Главная Коллекция "Revolution" Коммуникации, связь, цифровые приборы и радиоэлектроника Разработка организационно-распорядительного документа по защите информации, определяющего правила и процедуру выявления инцидентов информационной безопасности и реагирование на них

Разработка организационно-распорядительного документа по защите информации, определяющего правила и процедуру выявления инцидентов информационной безопасности и реагирование на них

Исследование информационной безопасности в настоящее время. Основные этапы работ при проведении аудита безопасности. Описание жизненных циклов атаки. Алгоритм выявления и реагирования на инциденты информационной безопасности. Особенности их выявления.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид дипломная работа
Язык русский
Дата добавления 27.09.2023
Размер файла 221,5 K
рефераты на заказ со скидкой

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение дополнительного профессионального образования

«Приволжский институт повышения квалификации

Федеральной налоговой службы»,

г. Нижний Новгород

Профессиональная переподготовка по программе

«Информационная безопасность»

Квалификационная работа

Разработка организационно-распорядительного документа по защите информации, определяющего правила и процедуру выявления инцидентов информационной безопасности и реагирование на них

г. Нижний Новгород

2021 г.

Введение

Постоянное развитие информационных систем и компьютерных технологий способствует к возникновению предпосылок к незаконному посягательству на информацию, циркулирующую в этих системах, как в электронном виде, так и в материальном. Информация стала ценным ресурсом, сохранность которого обеспечивают не только технические, программные или программно-технические средства, но и люди (сотрудники организации), которые непосредственно участвуют в создании информации и сопровождают ее на протяжении всего жизненного цикла.

На данный момент как показывает практика, даже самые совершенные методики защиты информации не позволяют в полной мере исключить вероятность реализации новых, неизвестных до настоящего времени, угроз информационной безопасности. Принимая во внимание тот факт, что информационные технологии постоянно эволюционируют нам необходимо своевременно реагировать на изменяющуюся среду и минимизировать вероятность возникновения инцидентов информационной безопасности.

Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на деятельность организации. Недостаточная подготовка к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия. Таким образом, важно применять структурный и плановый подход к:

- обнаружению, оповещению об инцидентах информационной безопасности и их оценке;

- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий;

- извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности;

- недопущению повторного возникновения инцидентов информационной безопасности.

В условиях постоянно возрастающего потока сообщений о возможных инцидентах и стремительную скорость совершения современных кибератак, эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения комплексного подхода.

Таким образом, для реагирования на инциденты, выходящие за рамки стандартных ситуаций, необходимо разработать документ, регламентирующий действия персонала, администраторов в случае обнаружения инцидентов информационной безопасности, реагирование на них с целью планирования превентивных мер защиты и улучшения процесса обеспечения информационной безопасности в целом.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В НАСТОЯЩЕЕ ВРЕМЯ

информационная безопасность аудит

Тема реагирования на инциденты информационной безопасности (ИБ) и их расследования на сегодняшний день является наиболее востребованной и актуальной, так как с каждым годом объем информации растет в геометрической прогрессии, а злоумышленники придумывают новые способы и методы кражи или блокировки защищаемой информации, что приводит к повышению вероятности возникновения инцидентов информационной безопасности. Однако, для эффективного реагирования и борьбы с инцидентами ИБ необходимо в первую очередь определить что же такое информационная безопасность на объекте информатизации.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

Основой защиты информации в данном случае является выявление, предотвращение, регистрация и устранение последствий инцидентов информационной безопасности или событий, нарушающих регламентированные процедуры защиты ИБ.

Кроме того, нужно четко понимать, что инцидент информационной безопасности это единичное событие нежелательного и непредсказуемого характера, которое способно повлиять на технологические процессы организации, скомпрометировать их или нарушить степень защиты информационной безопасности. Это могут быть разноплановые события, происходящие в процессе работы с информацией, существующей в электронной форме или на материальных носителях. К ним может относиться и оставление документов на рабочем столе в свободном доступе, и хакерская атака - оба инцидента в равной мере могут нанести ущерб интересам организации.

