту
Інцидент може бути повторно відкритий.
Метрика ефективності процесу управління інецидентами:
загальна кількість інцидентів;
розмір поточного логу про інциденти
кількість значних інцидентів
середній час вирішення інцидентів
середні витрати на інцидент
кількість повторно відкритих інцидентів
кількість інцидентів, для яких були неправильно визначені категорії;
кількість віддалено вирішених інцидентів,
кількість інцидентів, вирішених з використанням кожної моделі інцидентів;
кількість інцидентів у розрізі певних інтервалів дня.
Для ефективного управліннянеобхідно забезпечити:здатність виявляти інциденти якомога ранішепереконати персонал всі інциденти вносити у книгу, доступність інформації, взаємодія з CMS, взаємодія з SLM
Основними ризиками для процесу управління інцидентами є:
велика кількість інцидентів, які не можуть бути вирішені у встановлені терміни у зв'язку з недостатністю ресурсів або їх недостатньою підготовкою
призупинення вирішення інцидентів через некоректну роботу засобів підтримки;
недостатність або несвоєчасність інформації через некоректну роботу засобів підтримки або погану взаємодію з іншими процесами;
недотримання контрактів та угод внаслідок їх недостатнього опрацювання та не реалістичність узгоджених цільових показників.