Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

МОСКОВСКИЙ ЭНЕРГЕТИЧЕСКИЙ ИНСТИТУТ

ИНСТИТУТ ИНФОРМАЦИОННОЙ И ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ

КУРСОВАЯ РАБОТА

Тема: «Обнаружение и расследование инцидента информационной безопасности»

Студент

Корнюхин Р.А.

2013 г.

Содержание

Введение

Глава 1. Анализ теоретических основ

1.1 Общие положения

1.2 Обнаружение инцидента ИБ

1.3 Реагирование на инцидент ИБ

Глава 2. Расследование инцидента ИБ

2.1 Расследование инцидента ИБ

2.2 Порядок действий при расследовании инцидента ИБ

Заключение

Список используемых источников

Введение

информационный безопасность инцидент конфиденциальный

Возможно не только законное уничтожение документов организации после истечения срока хранения, но и их умышленное несанкционированное уничтожение, порча или утрата в результате чрезвычайной ситуации.

Одним из этапов жизненного цикла большинства документов является их уничтожение. Причины бывают разные: законное уничтожение в организациях после истечения установленного срока хранения;

уничтожение или порча по неосторожности, в результате аварий и стихийных бедствий, природных и техногенных катастроф;

умышленное уничтожение или порча, для того, чтобы скрыть следы каких-то действий, или же для того, чтобы причинить вред владельцу документов.

Глава 1. Анализ теоретических основ

1.1 Общие положения

1.1 Настоящая методика разработана для расследования инцидентов, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию, и предусматривает собой все действия, начиная от выявления инцидента ИБ, до проведения корректирующих и профилактических мероприятий.

1.2 Расследование включает в себя определение виновных в совершении того или иного инцидента ИБ, а также установление причин, которые ему способствовали.

1.3 Условно расследование делится на 2 этапа: сбор информации и их криминалистический анализ. Информация, собранная в результате первого этапа служит в дальнейшем для выработки стратегии реагирования на инцидент, а на этапе анализа собственно и определяется кто, что, как и когда и почему были вовлечены в инцидент.

1.2 Обнаружение инцидента ИБ

Наиболее часто об инциденте информационной безопасности свидетельствуют следующие ситуации:

1. Пропажа документов и носителей конфиденциальной информации;

2. Недостаточная или неверная отчетность об утилизации документов или носителей;

Основными источниками информации об инцидентах, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках служат специалисты ИБ, сами пользователи организации, либо информация об инциденте может быть получена из внешних источников.

Выявление инцидентов ИБ это сложный творческий процесс, который в основном зависит от следующих факторов:

1. Вид инцидента (умышленный или случайный);

2. Квалификация нарушителя (в случае умышленного инцидента);

3. Квалификация специалиста ИБ;

4. Имеющие в наличие технические средства выявления событий ИБ;

5. Корпоративная политика по ИБ;

6. Обученность пользователей вопросам ИБ.

Выявление инцидента происходит путем сбора всех данных и улик, собранных в процессе опроса персонала организации.

Для сбора информации так же нужно использовать системы видео наблюдения, технические средства охраны и контроля доступом.

1.3 Реагирование на инцидент ИБ

Первичные действия

1) Фиксация нарушения.

В первую очередь обязательно нужно зафиксировать факт нарушения.

2) Получение информации о инциденте ИБ.

На данном необходимо получить подробную информацию о произошедшем инциденте от пользователей и, возможно, от посторонних лиц, а именно:

- видел ли кто-нибудь факт уничтожения бумажного документа или магнитного носителя информации;

- в какой момент времени произошёл инцидент;

- какой вред может быть причинён нарушителем;

3) Оценка критичности инцидента ИБ.

Оценка происходит по принятой в организации шкале критичности инцидентов.

Оповещения руководства.

После фиксации нарушения необходимо донести всю информацию руководителю, который, при необходимости, оповестит руководителя предприятия.

