Разработка и реализация процесса управления инцидентами иб в соответствии с лучшими практиками обеспечивает следующее
Download 1.2 Mb.
|
текст лекции
- Bu sahifa navigatsiya:
- Вопросы для самоконтроля
- УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИБ
- 2.1. Событие и инцидент ИБ
|
1. Нормативная база управления инцидентами ИБ и непрерывность бизнеса 19 стандарты будут внедряться, а также ее партнерам убедиться в том, что процессы работают правильно и эффективно. Это особенно важно в том случае, если организация работает с большими объемами ценной информации или обрабатывает и хранит важную информацию своих клиентов.
В последующих разделах учебного пособия рассмотрение основных подходов к управлению инцидентами ИБ и ОНБ будет базироваться на рекомендациях существующих стандартов и нормативных документов. Вопросы для самоконтроля Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления ИБ? Каковы основные цели следования модели Деминга при построении процесса управления инцидентами ИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 18044? Какие основные вопросы рассматриваются в стандарте ISO/IEC 27035:2011? Какой стандарт он заменяет? Каковы основные цели построения системы УНБ, соответствующей требованиям стандартов BS 25999 и 25777 и ГОСТ Р 53647? В чем согласно соответствующим стандартам может заключаться различие между требованиями к системам управления НБ и к процессу УНБ? Какова область действия стандарта ISO/IEC 27035:2011? Рассмотрите его основные положения. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИБ Ни одна самая совершенная мера по снижению рисков ИБ, будь это досконально проработанная политика ИБ (ПолИБ) или самый современный межсетевой экран (МЭ), не может полностью предотвратить возникновение в информационной среде событий, потенциально несущих угрозу бизнесу организации [3-5]. Сложность и разнообразие среды деятельности современного бизнеса предопределяют наличие остаточных рисков ИБ вне зависимости от качества подготовки и внедрения мер противодействия. Также всегда существует вероятность реализации новых, не известных до настоящего времени, угроз ИБ. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление нормального функционирования организации и потенциально усилить нанесенный ущерб от реализации инцидентов ИБ, оказывающих прямое или косвенное негативное воздействие на бизнес организации. Таким образом, любой организации, серьезно относящейся к вопросам ОИБ, необходимо реализовать комплексный подход для решения следующих задач: обнаружения, оповещения и учета инцидентов ИБ; реагирования на инциденты ИБ, включая применение необходимых средств для предотвращения и уменьшения последствий и/или восстановления после нанесенного ущерба (например, в областях поддержки и планирования ОНБ); анализа и расследования произошедших инцидентов ИБ с целью извлечения уроков из них и планирования превентивных защитных мер и улучшения процесса управления инцидентами ИБ и всего ОИБ организации в целом. Решение всех этих задач можно получить, разработав и реализовав эффективный процесс управления инцидентами ИБ. В данной главе рассматривается процесс управления инцидентами ИБ, для чего вводятся понятия события и инцидента ИБ, а также выделяются цели и задачи управления инцидентами ИБ. Дается систематическое и всестороннее описание системы управления инцидентами ИБ (СУИИБ) и ее функций. Анализируются этапы процесса управления инцидентами ИБ, разбиваемого на планирование и подготовку, использование, анализ и улучшение. С необходимыми обоснованиями детальных практических рекомендаций для каждого шага изучаются подпроцессы обнаружения событий и инцидентов ИБ и оповещения о них, а также обработка событий и инцидентов ИБ, включая первую оценку и предварительное решение по событию ИБ и вторую оценку и подтверждение инцидента ИБ. Отдельно исследуется подпроцесс реагирования на инциденты ИБ и его составляющие: немедленное реагирование, контроль, последующее реагирование, антикризисные действия, правовая экспер- тиза, передача информации, расширение области принятия решений, регистрация деятельности и контроль за внесением изменений и техническая поддержка реагирования на инциденты ИБ. Описывается документация системы управления инцидентами ИБ, включая политику и программу. Анализируется деятельность группы реагирования на инциденты ИБ. Подчеркивается необходимость обеспечения осведомленности и обучения в области инцидентов ИБ. Значительное внимание уделяется сохранению доказательств инцидента ИБ и кратко определяются функции инструментальных средств управления событиями ИБ. Воспользовавшись представленным материалом, обучающиеся смогут самостоятельно разработать в деталях для конкретной организации изученные подпроцессы управления инцидентами ИБ и документацию для них. 2.1. Событие и инцидент ИБ Прежде чем приступать к определению целей процесса управления инцидентами ИБ и задач, которые необходимо решить для достижения этих целей, проанализируем понятия, введенные в выше названных стандартах - «событие ИБ» и «инцидент ИБ». Обобщенно рассматриваемые стандарты вводят следующее определение события ИБ как идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение ПолИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ [1-5, 7]. Существует несколько моментов, которые в связи с этим необходимо выделить. Во-первых, для того, чтобы событие ИБ имело место, необходимо, чтобы субъектом (или агентом) было совершено какое-то действие, направленное на какой-либо объект (в соответствии с рис. 2.1). Действие субъекта, направленное на объект, имеет определенный результат. Но это действие не обязательно должно изменить состояние объекта, на который оно направлено. Например, если пользователь неверно вводит свое регистрационное имя или пароль, то имеет место событие, но оно заключается в том, что проверка пользователя на право доступа к данной учетной записи, завершилась неудачей. Таким образом, событие ИБ представляет собой логическую связь между субъектом, действием и объектом, на который направлено данное действие, и результатом этого действия, связанным с ИБ. Во-вторых, данное определение события ИБ не делает различия между авторизованными и неавторизованными действиями. Иногда обнаруживаемые события ИБ могут быть частью инцидента ИБ или просто иметь отношение к ИБ. Например, если пользователь верно вводит регистрационное имя и пароль, тогда ему дается доступ к данной учетной записи. Но может оказаться, что была осуществлена подмена пользователя - «маскарад».
Download 1.2 Mb. Do'stlaringiz bilan baham: 
|