Сравнительный анализ и выбор средств оповещения об инцидентах информационной безопасности

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

Любая компания хочет стать успешной и процветающей в своей среде, но для достижения данной цели необходимо преодолеть массу трудностей. Одной из таких главенствующих проблем является обеспечение безопасности фирмы от угроз со стороны противоборствующих предприятий, пытающихся завладеть конфиденциальной информацией (далее КИ) о бизнес-деятельности своих конкурентов с целью использования данных сведений в своих интересах. Также угрозы могут исходить непосредственно от самих сотрудников данной фирмы, действие которых может быть преднамеренное, например, сотрудник может действовать, как шпион в интересах другого предприятия. С другой стороны же он может попросту попытаться украсть и использовать запрещённую для него конфиденциальную информацию для собственной выгоды. Существует и непреднамеренное действие сотрудников. К примеру, из-за возможного нарушения свода правил при работе с КИ, данная проблема может вылиться в получении сведений компании злоумышленником, что впоследствии серьезно отразиться на её бизнес-состоянии. К сожалению, при использовании лишь стандартных мер защиты невозможно будет гарантировать хорошую защиту, поэтому для этого используются специализированные средства, сочетающие в себе множество функций, позволяющих обеспечить должный уровень безопасности. Одним из таких специализированных средств является система предотвращения вторжений (сокр. DLP -- Data Leak Prevention) -- технология предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. Данная система значительно повышает защиту КИ компании, что существенно отражается на её благосостоянии.

Основными преимуществами DLP-систем перед альтернативными решениями (продуктами для шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции, статистическими анализаторами) являются:

- наличие контроля всех каналов передачи конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемых в повседневной деятельности;

- обнаружение защищаемой информации по её содержимому (независимо от формата хранения, каналов передачи, грифов и языка);

- блокирование утечек (приостановка отправки электронных сообщений или записи на USB-накопители (Universal Serial Bus -- универсальная последовательная шина), если эти действия противоречат принятой в компании политике безопасности);

- автоматизация обработки потоков информации согласно установленным политикам безопасности (внедрение DLP-системы не требует расширения штата службы безопасности).

Одно из важнейших направлений систем предотвращения вторжений является оповещение и управление инцидентами безопасности (далее ИБ). Благодаря данным способностям возможно своевременное обнаружение угроз и соответствующая реакция на возникшие проблемы. Впоследствии возможно проведение анализов уже решённых попыток продавливания систем защиты и на их основе составление соответствующих комплексов мер по борьбе с данными угрозами путём настроек DLP-систем.

Конечно, невозможно надеяться лишь на одну систему предотвращения вторжений. Существует также множество других факторов, не позволяющих гарантировать стабильность системы безопасности, но все они связаны, либо с человеческими факторами, либо с целенаправленными хакерскими атаками, что в свою очередь невозможно контролировать не одними современными средствами. Решение данной проблемы возможно, только если уровень физической защиты и уровень подготовки специалистов соответствующей компании находится на должном уровне. К сожалению, такие возможности доступны лишь крупным кампаниям, обладающим высокой доходной составляющей и надёжными активами, позволяющими им потратить достаточное количество денежных средств на полную комплектацию систем безопасности. В свою очередь, фирмы, имеющие мелкий или средний достаток не могут позволить себе такой роскоши, поэтому DLP-системы -- это единственное решение, способное действительно помочь «залатать» дыры в системе безопасности и позволит сохранить драгоценную для компании информацию в целости и сохранности.

Актуальность данной работы заключена в сравнительном анализе современных продуктов DLP-систем, позволяющем оценить новшества предлагаемые компаниями-разработчиками, а также обновлении теоретических знаний согласно постоянному изменению законодательной базы в области IT-технологий (Information Technology -- информационные технологии).

Объектом исследования являются технические средства (далее ТС), позволяющие противодействовать инцидентам информационной безопасности.

Предметом данной работы является подготовка расчётных материалов и выделение основных черт продуктов DLP-систем.

Целью дипломной работы является определение различий на фоне произведения сравнительного анализа различных DLP-продуктов методом иерархий и выделение оптимального решения для компаний малого и среднего бизнеса.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Рассмотреть принципы управления инцидентами информационной безопасности.

2. Расставить приоритеты согласно классификации инцидентов.

3. Подробно изучить методику обнаружения инцидентов ИБ.

4. Произвести сравнение SIEM (Security Information and event management -- управление событиями и информационной безопасностью) и DLP-систем.

5. Рассчитать оптимальное решение для малого и среднего бизнеса.

В первой главе рассматриваются вопросы посвященные особенностям регламентирования инцидентов информационной безопасности. А именно базовые понятия, методика обнаружения и управления, а также принципы правильного реагирования при возникновении угроз.

Во второй главе рассматриваются важные элементы, касающиеся технических средств. Производятся сравнения SIEM и DLP-технологий в умении противодействовать инцидентам ИБ, в результате рассматривается подробный анализ продуктов лучшей системы и выбирается оптимальное решение.

Теоретической основой выполнения исследования послужили, специальная литература, научные труды и практические разработки российских и зарубежных ученых и исследователей в области IT-технологий, касающихся противодействию инцидентам информационной безопасности.