На данном этапе необходимо предоставить руководителю следующую информацию:

1. Когда этот инцидент произошёл

2. Сущность инцидента

3. Причины инцидента

4. Возможный ущерб

5. Описание действий, которые были предприняты первоначально для предотвращения дальнейших действий нарушителя.

Получив информацию, руководитель должен принять решение о необходимости создания ГРИИБ, либо о расследования инцидента своими силами, т.е. назначить ответственные лица за расследования инцидента ИБ.

Глава 2. Расследование инцидента ИБ

2.1 Расследование инцидента ИБ

Расследование - процесс, целью которого является сбор доказательной базы, подтверждающей или опровергающей факт нарушения политики информационной безопасности, а также определение нарушителя. Расследование инцидента проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.

Правовые аспекты расследования.

При проведении расследований инцидентов ИБ необходимо учитывать следующие положения конституции РФ:

1) Статья 23. Каждый имеет право на неприкосновенность семейной жизни, личную тайну, защиту чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

2) Статья 24. Сбор, хранение и использование информации о частной жизни лица без его согласия не допускается.

3) Статья 29. П.4 Каждый имеет право свободно искать, получать, продавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющий государственную тайну, определяется ФЗ.

4) Статья 55 п.3. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Также следует принять во внимание Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а именно:

1) Статья 9. Ограничение доступа к информации

2) Статья 16. Защита информации

3) Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

2.2 Порядок действий при расследовании инцидента ИБ

Расследование делится на 2 этапа:

– Сбор данных, свидетельств, улик.

Информация, собранная в ходе 1 этапа служит в дальнейшем для выработки стратегии реагирования на инцидент.

– Криминалистический анализ.

На данном этапе определяется кто, что как, когда, где и почему были вовлечены в инцидент.

В ходе выполнения расследования необходимо выполнить следующие задачи:

1) Проверить возможные журналы регистрации действий с документом;

2) Выяснить, есть ли свидетели произошедшего ИИБ и при их наличии опросить;

3) Установить цели, которые преследовал нарушитель, и причинённый им ущерб;

5) Определить подозреваемых;

6) Установить личность злоумышленника, и принять меры, исключающие повторения им противоправных действий.

7) Составить подробный отчёт об инциденте, содержащий:

- Какое нарушение произошло;

- По какой причине было произведено нарушение;

- В случае, если инцидент обнаружил сотрудник предприятия, уточнить каким образом работник об этом узнал;

- Какие последствия может иметь инцидент, можно ли его немедленно устранить, и каков может быть материальный ущерб.

8) Совместно с начальником ИТ отдела необходимо локализовать инцидент (определить физическое место где инцидент произошёл)

9) Установить, что являлось причиной инцидента (умысел, халатность, случайность, сбой оборудования или что-то другое)

10) В случае выявления умышленных действий, решить вопрос о целесообразности обращения в правоохранительные органы или в коммерческую организацию, проводящую расследование, и составить план взаимодействия.

11) Совместно с начальником ИТ произвести осмотр места инцидента, о чём составить соответствующий протокол. При необходимости произвести осмотр других предметов или помещений, которые могут иметь отношение к данному инциденту.

12) После выявления злоумышленника установить мотивацию его действий, возможных соучастников, использованные им уязвимости. Получить от него письменное объяснение.

13) Принять меры, исключающие повторение подобных инцидентов в будущем.

Заключение

В результате проделанной работы была разработана методика расследования преднамеренных действий, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию. Задачей специалиста при расследовании является правильная квалификация инцидента, проведение следственных действий и постановка необходимых вопросов эксперту для получения наиболее полной, необходимой и полезной для расследования информации.

Список используемых источников

1) ГОСТ Р ИСО/МЭК ТО 18044-2007 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

2) ГОСТ Р ИСО МЭК 270001 от 2006 г. «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

3) ГОСТ Р ИСО МЭК17799 2005г «практические правила управления ИБ».

4) www.topsbi.ru «Реагирование на инциденты информационной безопасности», Андрей Голов, Intelligent Enterprise.

5) ст. 22 ФЗ «Об архивном деле в Российской Федерации».

Размещено на Allbest.ru