Разработка и реализация процесса управления инцидентами иб в со­ответствии с лучшими практиками обеспечивает следующее


Download 1.2 Mb.
bet14/43
Sana30.03.2023
Hajmi1.2 Mb.
#1309469
1   ...   10   11   12   13   14   15   16   17   ...   43
Bog'liq
текст лекции

Рис. 2.6. Последовательность обработки событий и инцидентов ИБ


Собранные на этом этапе информация и другие свидетельства могут потребоваться в будущем при дисциплинарном или судебном разбира­тельстве. Лицо/лица, выполняющие задачи сбора и оценки информации, должны хорошо знать требования к сбору и сохранению свидетельств инцидентов ИБ.


Дополнительно к дате(ам) и времени действий необходимо полно­стью документировать следующее:

  • проведенные мероприятия (включая использованные средства) и их цели;

  • место хранения свидетельства наличия события ИБ;

  • способ архивирования свидетельства (если это уместно);

  • способ верификации свидетельства (если это необходимо);

  • детали хранения материалов и последующего доступа к ним.

Если событие ИБ определено как вероятный инцидент ИБ, а сотруд­ник ГОЭ имеет соответствующий уровень компетентности, то прово­дится его дальнейшая оценка. В результате могут потребоваться кор­ректирующие действия, например идентификация дополнительных «аварийных» защитных мер и обращение за помощью в их реализации к соответствующему лицу.
Событие ИБ может быть классифицировано по принятой в организа­ции шкале серьезности как инцидент ИБ, причем значительный. Об этом информируется непосредственно руководителя ГРИИБ. Может по­требоваться объявление «кризисной ситуации», и, как следствие, уве­домление руководителя ОНБ о возможной активизации плана ОНБ с одновременным информированием руководитель ГРИИБ и высшего ру­ководства. Однако наиболее вероятна ситуация передачи инцидента ИБ непосредственно в ГРИИБ для дальнейшей оценки и выполнения зара­нее запланированных действий.
Независимо от того, каким будет следующий шаг, сотрудник ГОЭ заполняет форму отчета по возможности наиболее подробно. Эта форма содержит информацию в описательном виде и, насколько это возможно, характеризует следующее:

  • что представляет собой инцидент ИБ;

  • что явилось его причиной, чем или кем он был вызван;

  • на что он влияет или может повлиять;

  • фактическое или потенциальное воздействие (ущерб) инцидента ИБ на бизнес организации;

  • указание на вероятную значительность/незначительность инцидента ИБ (по шкале серьезности, принятой в организации);

  • как инцидент ИБ обрабатывался до этого времени и соответствую­щая оценка правильности и эффективности действий по реагирова­нию на инцидент ИБ.

Таким образом, материалы по инциденту ИБ, как правило, включают в себя:

  • перечень всех активов организации, затронутых в инциденте ИБ;

  • угрозы ИБ, реализованные против активов организации, и уязвимо­сти, позволившие реализовать данные угрозы ИБ;

  • предполагаемые источники угроз ИБ;

  • действия и мотивация злоумышленника;

  • используемые для защиты затронутых активов СЗИ;

  • действия, предпринятые по реагированию на инцидент ИБ.

В первую очередь определяется, какое последствие может быть при потенциальном или фактическом негативном воздействии инцидента ИБ на бизнес организации в результате:

  • несанкционированного раскрытия информации;

  • несанкционированной модификации информации;

  • отказа от имеющейся информации;

  • недоступности информации и/или сервиса;

  • уничтожения информации и/или сервиса.

Примеры последствий:

  • финансовые убытки/прерывание бизнес-операций;

  • ущерб коммерческим и экономическим интересам;

  • ущерб информации, содержащей персональные данные;

  • нарушение правовых и нормативных обязательств;

  • сбои операций по управлению и бизнес-операций;

  • утрата престижа организации.