Среди основных типов событий присутствуют:

· нарушение порядка взаимодействия с поставщиками телекоммуникационных услуг;

· отказ оборудования по любым причинам, как технического, так и программного характера;

· нарушение работы программного обеспечения;

· нарушение любых правил обработки, хранения, передачи информации, как электронной, так и документов;

· неавторизированный или несанкционированный доступ третьих лиц к информационным ресурсам;

· выявление внешнего мониторинга ресурсов;

· выявление вирусов или других вредоносных программ;

· любая компрометация системы, например, попадание пароля от учетной записи в открытый доступ.

Все эти события должны быть классифицированы, описаны и внесены во внутренние документы организации, регламентирующие порядок обеспечения информационной безопасности. Кроме того, в регламентирующих документах необходимо установить иерархию событий, разделить их на более или менее значимые. Следует учитывать, что существенная часть инцидентов малозаметны, они происходят вне периметра внимания должностных лиц. Такие события должны быть описаны особо, и определены меры для их выявления в режиме постфактум.

При описании мер реакции следует учитывать, что изменение частоты появления и общего количества инцидентов информационной безопасности является одним из показателей качества работы систем, обеспечивающих ИБ, и само по себе классифицируется в качестве существенного события. Учащение событий может говорить о намеренной атаке на информационные системы организации, поэтому оно должно стать основанием для анализа и дальнейшего повышения уровня защиты.

В момент возникновения инцидента от сотрудников, ответственных за ИБ, требуются быстрые и точные шаги, которые позволят минимизировать ущерб от инцидента и собрать доказательства для дальнейшего анализа и расследования, вплоть до уголовного преследования злоумышленников. Для безошибочного совершения этих шагов необходимо наличие инструкции по реагированию на инциденты ИБ. Если сотрудники подразделений, ответственных за ИБ, либо сотрудники на которых возложены функции по информационной безопасности, не знают, как реагировать на возникший инцидент и как обеспечить оперативный сбор данных, необходимых для проведения расследования, атакованная организация понесёт значительные убытки. Ошибки в реагировании на инциденты ИБ приводят к достижению злоумышленником целей атаки и дают ему возможность для удаления следов своего присутствия в ИС. Практика показывает, что вероятность успешного расследования инцидента сильно зависит от времени реагирования. При немедленной фиксации следов инцидента удается эффективно защититься от угроз. Если этот срок растягивается на дни, а в худшем случае недели, то вероятность успеха значительно снижается.

Вступивший в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» ? это первый в России случай, когда вступает в силу закон, охватывающий широчайший спектр отраслей единовременно (банковская сфера, связь, здравоохранение, наука, промышленность и т.д.). Это первый прецедент, когда закон не просто дает регуляторные рекомендации, а обязывает реально защищаться от компьютерных атак, вводит оценку требований и механизмы защищенности критических информационных систем. Выполнение закона будут регламентировать ФСТЭК России, который устанавливает требования безопасности и проверяет их исполнение, и ФСБ России, в чьи полномочия входит оценка реальной защищенности информационных систем, проведение расследований компьютерных атак (когда они затрагивают интересы государства), помощь в реагировании на атаки, т.е. выработка подходов к защите от принципиально новых атак. Также закон предусматривает уголовную ответственность для владельца недостаточно защищенной информационной системы.