1. Подробное изучение инцидентов информационной безопасности и адекватного противодействия возникшим угрозам

Что представляют собой инциденты ИБ? Это различного вида происшествия, происходящие на предприятиях, в результате которых случаются нарушения безопасности компании. Данные нарушения могут привести к серьёзным последствиям, поэтому сотрудники безопасности фирмы должны подготовиться к своевременному противодействию возникающим угрозам. Также специалистам ИБ необходимо фиксировать все произошедшие на предприятии случаи нарушений безопасности для дальнейшего их анализа. Для лучшей организации процедур выявления угроз специалист должен скомпоновать обнаруженные им случаи нарушения защиты в строго выделенные группы. Данные базовые действия регламентированы соответствующими нормативными документами, поэтому каждый высококвалифицированный специалист должен строго следовать созданной политике безопасности, дабы организовать целый комплекс мер по обнаружению и управлению инцидентами ИБ.

Перечислим основной список нормативных документов, связанных с инцидентами информационной безопасности:

Таблица 1.1. Стандарты менеджмента инцидентов ИБ

Группа стандартов	Перечень документов
Стандарты ISO	ISO/IEC 27001:2013 «Information security management system»
	ISO/IEC 27002:2013 «Information technology. Security techniques. Code of practice for information security controls»
Стандарты ISO	ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management» И проекты дополнений к нему: CD 27035-1 Part 1: «Principles of incident management» CD 27035-2 Part 2: «Guidelines to plan and prepare for incident response» CD 27035-3 Part 3: «Guidelines for CSIRT operations»
	ISO/IEC 27037:2012 «Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence»
	ISO/IEC 27043:2015 «Information technology. Security techniques. Incident investigation principles and processes»
	ISO 22320:2011 «Societal security. Emergency management. Requirements for incident response»
Переводные ГОСТы	ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»
	ГОСТ Р ИСО/МЭК 27002-2013 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности»
	ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»
	ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме»
	СТО БР ИББС-1.0-2014 «Требования к организации обнаружения и реагирования на инциденты информационной безопасности»
	СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств»
СТО БР ИББС	РС БР ИББС-2.5-2014 «Менеджмент инцидентов ИБ»
NIST	NIST SP 800-61 Rev. 2 «Computer Security Incident Handling Guide»
	NIST SP 800-86 «Guide to Integrating Forensic Techniques into Incident Response»
	NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR - Incident Response »
Материалы ENISA	"Good Practice Guide for Incident Management"
	"CSIRT Setting up Guide in Russian"
Процессы ITSM
Процессы COBIT5	DSS 02 Manage Service Requests and Incidents
	DSS 03 Manage Problems
Процессы ITIL	Event management (книга Service operation)
	Incident management (книга Service operation)
	Problem management (книга Service operation)
Процессы ISO 20000	Incident Management
	Problem management
Процессы ГОСТ 20000	Управление инцидентами
	Управление проблемами

1.1 Сравнительный анализ подходов к вопросам управления инцидентами информационной безопасности в российской и международной практике

Как уже отмечалось ранее, сравнительный анализ подходов к вопросам управления инцидентами ИБ регламентируется, соответствующими нормативными документами. В соответствии со своими требованиями к стандартам в области информационной безопасности, существуют огромное количество нормативных документов, применяемых к различным сферам бизнес-деятельности. Также существуют различия в законодательствах различных государств касательно сферы IT-технологий. Поэтому кроме международных стандартов существуют и национальные стандарты. В основном применяются три национальных стандарта: российский (ГОСТ), европейский (European Network and Security Information Agency -- европейское агентство сетевой и информационной безопасности) и американский (National Institute of Standarts and Technology -- национальный институт стандартов и технологий). Помимо стандартов связанных с областью IT-технологий существуют стандарты IT-услуг, которые регламентируют действия связанные с оказанием услуг клиентам в сфере информационной безопасности. Основой данных стандартов является ITSM (IT Service Management) -- подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса. Управление ИТ-услугами реализуется поставщиками ИТ-услуг путём использования оптимального сочетания людей, процессов и информационных технологий. ITSM в свою очередь содержит в себе документации таких стандартов, как ITIL (IT Infrastucture Library -- библиотека инфраструктуры информационных технологий), COBIT 5 (Control Objectives for Information and Related Technologies -- задачи управления для информационных и смежных технологий), а также международный стандарт ISO 20000 (International Organization for Standardization -- международная организация по стандартизации), и его национальный аналог ГОСТ Р ИСО/МЭК 20000. Документация данных изданий позволяет разграничить полномочия сотрудников компании и выделяет для каждой должности свой свод обязанностей и правил, в результате чего риск создания инцидентов на предприятии практически сводится к нулю.

Произведём сравнение баз законодательных стандартов и определим, насколько международная стандартизация отличается от национальных стандартов, рассмотрим достоинства и недостатки, а также выясним какую документацию лучшего всего применять и в каких случаях.

Сравнение ISO/IEC 27002:2013 и ГОСТ Р ИСО/МЭК 27002-2013.

Данный международный стандарт направлен на создание первоклассной защиты предприятия посредством примеров, позволяющих без каких-либо рисков оценить различные сочетания средств управления. Основной задачей при управлении инцидентами информационной безопасности является гарантия их последовательного и результативного подхода, включающего в себя информирование о событиях, связанных с безопасностью, и уязвимостях.