Как показывают лучшие практики в данной области, правильно про­веденная оценка инцидента ИБ предоставляет следующие результаты: ■ формируется заключение о защищенности затронутых активов, а также о причинах возникновения инцидента ИБ;

  • определяется эффективность процесса реагирования на инциденты ИБ;

  • оценивается правильность и своевременность действий и решений сотрудников, ответственных за реагирование на инциденты ИБ;

  • составляется заключение об ущербе, нанесенном инцидентом ИБ, включая материальный ущерб, ущерб репутации, а также затраты на восстановление работоспособности активов, вовлеченных в инци­дент ИБ, в полном объеме;

  • формируется заключение об эффективности и правильности дейст­вий сотрудников, ответственных за активы, их администрирование и т. д., а также определяется, насколько точно выполнялись инструк­ции и предписания;

  • вырабатываются рекомендации по предотвращению инцидентов ИБ в будущем и совершенствованию процедуры реагирования на инци­денты ИБ.

Для событий ИБ, отнесенных к инцидентам ИБ, используются соот­ветствующие рекомендации по категорированию потенциальных или фактических воздействий для внесения их в отчет по инцидентам ИБ.
Если инцидент ИБ был разрешен, то отчет содержит детали пред­принятых защитных мер (например, для предотвращения повторного появления подобного инцидента ИБ) и извлеченных уроков.
После наиболее подробного, по мере возможности, заполнения фор­ма отчета представляется ГРИИБ для ввода в БДСИИБ и последующего анализа.
Если расследование проводится больше недели, то обычно составля­ется промежуточный отчет.
Сотрудник ГОЭ, оценивающий инцидент ИБ на основе руководств, содержащихся в документации СУИИБ, должен быть осведомлен о сле­дующем:

  • когда и кому необходимо направлять материалы об инциденте ИБ;

  • что при осуществлении всех действий, выполняемых ГОЭ, необ­ходимо выполнять документированные процедуры контроля из­менений.

При наличии проблем или мнения о том, что существуют проблемы с установленными по умолчанию механизмами электронного оповеще­ния (например, с электронной почтой), включая случаи атаки на ИС и считывание несанкционированными лицами отчета об инциденте ИБ, применяются альтернативные средства связи - нарочные, телефон, тек­стовые сообщения, а также курьеры. Эти средства используются, начи­ная с ранних стадий расследования, когда становится очевидным, что событие ИБ будет переведено в категорию инцидента ИБ, особенно то­го, который считается значительным.
2.6.2. Вторая оценка и подтверждение инцидента ИБ
Вторая оценка и подтверждение инцидента ИБ или какое-либо дру­гое решение относительно того, надо ли отнести событие ИБ к инци­денту ИБ, входят в обязанности ГРИИБ, что установлено в стандартах [3-5, 7].
Принимающий отчеты сотрудник ГРИИБ осуществляет следующие действия:

  • подтверждает получение формы отчета ГОЭ;

  • вводит эту форму в БДСИИБ;

  • обращается за уточнениями к ГОЭ;

  • анализирует содержание отчета;

  • собирает дополнительную необходимую информацию о событии ИБ (если она существует) от ГОЭ, заполнившего отчетную форму о со­бытии ИБ лица, или из какого-либо иного источника.

Если все еще есть какая-либо неопределенность относительно аутен­тичности инцидента ИБ или полноты полученной информации, то со­трудник ГРИИБ проводит вторую оценку для определения реальности или ложности инцидента ИБ.
Если инцидент ИБ определен как ложный, заполняется отчет о собы­тии ИБ, он добавляется в БДСИИБ и передается руководителю ГРИИБ. Копии отчета передаются ГОЭ, сообщившему о событии лицу и его/ее местному руководителю.
Если инцидент ИБ определен как реальный, то сотрудник ГРИИБ, при необходимости привлекая коллег, проводит дальнейшую оценку, целью которой является максимально быстрое подтверждение сле­дующего:

  • того, что представляет собой инцидент ИБ, что явилось его причи­ной, чем или кем он был вызван, на что он повлиял или мог повли­ять, фактическое или потенциальное воздействие на бизнес органи­зации, указание на вероятную значительность/незначительность ин­цидента ИБ (по принятой в организации шкале серьезности);