В соответствии с этим законом ст.9 ч.3 п.3 «3. Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 настоящей статьи, также обязаны:

…3) реагировать на компьютерные инциденты в порядке, утвержденном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры».[14] В соответствии со статьей 9 ч.1 организация должна планировать, разрабатывать, совершенствовать и осуществлять внедрение мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

В соответствии со статьей 18.1 и 18.5 Приказа ФСТЭК № 17 (ред. от 28.05.2019) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608)»[15] необходимо осуществлять:

· определение лиц, ответственных за выявление инцидентов и реагирование на них;

· обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

· своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

· анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

· планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

· планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Для успешной работы по предотвращению, реагированию и устранению инцидентов и событий информационной безопасности необходимо выполнение таких процедур как:

- создание формализованной политики реагирования на инциденты;

- разработка процедур обработки инцидентов;

- налаживание контактов команды по расследованию инцидентов с профильными специалистами (правовой отдел, кадровая служба, профильные отделы и т.д.);

- определению зон ответственности команды расследования, обучению и техническому оснащению комиссии по расследованию инцидентов.

Для достижения поставленной цели, которой является защита информации и предотвращение инцидентов ИБ необходимо использовать комплексный подход, поэтому кроме вышеперечисленных процедур следует максимально эффективного использовать современные средства защиты компьютерных сетей, информационных систем, программного обеспечения и приложений, главным образом следует учитывать несколько факторов:

- превентивные меры (предотвращение проблем до наступления события инцидента) являются менее дорогостоящими, чем работы по ликвидации последствий инцидентов, следовательно, превентивные меры являются неотъемлемой частью политики реагирования на инциденты информационной безопасности;

- процедура реагирования на инциденты и расследование по факту их происшествия будет более эффективной, если определённым видам информационных ресурсов будут поставлены в соответствие адекватные средства технической защиты информации.

Хорошей практикой является анализ инцидентов и обработка результатов с целью получения практического опыта. После обработки инцидента, результаты расследования должны быть документированы и внесены в базу данных инцидентов информационной безопасности. Завершение расследования должно сопровождаться совместным обсуждением его результатов со всеми привлечёнными и заинтересованными сторонами. Команда расследования инцидентов должна сделать соответствующие выводы об уязвимостях, классифицировать их и принять меры к недопущению в дальнейшем инцидентов подобного вида. К расследованию сложных инцидентов привлекаются специалисты из различных подразделений организации, решающим фактором проведения успешного расследования сложного инцидента является консолидация действий сотрудников и внедрение практики управления расследованием.

Для начала необходимо определить общие намерения, направления и принципы действий при выявлении инцидентов информационной безопасности и реагировании на них. Для этого в организации должна быть разработана политика управления инцидентами информационной безопасности. Причем данная политика должна учитывать специфику Межрайонной ИФНС России и охватывать все аспекты ее деятельности.

Вместе с тем, к обязательным элементам политики относятся:

- понимание руководством организации необходимости реагирования на инциденты информационной безопасности;

- управление процедурой расследования инцидентов информационной безопасности;

- определение целей и места политики расследования инцидентов в общей структуре процессов управления безопасностью и организацией в целом (политика расследования инцидентов является частью процесса обеспечения непрерывности функционирования организации);

- определение понятий «инцидент информационной безопасности» и «последствия инцидента информационной безопасности» в контексте сферы деятельности Инспекции;

- описание состава, структуры, функциональных обязанностей, зон ответственности, ролей, правил внутриорганизационного взаимодействия, порядка внешних сношений команды по расследованию инцидентов информационной безопасности;

- порядок установления приоритетов инцидентов и оценки серьёзности последствий инцидентов информационной безопасности;

- оценка критериев качества работы команды по расследованию инцидентов;

- разработка форм отчётности и регламента оповещений об инциденте;

- разработка набора процедур, описывающих действие сотрудников организации в случае инцидента информационной безопасности (выделенный телефон, адрес электронной почты);

- порядок пересмотра, тестирования и актуализации стандартных операционных процедур.

Мероприятия по обеспечению информационной безопасности должны охватывать не только программные, аппаратные, программно-аппаратные комплексы организации, но и организационно-распорядительные документы, регламентирующие деятельность в области защиты ключевой информации: приказы, распоряжения, регламенты.

Структура, ответственная за реагирование на инциденты информационной безопасности должна быть доступна сотрудникам инспекции любого уровня, иными словами каждый сотрудник имеет возможность беспрепятственно сообщать об инцидентах информационной безопасности и принимать участие в его расследовании в пределах своей компетенции. В расследовании инцидента, в зависимости от его сложности, принимает участие один или более сотрудников структуры. Руководитель структуры анализирует свидетельства инцидента и принимает решение о количестве и составе комиссии по расследованию, при необходимости привлекая к расследованию уполномоченных сотрудников других подразделений.

В Межрайонной ИФНС России для этих целей необходимо в зависимости от численности сотрудников в инспекции создать отдел ИБ, либо назначить приказом сотрудника из числа работников отдела информационных технологий, ответственного за информационную безопасность и возложить на него функции по реагированию на инциденты информационной безопасности. Однако необходимо учитывать минимальные требования к его образованию в области защиты информации (профильное образование, сотрудник, прошедший повышение квалификации или профессиональную переподготовку по курсу «Информационная безопасность»)

Инспекция в данном случае выполняет всю работу, связанную с обработкой инцидента самостоятельно, силами собственного персонала, привлекая сотрудников отдела ИБ Управления, только в случае серьезных нарушений ИБ.

Задачей данной работы является систематизация теоретической информации о жизненном цикле атаки и реагировании на инциденты ИБ, разработка алгоритма реагирования на инциденты, разработка регламента реагирования на инциденты информационной безопасности.

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Обзор практик по управлению инцидентами

На данный момент существует достаточное количество международных документов, регламентирующих аспекты управления инцидентами ИБ. Как правило, все документы рассматривают последовательно все этапы процесса управления инцидентами ИБ: от планирования процесса управления инцидентами ИБ до улучшения данного процесса после анализа результатов работы самого процесса.

ISO/IEC 27001 «Information technology. Security techniques. Information security management systems. Requirements», ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования».

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени.

Международный стандарт вводит следующие определения:

Информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность. Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.

[ИСО/МЭК 17799:2005]

Событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

[ИСО/МЭК ТО 18044:2004]

Инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. [1]

Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политики или рекомендаций по ИБ;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Согласно разделу 4.2.3 «Проведение мониторинга и анализа системы менеджмента информационной безопасности» в организации должны быть выполнены следующие требования:

a) выполнять процедуры мониторинга и анализа, а также использовать другие меры управления в следующих целях:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно выявлять удавшиеся и неудавшиеся попытки нарушения и инциденты ИБ;

3) предоставлять руководству информацию для принятия решений о ходе выполнения функций по обеспечению ИБ, осуществляемых как ответственными лицами, так и информационными технологиями;

4) способствовать обнаружению событий ИБ и, таким образом, предотвращать инциденты ИБ путем применения средств индикации;

5) определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности;

b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон;

c) измерять результативность мер управления для проверки соответствия требованиям ИБ;

d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения:

1) в организации;

2) в технологиях;

3) в целях деятельности и процессах;

4) в выявленных угрозах;

5) в результативности реализованных мер управления;

6) во внешних условиях, например, изменения нормативно-правовых требований, требований договорных обязательств, а также изменения в социальной структуре общества;

е) проводить внутренние аудиты СМИБ через установленные периоды времени.

Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией (или внешней организацией от ее имени) для собственных целей;

f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;

g) обновлять планы ИБ с учетом результатов анализа и мониторинга;

h) регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

Кроме этого, следует вести и хранить записи о выполнении процессов и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.

Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа и тд.

Перечень мер управления, содержащийся в данной таблице, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления.

Таблица 2.1. Управление инцидентами информационной безопасности

1. Оповещение о нарушениях и недостатках информационной безопасности

Цель: Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий

1.1

Оповещение о случаях нарушения информационной безопасности

О случаях нарушения информационной безопасности следует сообщать по соответствующим каналам управления незамедлительно, насколько это возможно

1.2

Оповещение о недостатках безопасности

Все сотрудники, подрядчики и пользователи сторонних организаций, пользующиеся информационными системами и услугами, должны незамедлительно сообщать о любых замеченных или предполагаемых нарушениях безопасности в системах или услугах

2. Управление инцидентами информационной безопасности и его усовершенствование
Цель: Обеспечить последовательный и эффективный подход к управлению инцидентами информационной безопасности

2.1

Ответственность и процедуры

Должны быть установлены ответственность руководства и процедуры, позволяющие обеспечить быстрое, эффективное и последовательное реагирование на инциденты информационной безопасности

2.2

Извлечение уроков из инцидентов информационной безопасности

Должны быть определены механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям

2.3

Сбор доказательств

На случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах

ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management", ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.[2]

Международный стандарт ISO/IEC TR 18044 по управлению инцидентами ИБ определяет формальную модель процессов управления инцидентами ИБ. В данном стандарте описание процессов управления инцидентами ИБ, как и в стандарте ISO/IEC 27001, основано на использовании циклической модели Деминга (цикле PDCA). Документ подробно описывает стадии планирования и подготовки, эксплуатации, анализа и улучшения процесса реагирования на инциденты ИБ. Также рассматриваются вопросы разработки и обеспечения нормативной документации. Даются рекомендации по необходимым ресурсам и процедурам.

Стандарт является очень емким и содержит все необходимые сведения для разработки полноценного процесса управления инцидентами ИБ и поддерживающей его документации. Поскольку в основе формальной модели управления инцидентами ИБ, представленной в данном стандарте, также как и в стандарте ISO/IEC 27001, лежит модель PDCA, то в процессе разработки процесса управления инцидентами ИБ возможно связать требования ISO/IEC 27001 и модель управления инцидентами ИБ, предоставляемую стандартом ISO/IEC 18044, и создать процесс, полностью удовлетворяющий требованиям ISO/IEC 27001.

NIST SP 800-61 «Computer security incident handling guide» («Руководство по реагированию на инциденты компьютерной безопасности»).

Данный документ представляет собой сборник «лучших практик» по построению процессов реагирования на инциденты компьютерной безопасности. В данном документе процесс реагирования на инциденты компьютерной безопасности рассматривается, начиная с первоначальных приготовлений и заканчивая разбором инцидента после окончания процесса реагирования на него. Подробно разбираются вопросы реагирования на разные типы инцидентов компьютерной безопасности.[3]

CMU/SEI-2004-TR-015 «Defining incident management processes for CSIRT» («Определение процессов управления инцидентами для Группы реагирования на компьютерные инциденты»)

В данном документе описана методика планирования, внедрения, оценки и улучшения процессов реагирования на инциденты. Основное внимание в данном документе уделяется организации работы группы реагирования на инциденты ИБ. В нем учитывается то, что не все организации имеют возможность содержать отдельный орган под названием Группа реагирования на инциденты. В документе определяется порядок взаимодействия различных ролей участников процессов управления инцидентами. Использование ролевого принципа позволяет наделять сотрудников организации дополнительными обязанностями в рамках процесса управления инцидентами без привязки к их должностям и служебным обязанностям.

Помимо этого в документе вводится ряд критериев, на основании которых организация может оценивать эффективность предотвращения, обработки и реагирования на инциденты ИБ, приводятся подробные описания этих процессов.[4]

Источники и виды инцидентов информационной безопасности

Источниками информации об инцидентах информационной безопасности в Межрайонной ИФНС России являются:

- факты, выявленные сотрудниками отделов информатизации, кадров и безопасности;

- результаты работы средств мониторинга информационной безопасности, аудита (внутреннего или внешнего);

- журналы и оповещения операционных систем серверов и рабочих станций, антивирусной системы, системы резервного копирования и других систем;

- факты, выявленные сотрудниками безопасности Управления ФНС;

- обращения субъектов персональных данных с указанием инцидента информационной безопасности;

- иные источники информации.

Далее, следует определить, с каким типом инцидента ИБ мы имеем дело: преднамеренным или случайным (например, являться следствием какой-либо человеческой ошибки или природных явлений), вызван техническими или нетехническими средствами. Это могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба информационным системам управления или хищение данных.

Отказ в обслуживании.

Большая категория, включающая события, которые приводят системы, сети или серверы к неспособности функционировать с прежними показателями и параметрами. Чаще всего проявляются, если пользователи в процессе авторизации получают отказ доступа. В данной группе инцидентов информационной безопасности (ИБ) выделяют несколько типов, создаваемых компьютерными и иными ресурсами: истощение и полное уничтожение ресурсов. Наиболее распространенные примеры: единовременный запуск сразу нескольких сеансов в рамках одной системы, передача данных в запрещенном формате в попытках вызвать различные нарушения или свести на «нет» их нормальную работу и т.д.

Инциденты ИБ «отказ в обслуживании», создаваемые нетехническими средствами и приводящие к утрате информации, сервиса и (или) устройств обработки информации, могут вызываться, например, следующими факторами:

- нарушениями систем физической защиты, приводящими к хищениям, преднамеренному нанесению ущерба или разрушению оборудования;

- случайным нанесением ущерба аппаратуре и (или) ее местоположению от огня или воды/наводнения;

- выходом из строя оборудования, в случае не достаточного контроля над его работоспособностью;

- экстремальными условиями окружающей среды, например высокой температурой (вследствие выхода из строя системы кондиционирования воздуха);

- неправильным функционированием или перегрузкой системы;

- неконтролируемыми изменениями в системе;

- неправильным функционированием программного или аппаратного обеспечения.[5]

Сбор информации.

Предусматриваются действия, связанные с установлением возможных, наиболее явных целей атаки и получением сведений о соответствующих сервисах. Инциденты в этой категории предполагают выполнение разведывательных мероприятий, чтобы выявить: наличие цели и ее потенциальные уязвимости. Распространенные примеры атак с использованием технических устройств - сброс записей DNS, отправление сообщений-тестов по «левым» координатам для поиска функционирующей системы, исследование объекта для идентификации, анализ открытых портов на протокол передачи файлов и т.д.

В некоторых случаях технический сбор информации расширяется и переходит в несанкционированный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкционированный доступ. Обычно это осуществляется автоматизированными средствами взлома, которые не только производят поиск уязвимости, но и автоматически пытаются использовать уязвимые системы, сервисы и (или) сети.

Инциденты, направленные на сбор информации, создаваемые нетехническими средствами, приводят к:

- прямому или косвенному раскрытию или модификации информации;

- хищению информации, хранимой информационной системе;

- нарушению учетности, например, при регистрации учетных записей;

- неправильному использованию информационных систем (например, с нарушением закона или политики организации).

Инциденты могут вызываться, например, следующими факторами:

- нарушениями физической защиты безопасности, приводящими к несанкционированному доступу к информации и хищению устройств хранения данных, содержащих значимые данные, например ключи шифрования;

- неудачно и (или) неправильно конфигурированными операционными системами по причине неконтролируемых изменений в системе или неправильным функционированием программного или аппаратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал получает доступ к информации, не имея на это разрешения.

Несанкционированный доступ.

Это остальные инциденты, которые не подходят под параметры вышеперечисленных категорий. Сюда входят несанкционированные попытки получения доступа к системе или ее неправильное использование. Типичные примеры - извлечение внутренних файлов с паролями, атаки переполнения буфера с целью получения привилегированного доступа к сети, использование уязвимостей протокола для перехвата важной информации, разрушение устройств физической защиты с последующим завладением данных и т.д.[5]

По категории критичности:

1 категория. Нарушения, имеющие признаки преступления. Инцидент может привести к значительным негативным последствиям.

2 категория. Значимые нарушения. Инцидент может привести к незначительным негативным последствиям (ущербу) для информационных систем.

3 категория. Текущие нарушения. Инцидент не может привести к негативным последствиям (ущербу) для информационных активов или репутации.

По причине возникновения:

- Случайные.

- Намеренные.

По степени нанесенного ущерба:

- Непоправимый ущерб.

- Поправимый ущерб.

- Отсутствие ущерба.

По характеру воздействия. В настоящее время наблюдается значительный рост числа фиксируемых в организациях инцидентов информационной безопасности, имеющих как внутренний, так и внешний характер.

Внутренний инцидент.

Инцидент, источником которого является нарушитель, связанный с пострадавшей стороной непосредственным образом (трудовым договором или иным способом). Среди системных событий такого типа можно выделить следующие наиболее распространенные:

- утечка конфиденциальной информации;

- неправомерный доступ к информации;

- удаление информации;

- компрометация информации;

- саботаж;

- мошенничество с помощью ИТ.;

- аномальная сетевая активность;

- аномальное поведение приложений;

- использование активов компании в личных целях или в мошеннических операциях.

Внешний инцидент.

Инцидент, источником которого является нарушитель, не связанный с пострадавшей стороной непосредственным образом. Среди системных событий такого типа можно выделить следующие наиболее распространенные:

- атаки типа «отказ в обслуживании» (DoS), в том числе распределенные (DDoS);

- перехват и подмена трафика;

- фишинг;

- размещение конфиденциальной/провокационной информации в сети Интернет;

- взлом, попытка взлома, сканирование локальной сети организации;

- сканирование сети, попытка взлома сетевых узлов;

- вирусные атаки;

- неправомерный доступ к конфиденциальной информации.

Аудит информационной безопасности

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об информационной системе, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

- аудит с целью подготовки технического задания на проектирование и разработку системы защиты информации;

- аудит после внедрения системы безопасности для оценки уровня её эффективности;

- аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;

- аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;

- аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.[6]

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

- экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;

- оценка соответствия рекомендациям Международного стандарта BS ISO/IEC 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);

- инструментальный анализ защищённости, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;

- комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 2.1).

Рис. 2.1. Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

- состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита;

- перечень информации, которая будет предоставлена Исполнителю для проведения аудита;

- список и местоположение объектов Заказчика, подлежащих аудиту;

- перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);

- модель угроз информационной безопасности, на основе которой проводится аудит;

- категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;

- порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты информационной системы.

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении информационной системы, информацию о средствах защиты, установленных в информационной системе т.п. Более подробный перечень исходных данных представлен в таблице 2.2.

Таблица 2.2. Перечень исходных данных, необходимых для проведения аудита безопасности

Тип информации

Описание состава исходных данных

1

Организационно-распорядительная документация по вопросам информационной безопасности

-политика информационной безопасности;

-руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;

-регламенты работы пользователей с информационными ресурсами.

2

Информация об аппаратном обеспечении хостов

перечень серверов, рабочих станций и коммуникационного оборудования; информация об аппаратной конфигурации серверов и рабочих станций;

информация о периферийном оборудовании;

3

Информация об общесистемном ПО

информация об операционных системах, установленных на рабочих станциях и серверах;

данные о СУБД;

4

Информация о прикладном ПО

перечень прикладного ПО общего и специального назначения;

описание функциональных задач, решаемых с помощью установленного прикладного ПО.

5

Информация об установленных средствах защиты

информация о производителе средства защиты;

конфигурационные настройки средства защиты;

схема установки средства защиты.

6

Информация о топологии

карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети;

информация об используемых типах каналов связи;

информация об используемых сетевых протоколах;

схема информационных потоков.

Сбор исходных данных может осуществляться с использованием следующих методов:

- анализ существующей организационно-технической документации, используемой в организации;

- использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости (Security Scanners), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS) и XSpider (компании Positive Technologies).

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

- уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы, такие как Web-серверы, почтовые серверы и т.д.;

- уклонение от риска путём изменения архитектуры или схемы информационных потоков, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;

- изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;

- принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты учитывается одно принципиальное ограничение - стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

- описание границ, в рамках которых был проведён аудит безопасности;

- описание структуры;

- методы и средства, которые использовались в процессе проведения аудита;

- описание выявленных уязвимостей и недостатков, включая уровень их риска;

- рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;

- предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости организации от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации. Необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.[6]

Развитие инцидента (реализация атаки)

Прежде чем начать разговор о способах выявления инцидентов информационной безопасности, определим, что же собой представляет вторжение нарушителя. Итак, инцидент представляет собой совокупность действий нарушителя, приводящих к нарушению информационной безопасности ИС. В результате успешно реализованной атаки нарушитель может, например, получить несанкционированный доступ к информации, хранящейся в ИС, нарушить работоспособность системы или исказить содержимое данных ИС. В качестве потенциальных целей атаки могут выступать серверы, рабочие станции пользователей или коммуникационное оборудование ИС.

В качестве примера давайте рассмотрим структуру атаки извне, неопределенного типа, то есть самую распространенную на сегодняшний день.

Неизвестная компьютерная атака -- это непрерывное целенаправленное несанкционированное воздействие при помощи программных или программно-аппаратных средств с такими параметрами функционирования, которые не позволяют защитным решениям его обнаружить в реальном времени. Компьютерная атака сводится к трем ключевым особенностям: непрерывности, целенаправленности и нетривиальности.

Непрерывность -- характеристика, определяющая временной интервал, в течение которого атакующий сохраняет несанкционированный доступ к ресурсу или воздействует на него. В частности, целенаправленные атаки отличаются продолжительным контролем точек присутствия в целевой информационной системе.

Целенаправленность -- характеристика, которая определяет степень ручной работы со стороны атакующего для реализации несанкционированного доступа или воздействия и учитывает индивидуальные особенности целевой инфраструктуры.

Нетривиальность для систем обнаружения атак -- это характеристика, определяющая сложность обнаружения этого класса атак защитными системами атакуемого объекта связана с целенаправленностью. Это ключевая характеристика для оценки эффективности методов и систем защиты.[7]

Любую атаку можно поделить на стадии, названия которых пришли к нам из военной науки. Каждая стадия подразумевает набор стратегий и методов для их реализации. И для каждой из стадий существуют превентивные меры и стратегии ответных действий. (Рис. 2.2)

Рис. 2.2 Жизненный цикл атаки (Развитие инцидента)

В процессе атаки злоумышленники осуществляют структурированную последовательность шагов, называемую kill chain. Первоначально kill chain использовался как военный термин для описания структуры военного вторжения. Зная последовательность действий противника, обороняющаяся сторона может выработать стратегию защиты и противостоять нападению. Впоследствии термин kill chain стал использоваться для описания компьютерных угроз. Аналогично, на основе информации об этапах компрометации ИС, сотрудники, ответственные за ИБ, могут выстраивать систему защиты ИС (Рис. 2.3).

Рис. 2.3 Жизненный цикл атаки kill chain

От того, на каком этапе kill chain была обнаружена угроза, зависит эффективность расследования и размер материального и репутационного ущерба, нанесённого атакуемой организации. Обнаружение на этапе достижения цели (позднее обнаружение) означает, что система ИБ ИС оказалась неспособна противостоять атаке и злоумышленник достиг поставленных целей. Наименьший ущерб будет нанесён в случае обнаружения на этапах Доставки или Закрепления (раннее обнаружение). [8] В таблице 2.3 приведено краткое описание каждого этапа стратегии угроз.

Таблица 2.3Краткое описание жизненных циклов атаки

Этап

Описание

1

Разведка

На этом этапе происходит сбор информации об организации, которая будет атакована, а также о её информационных активах. В частности, злоумышленник пытается установить организационную структуру компании, стек технологий, используемый в атакуемой организации, средства обеспечения ИБ, возможности использования социальной инженерии по отношению к сотрудникам (например, выявить их аккаунты в социальных сетях). Разведка может быть и активной.

...

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены