Разработка и реализация процесса управления инцидентами иб в соответствии с лучшими практиками обеспечивает следующее
Download 1.2 Mb.
|
текст лекции
- Bu sahifa navigatsiya:
- Обнаружение событий ИБ и инцидентов ИБ и оповещение о них
- Обработка событий ИБ и инцидентов ИБ
|
Пересмотр и анализ имеющихся результатов управления ИБ и анализа рисков ИБ организации. В зависимости от серьезности инцидента ИБ и степени его воздействия при оценке результатов анализа рисков ИБ и управления ИБ, возможно, придется учитывать новые угрозы ИБ и уязвимости. В результате завершения обновленного анализа может возникнуть необходимость внесения изменений в существующие или применения новых защитных мер.
Инициирование и внедрение улучшений в области ИБ, включая внедрение новых и/или обновленных защитных мер. Следуя рекомендациям этапа анализа, инициируется процесс их внедрения. Это могут быть технические (включая физические) защитные меры, которые потребуют быстрого обновления материала для проведения инструктажей с целью обеспечения осведомленности в вопросах ИБ (для пользователей и другого персонала) и выпуска рекомендаций и/или нормативных документов по ИБ. С целью определения уязвимостей и обеспечения процесса непрерывного повышения надежности системы, сервисы и/или сети организации должны регулярно анализироваться. Анализ связанных с ИБ процедур и документации может проводиться сразу после инцидента ИБ, но более вероятно, что это потребуется позднее. После инцидента ИБ необходимо обновить политики и процедуры ОИБ с учетом собранной информации и любых проблем, выявленных в процессе управления инцидентами ИБ. Долговременной целью ГРИИБ вместе с руководителем ИБ организации является распространение в организации этих обновленных вариантов политик и процедур ОИБ. Улучшение СУИИБ и ее документации. Области СУИИБ, в рамках которых возможно внесение улучшений, должны быть проанализированы, а обоснованные изменения отражены в обновленном варианте документации системы. Изменения в процессах, процедурах и в формах отчетов СУИИБ должны быть тщательно проверены и протестированы перед их применением на практике. Другие улучшения, например изменения в политиках, стандартах и процедурах ИБ, изменения в конфигурациях ПО и АО, а также рекомендации, утвержденные уполномоченным лицом организации, передаются на исполнение ответственным лицам. Обнаружение событий ИБ и инцидентов ИБ и оповещение о них События ИБ обнаруживаются непосредственно лицом/лицами, заметившими что-либо, вызывающее беспокойство и имеющее технический, физический или процедурный характер [3-5, 7]. Обнаружение может осуществляться, например, детекторами огня/дыма или с помощью охранной сигнализации путем передачи сигналов тревоги в заранее определенные места для дальнейшего осуществления человеком заранее спланированных действий. Технические события ИБ обнаруживаются автоматически, например, это могут быть сигналы тревоги, производимые средствами анализа записей журналов регистрации, МЭ, средствами обнаружения вторжений (СОВ), антивирусными программами, в каждом случае стимулируемые заранее установленными параметрами. Разные категории пользователей осуществляют обнаружение инцидентов ИБ и событий ИБ разными способами. Так, специалисты подразделения ИБ могут обнаружить события ИБ и инциденты ИБ следующим образом: получая сообщения от средств защиты информации (СЗИ); изучая результаты проведения анализа защищенности активов организации с использованием инструментальных средств; анализируя журналы регистрации событий серверов, активного сетевого оборудования, прикладного ПО, БД и т. д.; просматривая данные систем видеонаблюдения и контроля доступа ит. д. Сотрудники подразделений, ответственных за поддержание информационной инфраструктуры, обнаруживают инциденты ИБ путем осуществления регулярного мониторинга уязвимостей и угроз ИБ для ИС, за которые они ответственны. Основными источниками сведений для администраторов ИС являются: сайты и новостные рассылки производителей ПО; новостные сайты и рассылки третьих сторон; БД уязвимостей; сообщения о доступных обновлениях ПО; другие уведомления об уязвимостях, обновлениях или угрозах ИБ. Рядовые пользователи осуществляют обнаружение инцидентов ИБ посредством наблюдения за работой систем, сервисов и сетей, с которыми они работают, а также за работой других пользователей и служб организации. После того как инцидент ИБ (или событие ИБ, похожее на инцидент ИБ) был обнаружен, о нем сообщается по установленным каналам сотрудникам, ответственным за прием и обработку сообщений об инцидентах ИБ. Независимо от причины обнаружения события ИБ, лицо, заметившее нечто необычное или оповещенное автоматическими средствами, несет ответственность за инициирование процесса обнаружения и оповещения. Таким лицом может быть любой представитель персонала организации, работающий постоянно или по контракту. Для привлечения внимания к возникшей ситуации, прежде всего ГОЭ и руководства, он должен следовать процедурам и использовать форму отчета о событиях ИБ, определенную СУИИБ. Следовательно, важно, чтобы весь персонал организации был ознакомлен с рекомендациями, относящимися к оповещению о возможных событиях ИБ, включая формы отчета, имел доступ к ним и знал сотрудников, которых необходимо оповещать о каждом случае появления события ИБ, что способствует функционированию СУИИБ. Обработка конкретного события ИБ зависит от того, что оно собой представляет, а также от последствий и воздействий, к которым это событие может привести. Принятие решения о способе обработки события ИБ для многих работников организации выходит за пределы их компетенции. Поэтому информирующий о событии ИБ сотрудник должен заполнить форму отчета таким образом, чтобы в ней было как можно больше информации, доступной ему в тот момент. При необходимости он связывается со своим руководителем. Желательно, чтобы форма отчета существовала в электронном виде (например, была прислана по электронной почте или представлена на веб-сайте организации) и ее можно было передать защищенным образом в надлежащую ГОЭ (работающую, по возможности, 24 ч в сутки семь дней в неделю), а копию - руководителю ГРИИБ. Для отчета о событии ИБ важны не только точность содержания, но и своевременность заполнения. Уточнение содержания отчета на является достаточной причиной для задержки представления формы. Если сообщающий сотрудник не уверен в данных, заносимых в какое-либо поле, то оно помечается особым образом, а уточнение присылается несколько позже. Также важно понимать, что некоторые механизмы электронного оповещения (например, электронная почта) сами являются частыми целями атаки. Когда становится очевидным, что событие ИБ будет переведено в категорию инцидента ИБ, особенно значительного, и при наличии реальных проблем или при существовании мнения о наличии проблем с установленными по умолчанию механизмами электронного оповещения (например, через электронную почту), включая возможные атаки на систему и считывание отчета несанкционированными лицами, начиная с ранних стадий исследования такого события ИБ используются альтернативные средства связи - нарочные, телефон, текстовые сообщения. Хотя в большинстве случаев ГОЭ сообщает о событии ИБ для его дальнейшей обработки соответствующими лицами, в ряде случаев событие ИБ с помощью местного руководства можно обработать на месте происшествия. Иногда событие ИБ можно быстро распознать как ложную тревогу или успешно разрешить. В таких случаях форму отчета необходимо заполнить и отправить местному руководству, а также ГОЭ и ГРИИБ для ее регистрации в БДСИИБ. Тогда лицо, сообщающее о закрытии события ИБ, предоставляет информацию, требуемую для заполнения формы отчета об инциденте ИБ. Далее эта форма заполняется и отправляется по инстанции. Обработка событий ИБ и инцидентов ИБ Как отмечается в стандартах [3-5, 7], обработка сообщений - важный элемент управления инцидентами ИБ, включающий в себя сортировку, определение типа события ИБ, типа и степени серьезности инцидента ИБ (если событие ИБ признается таковым) и т. д. Именно посредством эффективной реализации данного процесса можно понять, что именно происходит в организации и своевременно оценить потенциальное воздействие события ИБ на бизнес организации. Ответственный сотрудник, принявший сообщение о событии ИБ, производит его первоначальную оценку и определяет, является ли оно сообщением о событии ИБ или инциденте ИБ, сообщением об уязвимости или не относится к ИБ вовсе. Оценка производится на основе полученных сведений о событии ИБ, экспертного мнения принявшего сообщение специалиста и принятых в организации классификации инцидентов ИБ и шкале их серьезности. Обычно инциденты ИБ делятся по типам, например инциденты физической безопасности, программнотехнические инциденты и т. д. Помимо этого вводится классификация по степени серьезности, чтобы, прежде всего, оценить общую ситуацию, а также определить временные рамки и приоритеты реагирования на инциденты ИБ. Если полученная информация не является событием ИБ, регистрирующий данное сообщение сотрудник, исходя из анализа сообщения, передает эту информацию на вход в другие процессы управления, которые кажутся ему наиболее подходящими. Если полученная информация является просто событием ИБ (а не инцидентом ИБ), регистрирующий данное сообщение сотрудник фиксирует его в надлежащем виде. Тогда дальнейшая работа по событию ИБ в рамках процесса управления инцидентами ИБ не требуется. В случае отсутствия возможности возложить задачу приема и первичной обработки инцидентов ИБ на сотрудников подразделений ИБ для выполнения этой деятельности привлекаются сотрудники технической поддержки или даже те, кто не обладает глубокими знаниями в области ИБ. Однако тогда потребуется детальная проработка классификации инцидентов ИБ, а также разработка подробных памяток с примерами. Последовательность операций обработки событий и инцидентов ИБ, реализуемых на этапе процесса управления инцидентами ИБ, представлена на рис. 2.6. Первая оценка и предварительное решение ПО СОБЫТИЮ ИБ Согласно разработанной в стандартах [3-5] последовательности совершаемых в связи с обнаружением события ИБ действий принимающее в ГОЭ СУИИБ сообщения лицо подтверждает получение заполненной формы отчета, вводит ее в БДСИИБ и анализирует. Далее должностное лицо получает любые уточнения от сообщившего о событии ИБ и собирает другую требуемую дополнительную доступную информацию как от сообщившего о событии, так и из любого другого источника. Затем представитель ГОЭ проводит оценку для определения, подходит ли это событие под категорию инцидента ИБ или является ложным. Если событие ИБ определяется как ложное, заполняется форма отчета и она передается ГРИИБ для записи в БД и дальнейшего анализа, а также для создания копии для сообщившего о событии лица и его/ее местного руководителя. UI Download 1.2 Mb. Do'stlaringiz bilan baham: 
|