  • предумышленной технической атаки нарушителя на некоторую сис­тему, сервис и/или сеть, например: глубины проникновения наруши­теля и степени полученного контроля над системой, сервисом и/или сетью; данных об информации, к которой он получил доступ, были ли они скопированы, изменены или удалены; о том, какое ПО было скопировано, изменено или разрушено;

  • предумышленной физической атаки нарушителя на любую ИС аппа­ратной части, сервиса и/или на сеть и/или на физическое месторас­положение, например: масштабы прямых и косвенных последствий нанесенного физического ущерба (при отсутствии физической защи­ты доступа); прямых и косвенных последствий в отношении инци­дентов ИБ, косвенно созданных действиями нарушителя (например, стал ли физический доступ возможным по причине пожара, является ли уязвимость ИС следствием неправильного функционирования ПО, линии связи или ошибки оператора);

  • используемого до настоящего времени способа обработки инци­дента ИБ.

При анализе потенциального или реального негативного воздействия необходимо подтвердить, какие последствия имели место на бизнес орга­низации вследствие инцидента ИБ:

  • несанкционированного раскрытия информации;

  • несанкционированной модификации информации;

  • отказа от имеющейся информации;

  • недоступности информации и/или сервиса;

  • разрушения информации и/или сервиса.

Примеры категорий последствий приведены в разд. 2.6.1.
Для отнесения потенциальных или фактических воздействий к той или иной категории используются соответствующие принятые в органи­зации рекомендации, которые классифицируют их как инцидент ИБ, и вносятся в отчет по инциденту ИБ.
2.7. Реагирование на инциденты ИБ
После того как инцидент ИБ был обнаружен, зарегистрирован, о нем было сообщено ответственным сотрудникам и он был классифицирован, все данные об инциденте ИБ передаются сотрудникам, ответственным за ликвидацию/разрешение инцидента ИБ в соответствии с типом инци­дента ИБ, для ввода в качестве входных данных в подпроцесс реагиро­вания на инциденты ИБ. В рамках этого подпроцесса и производится непосредственное разрешение и закрытие инцидента ИБ. Как отмечает­ся в стандартах [3-5, 7], такой подпроцесс является одним из самых сложных и «объемных» в управлении инцидентами ИБ и требует обяза­тельного предварительного планирования. Он охватывает последова­тельность действий по реагированию на инцидент ИБ, начиная с назна­чения ответственного за разрешение инцидента ИБ, планирования всей деятельности по реагированию на инцидент ИБ, и заканчивая конкрет­ными действиями по реагированию на инцидент ИБ.
При планировании действий по реагированию важно, что предпри­нимаемые действия существенно отличаются в зависимости от степени серьезности инцидента ИБ и его типа.
Инциденты ИБ самой низкой степени серьезности, как правило, не требуют сложных решений по реагированию (если все же появляется такая необходимость, то, возможно, вследствие неверной классифика­ции инцидента ИБ) и все необходимые действия выполняются, как пра­вило, одним специалистом и не требуют сбора ГРИИБ для реагирования на него.
При регистрации инцидентов ИБ высокой степени серьезности осу­ществляется информирование владельцев активов и владельцев бизнес- процессов, вовлеченных в инцидент ИБ, непосредственно после назна­чения ответственных за его разрешение и требуется созыв ГРИИБ для реагирования на него.
В рамках спланированных действий по реагированию на инциденты ИБ высоких степеней серьезности возможны два варианта развития со­бытий:

  1. пресечение НСД нарушителя или устранение инцидента ИБ (включая, например, временную остановку работы отдельных систем и сервисов);

  2. мониторинг действий нарушителя или хода инцидента ИБ без преры­вания инцидента, что позволяет собрать необходимые доказательства и факты для привлечения возможного нарушителя к ответственности.

По окончании действий по реагированию на инцидент ИБ независи­мо от его степени серьезности осуществляется либо закрытие инцидента ИБ, либо дальнейшая его обработка в рамках подпроцесса анализа про­изошедшего инцидента ИБ.
На всех стадиях реагирования на инцидент ИБ количество задейст­вованного персонала должно быть достаточным.