Согласно разделу 16.1.1 «Обязанности и процедуры» международного стандарта предложены следующие рекомендации для установления обязанностей руководства и процедур, связанных с управлением инцидентами информационной безопасности:

a) должны быть установлены обязанности руководства, чтобы гарантировать, что следующие процедуры разработаны, и организация соответствующим образом о них оповещена:

1) процедуры планирования и подготовки реакции на инцидент;

2) процедуры мониторинга, обнаружения, анализа и информирования о событиях и инцидентах информационной безопасности;

3) процедуры регистрации действий по управлению инцидентами;

4) процедуры управления свидетельствами для суда;

5) процедуры для оценки и принятия решения по событию информационной безопасности, а также оценке уязвимостей в информационной защите;

6) процедуры ответных мер, включая передачу информации для принятия решения на более высоком уровне, управляемого восстановления после инцидента и информирования как персонала внутри организации, так и лиц за её пределами;

b) установленная процедура должна гарантировать, что:

1) проблемы, связанные с инцидентами информационной безопасности, решает компетентный персонал;

2) контактный центр по вопросам обнаружения и информирования об инцидентах безопасности действует;

3) соответствующие контакты с полномочными органами, внешними заинтересованными группами или форумами, которые посвящены вопросам, связанным с инцидентами информационной безопасности, поддерживаются;

c) процедуры отчётности должны включать в себя:

1) разработку форм отчётности о событиях информационной безопасности для обеспечения действий по информированию и облегчения сотруднику выполнения всех необходимых мер, если произошло событие информационной безопасности;

2) процедуру, которая должна быть выполнена, если произошло событие информационной безопасности, например, немедленное сообщение всех подробностей, таких, как вид несоответствия или нарушения, произошедший отказ, экранные сообщения и незамедлительное информирование контактного центра, а также принятие только скоординированных действий;

3) ссылку на официально установленный процесс принятия дисциплинарных мер к сотрудникам, допустившим нарушения безопасности;

4) работоспособные процессы обратной связи, гарантирующие, что лица, отвечающие за отчётность о событиях информационной безопасности, уведомлены о результатах после решения и закрытия проблемы.

Также, исходя из пункта 16.1.5 «Ответные меры на инциденты информационной безопасности», ответные меры должны включать следующее:

a) как можно более быстрый сбор свидетельств происшедшего;

b) проведение ретроспективного анализа, если требуется;

c) передача решения на более высокий уровень, если требуется;

d) обеспечение того, что все выполняемые ответные действия соответствующим образом зарегистрированы для дальнейшего анализа;

e) оповещение об имеющем место инциденте информационной безопасности или его любых существенных деталях другим лицам, которые должны об этом знать в силу служебной необходимости, как в самой организации, так и в других организациях;

f) устранение уязвимости(ей) информационной безопасности, вызвавшей или способствовавшей возникновению инцидента;

g) официальное закрытие и документирование инцидента, после того, как он был успешно отработан [4].

В свою очередь национальный стандарт ГОСТ Р ИСО/МЭК 27002 практически аналогичен международному в области методики создания систем управления. Отличия заключены в большей направленности на конкретизацию отдельных разделов рассчитанных на бизнес-деятельность на территории Российской федерации, а также исходя из местного законодательства и собственных служб, отвечающих за сертификацию.

Сравнение ISO/IEC 27037:2012 и ГОСТ Р ИСО/МЭК 27037-2014.

Национальный стандарт предоставляет руководства по конкретным видам деятельности, касающихся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Также данный стандарт предоставляет руководство по распространённым ситуациям, возникающим в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.

Согласно пункту 6.2.1 «Общая информация» необходимо выполнить следующие меры, которые должен выполнить DEFR (Digital Evidence First Responder -- специалист «оперативного реагирования» по свидетельствам, представленным в цифровой форме) на месте возникновения инцидента:

- обезопасить и взять под контроль площадку, содержащую устройства;

- определить, кто несёт ответственность за площадку;

- обеспечить уверенность в том, что люди удалены от устройств и источников питания;

- документально отметить всех, кто имеет доступ на площадку, или всех, у кого может быть причина оказаться связанным с местом инцидента;

- если устройство включено, не выключать его, а если устройство выключено, не включать его;

- если это возможно, документально зафиксировать место события (например, эскиз, фотография или видеоизображение) со всеми компонентами и кабелями в исходном положении. Если фотоаппарата и (или) видеокамеры нет, нарисовать эскизный план системы и промаркировать порты и кабели, чтобы система могла быть проверена и восстановлена позднее;

- если это разрешено, провести на площадке поиск таких предметов, как самоклеящиеся записки, ежедневники, документы, ноутбуки или руководства по аппаратным и программным средствам с важнейшими подробностями об устройствах, такими как пароли и PIN-коды.

Как можно заметить, исходя из пунктов 6 «Ключевые компоненты идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме» и 7 «Примеры идентификации, сбора, получения и сохранения свидетельств» основа данного регламентирующего документа заключена во взаимодействии DEFRа и DESa (Digital Evidence Specialist -- специалист по свидетельствам, представленным в цифровой

форме) с инцидентами информационной безопасности. Иными словами можно сказать, что данный национальный стандарт регламентирует полномочия соответствующих специалистов, а также разъясняет требования данных сотрудников касательно действий и мер, необходимых для выполнения поставленных задач в результате возникновения инцидентов ИБ [5].

Данный национальный стандарт идентичен своему международному аналогу за исключением конкретных примечаний, касающихся законодательства Российской Федерации или тех требований компании, которые определены соответствующими политиками безопасности данных фирм.

Подробный анализ СТО БР ИББС-1.0-2014.

Настоящий стандарт распространяется на организации банковской системы (далее БС) РФ и устанавливает положения по обеспечению ИБ в организациях БС РФ.

Согласно данному стандарту основные цели стандартизации по обеспечению ИБ организаций БС РФ:

- развитие и укрепление БС РФ;

- повышение доверия к БС РФ;

- поддержание стабильности организаций БС РФ и на этой основе -- стабильности БС РФ в целом;

- достижение адекватности мер защиты реальным угрозам ИБ;

- предотвращение и (или) снижение ущерба от инцидентов ИБ.

Также основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

- установление единых требований по обеспечению ИБ организаций БС РФ;

- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

Согласно пунктам 7 «Система информационной безопасности организаций банковской системы Российской Федерации» и 8 «Система менеджмента информационной безопасности организаций банковской системы Российской Федерации» можно обнаружить, что данный национальный стандарт рассматривает в себе различные требования, которые включают в себя огромное множество средств защиты и контроля систем ИБ. Так, например, в данном регламентирующем документе затронуты такие области системы безопасности как требования к персоналу, к антивирусной защите, к управлению доступом, а также требования к организации и функционированию систем ИБ, к проведению оценки рисков, к принятию решений по тактическим улучшениям системы безопасности и многое другое, что связано с обеспечением качественного уровня защиты и предотвращением возможных нападений на начальном этапе [6].

Подытожив вышеизложенное можно предположить, что данный стандарт является основой регламентирования требований защиты банковской системы РФ для сотрудников информационной безопасности и помогает осуществить надёжный периметр защит, позволяющий противостоять даже самым сильным угрозам.

Подробный анализ СТО БР ИББС-1.3-2016.

Настоящий стандарт распространяется на организации БС РФ, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры, и устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению следующих типов инцидентов ИБ и реагированию на них:

- инциденты ИБ, информация о которых получена от клиентов операторов по переводу денежных средств, в том числе инциденты ИБ (события ИБ), выявленные клиентами, классифицированные клиентами как потенциальные попытки несанкционированных переводов денежных средств от их имени;

- инциденты ИБ (события ИБ), выявленные организацией БС РФ, классифицированные организацией БС РФ как попытки реализации угроз ИБ или как приготовление к их реализации;

- инциденты ИБ, информация о которых получена организацией БС РФ от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет [7].

Данный национальный стандарт банка РФ полностью описывает необходимые рекомендации, которые должен выполнить специалист по информационной безопасности в результате работы с техническими средствами при сборе и анализе данных при реагировании на инциденты ИБ. Так, к примеру, туда включены рекомендации по сбору технических данных, рекомендации по проведению поиска и передачи семантической информации, рекомендации по распределению зон ответственности подразделений банка, а также рекомендации при работе с клиентами и т.д.

Национальные стандарты банка РФ значительно помогают сотрудникам информационной безопасности в обеспечении надежного периметра защиты, а также значительно упрощают порядок выполнения своей работы, т.к. представленные в регламентирующих документах различные требования и рекомендации позволяют определить возможные проблемы и провести соответствующий анализ инцидентов ИБ, что впоследствии позволит управлять ими. В свою очередь у зарубежных банков существуют собственные национальные стандарты, которые, в принципе, аналогичны друг другу за исключением аспектов связанных с законодательством соответствующих государств в области информационной безопасности. Также при взаимодействии банков разных стран производится обращение к международным законодательствам т.к. действия между банками разных государств не подчиняются их законодательствам, а относятся к более высшим юрисдикциям. В данном случае к этим юрисдикциям относятся международные стандарты ISO/IEC, за тем исключением, что в качестве стандарта банков используются собственные стандарты с добавлением особенностей касательно тех моментов, что не соответствуют обеим сторонам и требует дополнительных мер.

Подробный анализ NIST SP 800-86.

Данный американский стандарт «Руководство по интеграции криминалистической методики на реагирование инцидентов» описывает в себе правила создания методик нормативных баз позволяющих расследовать причины возникновения инцидентов ИБ. Основным принципом этого руководства является полное сотрудничество со службами правопорядка, которое включает в себя полное предоставление информации о внешних и внутренних действиях компании, создание систем мониторинга позволяющих отслеживать любую нежелательную активность со стороны злоумышленника, а также создание специфической политики безопасности, которая будет руководствоваться законодательством государства в области уголовной ответственности. Важным аспектом данного американского стандарта является сочетаемость IT-технологий и законодательств в области информационной безопасности, позволяющая чётко определить степень наказания согласно уровню совершённого деяния. Также стоит отметить тот факт, что сочетание с законодательной базой позволяет в большей степени точно определить виновного и собрать хорошую доказательную базу против обвиняемого, что в обычном случае довольно проблематично т.к. сбор доказательств и проведение экспертиз в области информационной безопасности не регламентируются государством на должном уровне. Поэтому сотрудничество со службами правопорядка, помогает соблюсти все нормы правил и действовать согласно выделенным пунктам, не опасаясь за компрометацию собранных доказательств, ибо представление их не по правилам полностью делает их бессмысленными в результате утраты их силы в судебном разбирательстве.

Само руководство рассматривает в себе подробное описание криминалистической методики и включает в себя такие пункты как:

- целевое назначение данного метода, которое рассматривает преимущества интеграции в компании, основные задачи, которые ставит перед собой этот способ, а также политику компании, в которой расписаны роли сотрудников и технические средства, с помощью которых будет производиться основной прогресс;

- методологический процесс, который расписывает основные действия необходимые для выполнения специалистом информационной безопасности;

- методику работы с файлами, описывающей подробный план действий при сборе информации различного характера;

- методику работы с оперативными системами, повторяющую предыдущий пункт;

- методику работы с сетевым трафиком;

- методику работы с изображениями;

- методику работы с множеством ресурсов.

Важно отметить, что хоть основной принцип данного стандарта заключается в сборе огромного множества информации согласно законодательной базе, стандарт NIST 800-86 также помогает своевременно обнаружить и перехватить управление инцидентов информационной безопасности благодаря первостепенности установки организационных моментов и технических средств. Поэтому преимущество данного регламентирующего документа довольно огромно для бизнес-деятельности компаний т.к. оно увеличивает успех практически в два раза из-за двух таких показателей как: защищенность и неприкосновенность. Защищённость заключена в своевременном решении проблем защиты на начальном этапе. Неприкосновенность же определяется возможностью собрать достоверную доказательную базу и разрешить инцидент на законодательном уровне [15].

Подробный анализ ENISA «CSIRT Setting up Guide in Russian»

Данный европейский регламентирующий документ «Пошаговое руководство по созданию CSIRT» детально описывает процесс создания Computer Security and Incident Response Team (CSIRT -- группа реагирования на инциденты компьютерной безопасности) с точки зрения управления бизнес - процессом, а также технической перспективы. Данный документ является результатом проделанной работы Европейского Агентства по Сетевой и Информационной Безопасности (ENISA) в рамках программы WP-2006, подробно описанной в главе 5.1 данного руководства:

- данный документ является отчётом о пошаговом процессе создания CSIRT, или схожей с ней структурой, включая пример Computer Emergency Response Team -- группа оперативного реагирования на компьютерные инциденты(CERT-D1);

- глава 12 данного руководства допускает удобное применение плана действий на практике (CERT-D2), за исключением его использования в пронумерованной форме.

Один из основных моментов, показывающих методику выявления инцидентов на основе операционных и технических процедур, представлен на рис 1.1:



Рис. 1.1 - Процесс обработки информации

Согласно данному рисунку процесс обработки информации делится на 3 основные части.

Шаг 1 -- сбор информации об уязвимости:

Обычно существует два основных типа источников информации, которые предоставляют входную информацию для сервисов:

- информация об уязвимости (вашей) IT-системы;

- отчёты об инцидентах.

В зависимости от вида деятельности и IT-инфраструктуры, существует много публичных и закрытых источников информации об уязвимостях:

- публичные и закрытые списки почтовой рассылки;

- информация об уязвимостях от производителей;

- веб-сайты;

- информация в Интернет (Google и другие);

- публичные и личные контакты, которые предоставляют информацию об уязвимостях (FIRST, TFCSIRT, CERT-CC, US-CERT….).

Далее шаг 2 -- проверка информации и оценка риска:

Этот шаг приведёт к анализу последствий специфической уязвимости на IT-инфраструктуру клиента. Основные критерии анализа -- идентификация, актуальность и классификация.

Идентификация. Источник входящей информации об уязвимости всегда должен идентифицироваться и всегда необходимо определять, можно ли доверять источнику, перед отправкой любой информации клиенту. В противном случае, люди могут быть встревожены по ошибке, что может привести к ненужным беспокойствам в бизнес-процессах и, в конечном итоге, нанести урон репутации CSIRT.

Актуальность. Обзор установленного оборудования и программного обеспечения, сделанный ранее, может использоваться для определения актуальности входящей информации об уязвимостях, с целью найти ответ на вопросы: «Клиент использует данное программное обеспечение (далее ПО)?», «Актуальна ли эта информация для клиента?».

Классификация. Некоторая полученная информация может быть классифицирована или помечена как для служебного пользования (например, входящие отчёты об инцидентах от других команд). Вся информация должна обрабатываться в соответствии с требованиями отправителя и собственной политикой информационной безопасности. Есть хорошее базовое правило: «Не распространяйте информацию, если не уверены, что она предназначена для этого, а если сомневаетесь, спросите у отправителя разрешение на распространение».

И наконец, шаг 3 -- распространение информации:

CSIRT может выбрать один из нескольких методов распространения, в зависимости от пожеланий клиентов и вашей коммуникационной стратегии.

- веб-сайт;

- электронная почта;

- отчёты;

- архивирование и исследования.

Бюллетени безопасности, распространяемые CSIRT, всегда должны иметь одинаковую структуру. Это увеличит читабельность, и читатель сможет быстро найти всю важную информацию [14].

Как можно определить из выше приведенной информации руководство «CSIRT Setting up Guide in Russian» имеет огромное значение для европейской стандартизации т.к. данный документ позволяет повысить бизнес-активность предприятий за счет улучшения систем защиты информационной безопасности с помощью специализированных групп реагирования на инциденты ИБ. Подробное описание действий и методик позволяет сотрудникам безопасности без особого труда внедрить эти группы и, соответственно, серьёзно усложнить ситуацию тем злоумышленникам, которые решили навредить компании.

Сравнение процессов ISO 20000 «Incident management» и процессов ГОСТ 20000 «Управление инцидентами»

Представленные для сравнения процессы международного и российского стандартов практически идентичны друг другу. Рассмотрим их более подробно.

Согласно пункту 8.2 «Управление инцидентами» цель данного процесса - как можно быстрее восстановить предоставление заказчикам согласованной услуги, и минимизировать отрицательное влияние инцидентов на бизнес заказчиков услуг, а так же выполнять запросы на обслуживание, поступающие от пользователей.

В охват процесса управления инцидентами следует включить:

а) приём обращений, регистрацию, назначение приоритета, классификацию;

б) устранение инцидента на первой линии или перенаправление для дальнейшей обработки;

в) рассмотрения возможных вопросов по информационной безопасности;

г) отслеживание и управление инцидентом на всех этапах его жизненного цикла;

д) проверку результатов устранения инцидента и закрытие;

е) контакт с клиентом на первой линии поддержки пользователей;

ж) эскалацию.

Информация об инциденте может быть передана по телефону, при помощи голосовой почты, при личном контакте, письмом по факсу или электронной почте.

Также инциденты могут регистрироваться непосредственно пользователями, имеющими доступ к системе регистрации инцидентов, или на основании сообщений от систем автоматического мониторинга.

Все инциденты следует регистрировать таким образом, чтобы существовала возможность извлечь необходимую информацию о них и произвести её анализ.

Информацию о достигнутых результатах в ходе устранения инцидента (или отсутствии таковых), следует доводить до сведения тех сотрудников, на деятельность которых он влияет, или которые могут потенциально оказаться под влиянием этого инцидента. Все действия по работе с инцидентом должны быть зарегистрированы в записи об инциденте.

Персоналу, реализующему процесс управления инцидентами, необходимо иметь доступ к актуальной базе знаний, содержащей информацию о технических специалистах, о прошлых инцидентах, о связанных с ними проблемах и известных ошибках, об обходных решениях, а также к перечню проверочных операций, которые могут помочь в восстановлении предоставления заказчику согласованной услуги.

Когда это возможно, заказчикам услуг должна быть предоставлена возможность продолжения бизнес-операций, даже если это связано с предоставлением услуги пониженного качества, например, с помощью блокировки повреждённой функциональности системы. Это необходимо для минимизации отрицательного влияния инцидента на бизнес заказчика услуг. Когда остаётся неизвестной причина инцидента, но использовано обходное решение, сведения об этом следует документировать для использования при дальнейшем диагностировании проблемы и при возникновении аналогичных инцидентов.

Окончательное закрытие инцидента следует производить только после того, как пользователю, сообщившему об инциденте, дана возможность подтвердить, что инцидент устранён, и предоставление услуги восстановлено.

Также немаловажен подпункт 8.2.2 «Значительные инциденты», согласно которому следует чётко определить, что является значительным инцидентом и кто имеет право изменить обычный порядок реализации процессов управления инцидентами и управления проблемами.

Для любого момента времени следует чётко определить руководителя, отвечающего за устранение значительных инцидентов.

Руководителю, отвечающему за устранение значительных инцидентов, следует предоставить персональные полномочия уровня, предоставляющего ему возможности координировать и управлять всеми аспектами устранения значительных инцидентов. Этот руководитель должен так же отвечать за эффективность эскалации и обмена информацией по всем вопросам, связанным с устранением значительных инцидентов, со всеми сторонами, вовлечёнными в устранение инцидента, а также с заказчиками, попавшими под влияние этого инцидента.

Процесс управления инцидентами должен включать в себя процедуру по проведению анализа значительных инцидентов. Результаты анализа должны использоваться в качестве исходной информации для формирования плана улучшения услуг [3].

В заключении важно отметить, что приведённые выше национальные стандарты, регламентирующие документы и нормативные рекомендации являются основными аспектами в управлении инцидентами информационной безопасности. Любая организация, желающая избежать базовых проблем с возникающими инцидентами ИБ, должна обязательно обращаться к данной информации, иначе сотрудники информационной безопасности не будет ориентированы в данной области, а соответственно не способны к каким-либо противодействиям в результате возникновения серьёзных угроз, которые в итоге приведут к глобальным последствиям и дальнейшему закрытию предприятия в виду возможного банкротства. Поэтому любой квалифицированный сотрудник обязан знать методику управления инцидентами информационной безопасности, а также хорошо разбираться в законодательствах тех стран относительно которых данные стандарты, регламентирующие документы и рекомендации будут применены.

1.2 Классификация инцидентов информационной безопасности

Итак, были рассмотрены регламентирующие документы, а также национальные и международные стандарты, которые подробно описывают методику обнаружения и управления инцидентов информационной безопасности. В результате сравнительного анализа было определено, что зарубежные стандарты и стандарты РФ, не особо отличаются друг от друга по причине того, что национальные стандарты несут в себе основу международных правил, т.е. моменты которые общеприняты для всех государств. Единственное отличие этих стандартов заключено в моментах касающихся нестыковок относительно законодательств в области IT- технологий, а также приказов, касающихся аспектов в области ИБ, утверждаемых службами тех стран, в которых они применяются. Перейдём к детальному рассмотрению классификации инцидентов безопасности.

Инцидентами информационной безопасности, представленными на рис. 1.2 являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политики или рекомендаций по ИБ;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Рис. 1.2 -- Инциденты информационной безопасности

Инциденты информационной безопасности можно классифицировать на несколько групп, более подробно изображённых на рис. 1.3:

Рис 1.3 -- Классификация инцидентов ИБ

По категории критичности:

- 1 категория. Инцидент может привести к значительным негативным последствиям (ущербу) для информационных активов или репутации организации;

- 2 категория. Инцидент может привести к негативным последствиям (ущербу) для информационных активов или репутации организации;

- 3 категория. Инцидент может привести к незначительным негативным последствиям (ущербу) для информационных активов или репутации банка;

- 4 категория. Инцидент не может привести к негативным последствиям (ущербу) для информационных активов или репутации.

Приоритеты реагирования на инциденты:

- очень высокий. Соответствует 1-й категории критичности. Время реагирования не более 1 часа;

- высокий. Соответствует 2-й категории критичности. Время реагирования не более 4 часов;

- средний. Соответствует 3-й категории критичности. Время реагирования не более 8 часов;

- низкий. Соответствует 4-й категории критичности. Время реагирования не определено.

По причине возникновения:

- Случайные;

- Намеренные.

По степени нанесенного ущерба:

- Непоправимый ущерб;

- Поправимый ущерб;

- Отсутствие ущерба.

Хоть инциденты безопасности разнообразны и многообразны, их довольно легко разделить на несколько категорий, по которым проще вести статистику.

1. Разглашение конфиденциальной или внутренней информации, либо угроза такого разглашения:

Для этого необходимо иметь, как минимум, актуальный перечень конфиденциальной информации, рабочую систему грифования электронных и бумажных носителей. Один из хороших примеров -- шаблоны документов, рассчитанные практически на все случаи жизни, местоположение которых указано на внутреннем портале организации или во внутренней файлопомойке, а по умолчанию эти шаблоны имеют проставленный гриф «Только для внутреннего использования».

2. Несанкционированный доступ:

Для этого необходимо иметь список защищаемых ресурсов. То есть тех, где находится какая-либо чувствительная информация организации, её клиентов или подрядчиков. Причём желательно внести в эту категорию не только проникновения в компьютерную сеть, но и несанкционированный доступ в помещения.

3. Превышение полномочий:

Несанкционированный доступ подразумевает доступ тех лиц, которые не имеют никакого легального доступа к ресурсам или помещениям организации. Это внешний нарушитель, не имеющий легального входа в вашу систему. Под превышением полномочий же понимается несанкционированный доступ к каким-либо ресурсам и помещениям именно легальных сотрудников организации.

4. Вирусная атака:

В этом случае необходимо понимать следующее: единичное заражение компьютера сотрудника не должно повлечь за собой разбирательство, так как это можно списать на погрешность или пресловутый человеческий фактор. Если же заражён ощутимый процент компьютеров организации (тут уже необходимо исходить из общего количества машин, их распределённости, сегментированности и т.д.), то необходимо разворачивать полновесную отработку инцидента безопасности с необходимыми поисками источников заражения, причин и т.д.

5. Компрометация учётных записей:

Этот пункт перекликается с 3. Фактически инцидент переходит из 3 в 5 категорию, если в ходе расследования инцидента выясняется, что пользователь в этот момент физически и фактически не мог использовать свои учётные данные.

Приведённые выше список категорий, на которые разделяются инциденты информационной безопасности, серьёзно упрощает методику распределения на соответствующие группы для сотрудников информационной безопасности. Существует два метода, позволяющих классифицировать инциденты ИБ.

Первый -- разделение инцидентов информационной безопасности на категории согласно той важности, которая будет наиболее соответствующая уровню компании. В данном случае уровень важности инцидентов распределяется специалистом информационной безопасности согласно его стандартам. Т.е. уровень того или иного инцидента ИБ полностью зависит от правил важности в зависимости от масштабности фирмы, согласно которым сотрудник ИБ компании расставил приоритет. К сожалению, основная проблема данного метода заключается именно в расставлении приоритетов сотрудником информационной безопасности, так как уровень важности приоритетов, распределённых для инцидентов ИБ, может не соответствовать тому, что действительно важно для компании. Иными словами можно сказать, что данный метод полностью зависит от компетентности специалиста, так как ответственность за сделанный выбор полностью лежит на нём и в случае неправильного распределения инцидентов вся система безопасности будет недееспособной, а соответственно весь смысл существования предприятия может в любое время просто рухнуть. Поэтому данный способ не особо рекомендован для применения неподготовленными специалистами, тем более в крупных компаниях, где количество возможных инцидентов исчисляется значительным числом, что в свою очередь значительно увеличивает риск сведения защиты безопасности фирмы в полную негодность.

Второй метод же заключается в предварительном проведении анализа рисков и на его основе уже выделяются группы инцидентов информационной безопасности, которым распределяется соответствующий уровень приоритетов. Данный способ более сложен, т.к. опять требует высокой квалификации от специалистов ИБ, но в данной ситуации сложность работы заключена уже на начальном этапе, в результате чего любые неправильные расчеты опять же приведут всю упорную работу к полной бессмысленности, т.к. шанс удачного создания надёжной защиты при таких раскладах полностью обречён на провал. Преимущество этого метода по сравнению с первым заключено в его надежности, потому что правильно проведенный анализ позволяет без каких-либо проблем правильно классифицировать инциденты информационной безопасности, а соответственно гарантировать успешное обнаружение и управление на стадии зарождения проблемы.

1.3 Общие принципы в выявлении инцидентов ИБ

В пункте 1.1 мы рассмотрели методы управления инцидентами информационной безопасности посредством стандартов и регламентирующих документов. Но также немалую долю в понимании процессов управления инцидентами служит классическая модель непрерывного улучшения процессов, получившая название от цикла Деминга -- модель PDCA (Plan-Do-Check-Act, т.е. "Планируй-Выполняй-Проверяй-Действуй"). Для более лучшего понимания всего изложенного рассмотрим цикл Деминга подробнее.

Цикл Деминга (цикл PDCA) -- планируй (plan), выполняй (do), проверяй (check study), действуй (act) -- может быть использован как метод совершенствования деятельности. Он представляет логическую последовательность четырёх шагов, направленных на постоянное улучшение и обучение: планирования, выполнения, проверки и действий.

За этапом планирования («планируй») действий должно происходить их выполнение («выполняй») в соответствии с планом. После этого надо измерить и изучить («проверяй») полученные результаты и улучшения, а затем должны быть предприняты действия («действуй») по адаптации целей и/или усовершенствований. При последующем планировании новых действий надо учесть всё, что было сделано до этого (внедрить составляющую обучения).

На рисунке 1.4 представлено графическое изображение функционирования модели:

Рис. 1.4 - Цикл Деминга

Важным фактором является знание правильного применения модели, поэтому специалист, владеющий им может вывести предприятие на высокий уровень. Цикл PDCA позволяет компании организованно управлять программами совершенствования. При первом знакомстве с этой моделью многие понимают, что на самом деле они лишь «рулят» компанией, но вовсе не управляют ею. Эта модель может быть применена для структурирования и упорядочивания процесса постоянных улучшений. Так, процесс совершенствования можно образно представить как вкатывание колеса наверх (см. рис. 1.5). Совершаемый при этом каждый цикл решения проблемы соответствует одному циклу PDCA.

Важно научить всех менеджеров, которые будут привлечены к работе с этим методом совершенствования, правильному использованию этого цикла. Применяя цикл PDCA так, чтобы это видели все заинтересованные лица, можно добиться того, чтобы результаты улучшений и получаемые при этом выгоды были наглядными. В этом случае участники будут более активно продолжать реализовывать проекты совершенствования. Этот цикл можно применять при решении различных задач, например для реализации миссии, достижения целей, проверки контрольных точек или для обучения персонала.

Рис 1.5 - Постоянное совершенствование при помощи последовательных циклов PDCA

Помимо правильного применения, также необходимо знание целенаправленного использования модели. Для достижения желания добиться улучшений в конкретной области, каждый шаг надо сделать с учётом общей системы.

Планирование. Сначала необходимо спланировать изменения. Прежде всего, надо проанализировать текущую ситуацию и потенциальное воздействие на неё любых планируемых корректировок. Спрогнозировать, какими будут ожидаемые результаты. Как можно измерить воздействие? Когда можно ожидать получения желательных результатов? Планировать включить результаты измерений в работу. В плане реализации важно назначить на каждый участок ответственных за них людей.

Опыт показывает, что полезно получить ответы на следующие вопросы:

- чего мы пытаемся добиться?;

- как результаты этой задачи можно связать с более общей целью нашей компании?;

- на кого повлияют данные перемены?;

- где это произойдёт?;

- когда это произойдёт?;

- какова пошаговая процедура?

Выполнение. При выполнении плана необходимо делать небольшие подконтрольные шаги, чтобы знать наверняка, объясняются конкретные улучшения (или неудачи) запланированными изменениями в деятельности или нет.

Проверка. Далее проверить результаты сделанного. Добились ли вы того, чего хотели? Если нет, то почему?

Действие. Необходимо приложить усилия, чтобы стандартизировать процесс, если он привёл к желательным для вас результатам, а если возникла ситуация, не соответствующая тому, что задумывалось, при последующих попытках улучшить положение дел используйте накопленный опыт.

Итак, мы рассмотрели модель Деминга, основным принципом которой является структурированный метод выполнения всевозможных действий, позволяющий достичь своей цели с высоким параметром точности. Также данная модель позволяет распределить роли сотрудников фирмы согласно тем способностям, которые заключены в каждом из них, а соответственно увеличивает продуктивность в несколько раз, благодаря чему увеличивается и заработок компании.

Но всё же немаловажным фактором помимо управления инцидентами ИБ является их своевременное обнаружение. Чем быстрее сотрудники безопасности компании разберутся с проблемами, тем быстрее фирма вернётся в прежнее русло и займётся своей основной деятельностью. А если угрозы устранять ещё на этапе их возникновения, то предприятие не будет останавливать свою работу, а соответственно терять огромную прибыль. Поэтому данный аспект стоит даже на более высоком уровне и требует незамедлительного разрешения проблемы, особенно в крупных компаниях, где любая остановка стоит больших денег.

В качестве основных целей структурированного, хорошо спланированного метода менеджмента инцидентов ИБ ГОСТ 18044-2007 выделяет следующие:

- обнаружение и эффективная обработка событий ИБ, выделение из их числа инцидентов ИБ;

- оценка и разрешение идентифицированных инцидентов ИБ наиболее оптимальным способом;

- минимизация негативных воздействий инцидентов ИБ соответствующими защитными мерами;

- извлечение уроков из инцидентов ИБ с целью их предотвращения в будущем, улучшения внедрения и использования, защитных мер ИБ, улучшения общей система менеджмента инцидентов ИБ (далее СМИИБ).

После разработки и внедрения всех необходимых процедур и документации СМИИБ, в компании целесообразно осуществлять плановый и системный мониторинг событий ИБ, в целях оперативного выявления и реагирования на инциденты ИБ.

В общем случае можно рассматривать следующий алгоритм выявления и реагирования на инциденты ИБ, изображенный на рисунке 1.6.

...