      1. Немедленное реагирование на инцидент ИБ

В большинстве случаев после подтверждения инцидента ИБ член ГРИИБ выполняет действия по немедленному реагированию на инци­дент ИБ, регистрации подробностей в форме отчета об инциденте ИБ, его введению в БДСИИБ и уведомлению сотрудников организации о требуемых в связи с инцидентом ИБ действиях [3-5].
Результатом данных действий является принятие аварийных защит­ных мер (например, отключение/закрытие атакованной системы, серви­са и/или сети (АтС) по предварительному согласованию с соответст­вующим руководством ИТ-подразделения и/или высшим руководством организации) и/или определение дополнительных постоянных защит­ных мер и уведомление сотрудников организации о принятии этих мер.
Если это еще по каким-то причинам не было сделано ранее, то по принятой в организации оценочной шкале определяется серьезность инцидента ИБ и, если инцидент ИБ достаточно серьезен, то об этом не­посредственно уведомляется соответствующее вышестоящее руково­дство. Если очевидна необходимость объявления кризисной ситуации, то отвечающий за ОНБ руководитель оповещается об активизации пла­на ОНБ, причем при этом информируется еще руководитель ГРИИБ и высшее руководство организации.
Примером действий, связанных с немедленной реакцией в случае намеренной атаки на систему, сервис и/или сеть, является оставление их подключенными к Интернету и другим сетям с целью:

  • обеспечения правильного функционирования критически важных бизнес-приложений;

  • сбора наиболее полной информации о нарушителе при условии, если он/она не знает, что находится под наблюдением.

Однако при принятии решения по реагированию нужно учитывать, что нарушитель может:

  • почувствовать, что находится под наблюдением, и предпринять дей­ствия, наносящие дальнейший ущерб АтС и данным;

  • разрушить информацию, которая способствует его отслеживанию.

Как показывают лучшие практики, важно, чтобы при принятии ре­шения отключить АтС для этого имелась техническая возможность сде­лать это быстро и надежно. Однако для предотвращения такого отклю­чения не имеющим на это право персоналом необходимо применять со­ответствующие средства аутентификации.
Как правило, более приоритетной задачей является предотвращение повторного инцидента ИБ. Поэтому выгоды от выявления нарушителя, обнаружившего подлежащую устранению уязвимость, не всегда оправ­дывают затраченные на это усилия. Это особенно справедливо, если на­рушитель на самом деле не является злоумышленником и вообще не нанес или не причинил никакого ущерба.
Для большинства инцидентов ИБ, например преднамеренных атак, обязательно выявляется их источник.
На время внедрения защитных мер может потребоваться отключение системы, сервиса и/или сети или изоляция соответствующих их частей после получения предварительного согласия уполномоченного руково­дства ИТ и/или высшего руководителя. Если уязвимость системы, сер­виса и/или сети окажется существенной или критически важной, то на это уйдет больше времени.
Другим действием по реагированию является активизация методов наблюдения, например с помощью обманных систем-приманок (англ. honey pots), что осуществляется на основе процедур, документирован­ных для СУИИБ.
Информация, которая могла быть повреждена во время инцидента ИБ, обязательно сверяется членом ГРИИБ с резервными записями на предмет выявления изменения, стирания или модификации. Также может потребо­ваться проверка целостности журналов регистрации, поскольку с целью со­крытия своих следов злоумышленник мог подделать их.
Независимо от последующих действий, сотрудник ГРИИБ обновляет отчет об инциденте ИБ с максимальной детализацией, добавляет его в БДСИИБ и, при необходимости, оповещает об этом руководителя ГРИИБ и других лиц. На этом этапе обновляется следующая информация: ■ что представляет собой инцидент ИБ;

  • что явилось его причиной, чем или кем он был вызван;

  • на что он воздействует или мог воздействовать;

  • фактическое или потенциальное воздействие инцидента ИБ на биз­нес организации;

  • изменения в указании на вероятную значительность или незначи­тельность инцидента ИБ (по шкале серьезности, принятой в органи­зации);

  • как он обрабатывался до этого времени.

Если инцидент ИБ разрешен, то в отчет вносятся подробности при­мененных защитных мер и извлеченных уроков (например, дополни­тельные защитные меры, которые следует использовать для предотвра­щения повторного появления данного или подобных ему инцидентов ИБ). Обновленный отчет добавляется в БДСИИБ, о чем уведомляются руководитель ГРИИБ и другие лица по их требованию.
В стандартах [3-5] отмечается, что ГРИИБ отвечает за обеспечение защищенного хранения информации об инциденте ИБ для возможного проведения дальнейшей экспертизы и ее использования судом в качест­ве доказательства. Например, для связанного с ИТ инцидента ИБ после первоначального его обнаружения все временные (изменяющиеся со временем) данные до отключения пораженной системы, сервиса и/или сети собираются для проведения судебного расследования. Предназна­ченная для сбора информация содержит сведения о любых функциони­рующих процессах и хранимых в памяти, кэше и регистрах данных. При этом на случай судебного разбирательства необходимо осуществить следующие действия:

  • в зависимости от характера инцидента ИБ провести полное дублиро­вание пораженной системы, сервиса и/или сети или резервное копи­рование журналов и важных файлов;

  • собрать и проанализировать журналы соседних систем, сервисов и/или сетей, например, маршрутизаторов и МЭ;

  • всю собранную информацию хранить на носителях только для чтения;

  • при выполнении дублирования обеспечить присутствие не менее двух понятых для утверждения и подтверждения того, что все дейст­вия были выполнены согласно действующему нормативному зако­нодательству;

  • документировать и хранить вместе с исходными носителями специ­фикации и описания сервисных команд, которые используются для дублирования.

Также во время обновления информации об инцидентах ИБ член ГРИИБ является ответственным, если это возможно, за возвращение в безопасное рабочее состояние пораженных устройств (имеющих или не имеющих отношение к ИТ) для исключения атак на эти устройства.
При определении членом ГРИИБ реальности инцидента ИБ его до­полнительными действиями могут быть проведение правовой эксперти­зы и информирование лиц, ответственных за передачу информации внутри организации и за ее пределы, о фактах и предложениях, форме и получателях передаваемой информации.
После как можно более подробного заполнения отчет об инциденте ИБ вводится в БДСИИБ и передается руководителю ГРИИБ.
Если время расследования превышает время, ранее согласованное в организации, то составляется промежуточный отчет.
Оценивающий инцидент ИБ на основании содержащегося в доку­ментации СУИИБ руководства член ГРИИБ должен знать следующее:

  • когда и кому необходимо направлять материалы;

  • что при осуществлении какой-либо деятельности ГРИИБ строго сле­дует документированным процедурам контроля изменений.

При наличии проблем или если считается, что они существуют в от­ношении обычных средств связи (например, с электронной почтой), включая случаи, когда система, возможно, подвергается атаке, и обос­нованно сделан вывод, что инцидент ИБ является значительным, и/или определена кризисная ситуация, то в первую очередь сообщают об ин­циденте ИБ ответственным лицам лично по телефону или текстовым сообщением.
При необходимости руководитель ГРИИБ вместе с руководителем ИБ и соответствующим руководителем организации (членом совета ди­ректоров) связываются со всеми отделами, вовлеченными в инцидент ИБ как внутри организации, так и за ее пределами.
Для осуществления быстрой и эффективной связи заранее устанав­ливается надежный метод передачи информации, полностью независи­мый от системы, сервиса или сети, на которые может воздействовать инцидент ИБ. Такие меры предосторожности включают в себя назначе­ние резервных консультантов или представителей организации на слу­чай отсутствия кого-либо из ее основных руководителей.

      1. Контролируемость инцидента ИБ

Как оговорено в стандартах [3-5], после инициирования членом ГРИИБ немедленного реагирования в виде соответствующей правовой экспертизы и действий по передаче информации сразу же определяют, находится ли инцидент ИБ под контролем. При необходимости член ГРИИБ консультируется по этому вопросу с коллегами, руководителем ГРИИБ и/или другими сотрудниками организации.
Если подтверждается, что инцидент ИБ находится под контролем, то член ГРИИБ переходит к другим дальнейшим необходимым действиям по реагированию, проведению правовой экспертизы и передаче инфор­мации с целью ликвидации инцидента ИБ и восстановления нормальной работы АтС.
Если определено, что инцидент ИБ не находится под контролем, то член ГРИИБ активизирует антикризисные действия.

      1. Последующее реагирование на инцидент ИБ

Установив, что инцидент ИБ находится под контролем и не является объектом антикризисной ситуации, член ГРИИБ, согласно предписан­ным в стандартах [3-5] действиям, определяет необходимость и вероят­ные способы дальнейшего реагирования в отношении данного инциден­та ИБ. Реагирование может включать в себя восстановление поражен­ных систем(ы), сервисов(а) и/или сетей(и) до нормального рабочего состояния. Затем член ГРИИБ заносит детали в форму отчета инцидента ИБ и БДСИИБ, а также информирует об этом лиц, ответственных за проведение данных действий. Подробности успешного завершения этих действий вводятся в форму отчета этого инцидента ИБ и БДСИИБ, а за­тем инцидент закрывается, о чем информируется соответствующий пер­сонал.
Некоторые виды реагирования направлены на предотвращение по­вторения подобного инцидента ИБ. Например, если выявлено, что при­чиной инцидента ИБ является отказ АО или ПО из-за отсутствия уста­новленных обновлений («патчей» - от англ, patches), то в этом случае немедленно связываются с его поставщиком. Если причиной инцидента ИБ было наличие известной уязвимости ИТ, то она устраняется соот­ветствующим обновлением АО или ПО. Также решаются любые про­блемы, связанные с конфигурацией ИТ и выявленным инцидентом ИБ. Другими мерами уменьшения возможности повторения или появления подобного инцидента ИБ могут быть изменение системных паролей и отключение неиспользуемых сервисов.
Деятельность по реагированию включает в себя и мониторинг сис­тем, сервисов и/или сетей. После оценки инцидента ИБ может оказаться целесообразным ввести дополнительные меры мониторинга для более результативного содействия обнаружению необычных или подозри­тельных событий, которые могут быть признаками инцидентов ИБ. Та­кой мониторинг глубже раскрывает суть инцидента ИБ и идентифици­рует другие системы, сервисы и/или сети, которые были скомпромети­рованы.
Иногда требуется активизация специальных документированных в соответствующем плане ОНБ видов реагирования, применимых к инци­дентам ИБ как связанным, так и не связанным с ИТ. Эти виды реагиро­вания должны предусматриваться для всех аспектов бизнеса, связанных не только непосредственно с ИТ, но также и с поддержкой ключевых функций бизнеса и последующим его восстановлением с помощью сети голосовой связи, физических устройств и решения кадровых вопросов.
Еще одной формой реагирования является восстановление АтС до нормального рабочего состояния, которое осуществляется установкой обновлений для устранения известных уязвимостей или отключением скомпрометированных элементов АтС. Если вследствие уничтожения журналов регистрации во время инцидента ИБ исчезает вся информация об инциденте ИБ, то может потребоваться полная перестройка системы, сервиса и/или сети и активизация соответствующей части плана ОНБ.
Если инцидент ИБ не связан с ИТ, например спровоцирован пожа­ром, наводнением или взрывом, то выполняются соответствующие дей­ствия по восстановлению, документированные в плане ОНБ.

      1. Антикризисные действия

В стандартах [3-5] особо оговорено, что при определении контроли­руемости инцидента ИБ ГРИИБ может прийти к выводу, что он не на­ходится под контролем и в связи с этим должен обрабатываться в ре­жиме антикризисных действий согласно предварительно разработанно­му плану.
Наиболее подходящие варианты обработки всех возможных типов инцидентов ИБ, влияющих на доступность/разрушение и, в некоторой степени, на целостность системы, сервиса и/или сети, определяются в стратегии УНБ организации. Эти варианты непосредственно связаны с приоритетами бизнеса организации и соответствующими временными рамками восстановления ее бизнес-процессов, и, следовательно, с мак­симально допустимым временем простоя для ИТ, голосовой связи, пер­сонала и размещения.
В плане антикризисных действий определяется следующее:

  • предупреждающие и поддерживающие ОНБ меры и устойчивость к внешним изменениям;

  • организационная структура и обязанности, связанные с управлением планирования ОНБ;

  • структура и основные положения плана/планов ОНБ.

План/планы ОНБ и защитные меры для обеспечения активизации этого(их) плана(ов), проверенные и признанные подходящими, создают основу для последующей своевременной реализации соответствующих антикризисных действий.
Другие типы возможных антикризисных действий включают (но не ограничиваются) активизацию следующих средств и работ:

  • средств пожаротушения и процедур эвакуации;

  • средств предотвращения наводнения и процедур эвакуации;

  • средств предотвращения взрыва бомбы и соответствующих проце­дур эвакуации;

  • работы специалистов по расследованию фактов мошенничества в ИС;

  • работы специалистов по расследованию технических атак и т. д.

2.7.5. Правовая экспертиза инцидентов ИБ
Как рекомендуют стандарты [3-5], если в ходе предыдущей оценки для доказательства значительности инцидента ИБ была определена не­обходимость проведения правовой экспертизы, то ее осуществляет ГРИИБ. Для более тщательной экспертизы применяются следственные методы и средства, основанные на ИТ и поддерживаемые документиро­ванными процедурами, не использованные ранее в процессе управления инцидентами ИБ. Такую экспертизу проводят структурированными ме­тодами и определяют, что может использоваться в качестве доказатель­ства при внутренних дисциплинарных разбирательствах или в ходе су­дебных процессов.
Для проведения правовой экспертизы применяются как технические (например, средства аудита, средства восстановления свидетельств), так и программные средства, защищенные служебные помещения, привле­кается соответствующий персонал.
Каждое действие в рамках проведения правовой экспертизы полно­стью документируется, включая представление соответствующих фото­графий, составление отчетов об анализе результатов аудита, проверку журналов восстановления данных и т. д. Квалификация лица или лиц, проводящих экспертизу, фиксируется, как и результаты квалификаци­онного тестирования. Обязательно документируется вся информация, способная доказать объективность и логический характер проведения экспертизы. Все записи о самих инцидентах ИБ, о деятельности во вре­мя экспертизы и т. п., а также соответствующие носители информации хранятся в физически защищенной среде и контролируются необходи­мыми процедурами, что призвано предотвратить доступ к ним неавто­ризованных лиц с целью модификации записей или блокирования дос­тупа к ним.
В стандартах [3-5] сформулировано требование, согласно которому средства экспертизы, основанные на ИТ, должны точно соответствовать правовым нормам, что позволит исключить возможность оспаривания их использования при судебном расследовании, и, в то же время, они должны быть современными - в них должны учитываться все текущие изменения в ИТ. В физической среде ГРИИБ обязана создать все необ­ходимые условия, гарантирующие неоспоримость обработки свиде­тельств.
Собранные свидетельства анализируются в контексте многообразия возможных инцидентов ИБ, включая, например, мошенничество, кражу и акты вандализма. Поэтому ГРИИБ в ее работе требуются различные основанные на ИТ средства и вспомогательные процедуры по извлече­нию информации, скрытой в АтС, включая ту, которая на первый взгляд кажется удаленной, зашифрованной или поврежденной. Такие средства должны быть специализированными и учитывать специфику известных типов инцидентов ИБ (конечно, это фиксируется в процедурах ГРИИБ).
В современных условиях объектами правовой экспертизы часто яв­ляются сложные среды с сетевой структурой, в которой расследование затрагивает всю операционную среду, включая множество серверов (файловый, печати, связи, электронной почты и т. д.) и средства удален­ного доступа. Для их правовой экспертизы существует много инстру­ментов, таких как средства контекстного поиска, ПО формирования изображений и пакеты программ.
Главными целями правовой экспертизы являются получение и со­хранение собранных свидетельств инцидентов ИБ в неприкосновенно­сти, их проверка на неоспоримость и поддержка целостности носителей информации, что обеспечит уверенность в проведении всей аналитиче­ской работы с точными копиями исходных данных.
Мировой опыт проведения правовой экспертизы показывает, что общий процесс включает выполнение следующих видов деятельности:

  • обеспечение в процессе проведения экспертизы защиты АтС от бло­кировки доступа к ней, внесения в нее изменений или иной компро­метации, включая введение вирусов, и обеспечение отсутствия или минимальности воздействия на ее нормальное функционирование;

  • назначение приоритетов сбора доказательств, то есть рассмотрение их от наиболее к наименее изменчивым (что в значительной степени зависит от характера инцидента ИБ);

  • идентификация всех необходимых для сбора файлов в АтС, включая нормальные файлы, файлы, кажущиеся удаленными, но не являю­щиеся таковыми, файлы, защищенные паролем или иным образом, и зашифрованные файлы;

  • восстановление как можно большего числа стертых файлов и других данных;

  • раскрытие IP-адресов, имен хостов, сетевых маршрутов и информа­ции веб-сайтов;

  • извлечение содержимого скрытых, временных файлов и файлов под­качки, использованных как ПО ОС, так и как прикладным ПО;

  • доступ к содержимому ПО защищенных или зашифрованных файлов (если это не запрещено законодательством);

  • анализ всех возможно значимых данных, найденных в специальных (обычно, недоступных) областях памяти на дисках;

  • анализ времени создания файлов, доступа к ним и их изменения;

  • анализ журналов регистрации АтС и приложений;

  • определение деятельности пользователей и/или приложений в АтС;

  • анализ электронной почты на наличие исходной информации и ее содержания;

  • проведение проверок целостности файлов для обнаружения файлов, содержащих «Троянского коня» и файлов, изначально отсутство­вавших в системе;

  • по возможности, анализ физических доказательств ущерба (напри­мер, отпечатков пальцев), результатов видеонаблюдения, журналов регистрации системы сигнализации, журналов регистрации доступа по пропускам и опроса свидетелей;

  • обработка и хранение собранных потенциальных свидетельств таким образом, чтобы избежать их повреждения, приведения в негодность и предотвращения просмотра конфиденциальных материалов неав­торизованными лицами. Следует подчеркнуть, что сбор доказа­тельств всегда должен проводиться в соответствии с правилами су­допроизводства или слушания дела, для которого представляется данное доказательство;

  • получение выводов о причинах инцидента ИБ, необходимых дейст­виях и времени их выполнения с приведением свидетельств, вклю­чая список соответствующих файлов, находящихся в приложении к главному отчету;

  • обеспечение экспертной поддержки для любого дисциплинарного или правового действия (при необходимости).

Метод(ы) выполнения вышеуказанных действий документируются в ходе работы ГРИИБ.
В стандартах [3-5] указывается, что члены ГРИИБ должны иметь разнообразные технические знания (включая знание средств и методов, которые, возможно, использовал нарушитель), опыт и навыки проведе­ния анализа/расследования (с учетом защиты используемых свиде­тельств), знать правовые и нормативные положения и быть в курсе ос­новных тенденций, связанных с инцидентами ИБ.
В данном разделе учебного пособия необходимо затронуть еще один важный вопрос. В международной правовой практике допускается сбор доказательств инцидентов ИБ собственными специалистами организа­ции, в которой он произошел, то есть ГРИИБ. Впоследствии собранные ею доказательства можно представлять в суде. Однако в Российской Федерации ситуация несколько иная: внутрикорпоративное расследова­ние практически невозможно перевести на уровень государственных правоохранительных органов. Все собранные в ходе такого расследова­ния материалы доказательной силы не имеют, а повторный их сбор мо­жет оказать невозможным (поскольку, например, может быть безвоз­вратно потеряна временно хранимая в компьютере информация). Этот момент необходимо учитывать еще на этапе принятия решения о необ­ходимости правовой экспертизы инцидента ИБ и выбирать наиболее подходящий в каждой конкретной ситуации вид расследования: слу­жебное (по результатам которого практически невозможно обратиться с заявлением в правоохранительные органы) или с привлечением право­охранительных органов.
Несколько выше было отмечено, что информация, которая собирает­ся для правовой экспертизы инцидента ИБ, бывает двух типов: времен­ная и постоянная [21, 22].

Download 1.2 Mb.

Do'stlaringiz bilan baham:
1   ...   10   11   12   13   14   15   16   17   ...   43



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling