Разработка и реализация процесса управления инцидентами иб в со­ответствии с лучшими практиками обеспечивает следующее


Download 1.2 Mb.
bet12/43
Sana30.03.2023
Hajmi1.2 Mb.
#1309469
1   ...   8   9   10   11   12   13   14   15   ...   43
Bog'liq
текст лекции

Большая обоснованность бюджета и ресурсов - хорошо продуман­ный, формализованный и автоматизированный системный подход к управлению инцидентами ИБ в организации, во-первых, поможет обос­новать, упростить распределение и сократить бюджеты и ресурсы внут­ри подразделений на идентификацию и фильтрацию ложных сигналов тревоги менее квалифицированным персоналом; обеспечение лучшего руководства действиями квалифицированного персонала; привлечение квалифицированного персонала только для тех процессов, где требуют­ся его навыки, и только на той стадии процесса, где его содействие не­обходимо и, во-вторых, будет включать в себя процедуру пометки вре­мени для количественных оценок обработки инцидентов ИБ, что делает возможным, например, получение информации о времени разрешения инцидентов с различными приоритетами на различных платформах. При наличии слабых мест в процессе управления инцидентами ИБ они также должны быть выявлены.
Обновление результатов управления рисками ИБ на более высоком уровне, что способствует сбору более качественных данных для иден­тификации и определения характеристик различных типов угроз ИБ и связанных с ними уязвимостей; предоставление данных о частоте воз­никновения выявленных типов угроз ИБ. Полученные данные о нега­тивных последствиях воздействия инцидентов ИБ на бизнес будут по­лезны для анализа результатов управления рисками ИБ. Данные о час­тоте возникновения различных типов угроз ИБ намного повысят качество их оценки. Аналогично, данные об уязвимостях существенно улучшат качество последующих их оценок.
Предоставление материала для программ повышения осведомленно­сти и обучения в области ИБ - системный подход к управлению инци­дентами ИБ предоставляет узконаправленную информацию для про­грамм обеспечения осведомленности в вопросах ИБ. Эта информация основана на реальных примерах, на которых можно показать, что инци­денты ИБ действительно происходят именно в данной организации, а не где-то еще. Таким образом можно продемонстрировать выгоды быстро­го получения информации, необходимой для принятия решений. Более того, подобная осведомленность в вопросах ИБ позволяет снизить веро­ятность ошибки, возникновения паники и/или растерянности в случае возникновения инцидента ИБ.
Предоставление входных данных для анализа ПолИБ и соответст­вующей документации - информация, получаемая от СУИИБ, может содержать ценные входные данные для анализов результативности и последующего улучшения ПолИБ (и другой документации, связанной с ИБ) как на уровне организации, так и для отдельных систем, сервисов и сетей.

    1. Этапы процесса управления
      инцидентами ИБ

Для достижения поставленных целей в соответствии с основными стандартами процесс управления инцидентами ИБ делится на четыре основных этапа, аналогичных процессам модели PDCA: планирование и подготовка, использование, анализ и улучшение. Основное содержание этих процессов представлено на рис. 2.5 [3-5].

Рис. 2.5. Этапы процесса управления инцидентами ИБ

На этапе планирования и подготовки разрабатываются документы, регламентирующие процесс реагирования на инциденты ИБ, создается соответствующая организационная структура, а также выделяются люд­ские и материальные ресурсы и проводится обучение персонала.


На этапе использования происходит обнаружение и оповещение о возникновении события ИБ, сбор информации о нем и его оценка, опре­деление, является ли данное событие инцидентом ИБ. Также происхо­дят реагирование на инцидент ИБ и определение необходимости прове­дения расследования инцидента ИБ.
На третьем этапе проводятся анализ и расследование инцидента ИБ. На основе полученных результатов делаются выводы и составляются рекомендации по улучшению процессов ОИБ в целом и управления ин­цидентами ИБ в частности.
На этапе улучшения (совершенствования) реализуются рекоменда­ции, выработанные на этапе анализа.
Рассмотрим каждый из выделенных этапов подробнее.

      1. Планирование и подготовка процесса управления
        ИНЦИДЕНТАМИ ИБ

Эффективное управление инцидентами ИБ требует надлежащего планирования и подготовки [3-5, 7]. Чтобы реакция на инциденты ИБ была эффективной, в стандартах выделены необходимые для этого ме­роприятия:

  • Разработка и документирование политики управления инцидентами ИБ, а также очевидная поддержка этой политики со стороны заинте­ресованных лиц и, в особенности, высшего руководства, включая ут­верждение им данной политики.

  • Разработка и документирование в полном объеме СУИИБ для под­держки политики управления инцидентами ИБ. Формы, процедуры и инструменты поддержки для обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градация шкалы серьезно­сти инцидентов ИБ с соответствующей классификацией должны быть отражены в документации на конкретную систему (шкала мо­жет состоять, например, из двух значений: «основные» и «незначи­тельные», которые основываются на фактических или предполагае­мых негативных воздействиях на бизнес-операции организации).

  • Обновление политик управления ИБ и обработки рисков ИБ на всех уровнях, то есть на корпоративном (корпоративной ПолИБ) и для каждой системы, сервиса и сети отдельно (частных ПолИБ) с учетом СУИИБ, включая ссылки на управление инцидентами ИБ для обес­печения регулярного анализа этих политик в контексте с выходными данными из СУИИБ.

  • Создание в организации соответствующего структурного подразде­ления управления инцидентами ИБ (ГРИИБ) с соответствующей программой обучения для ее персонала, с установленными обязан­ностями и ответственностью персонала, способного адекватно реа­гировать на все известные типы инцидентов ИБ. В большинстве ор­ганизаций ГРИИБ является группой, состоящей из специалистов по конкретным областям деятельности, например при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа.

  • Проектирование и разработка программы обеспечения осведомлен­ности об управлении инцидентами ИБ.

  • Ознакомление всего персонала организации посредством инструк­тажей и/или иными способами о существовании СУИИБ, ее пре­имуществах и с надлежащими способами сообщения о событиях ИБ. Необходимо проводить соответствующее обучение персонала, от­ветственного за управление СУИИБ, лиц, принимающих решения по определению того, являются ли события ИБ инцидентами ИБ, и лиц, исследующих инциденты ИБ.

  • Тщательное тестирование СУИИБ, ее использования, процессов и процедур.

  • Технические и другие средства для поддержки СУИИБ (и деятель­ности ГРИИБ в частности).

Этап планирования и подготовки управления инцидентами ИБ включает выполнение следующих действий:

  • документирование политики обработки и сообщений о событиях ИБ и инцидентах ИБ и соответствующей этой политике системы (вклю­чая родственные процедуры);

  • создание подходящей СУИИБ в организации и подбор соответст­вующего персонала;

  • учреждение программы обучения и проведения инструктажа с целью обеспечения осведомленности об управлении инцидентами ИБ.

После завершения этого этапа организация должна быть полностью готова к надлежащей обработке инцидентов ИБ.

      1. Использование системы управления инцидентами ИБ

Ключевыми составляющими этапа использования СУИИБ являются приведенные ниже процессы [3-5, 7].

  1. Обнаружение и сообщение о возникновении событий ИБ и уязви­мостей одним из членов персонала/клиентом организации или автома­тическими средствами, например сигналом тревоги от межсетевого эк­рана (МЭ).

  2. Сбор персоналом группы обеспечения эксплуатации (ГОЭ) ин­формации, связанной с событиями ИБ, включая информацию об уязви­мостях, и первичная оценка этой информации для определения того, ка­кие события ИБ можно отнести к категории инцидентов ИБ.

  3. Проведение вторичной оценки события ИБ сотрудниками ГРИИБ или сотрудниками, ответственными за разрешение инцидента ИБ, для того, чтобы, во-первых, подтвердить или опровергнуть тот факт инци­дента ИБ, и, во-вторых, если действительно имеет место инцидент ИБ, определить его категорию согласно существующей в организации клас­сификации, запустить процесс реагирования на инцидент ИБ и парал­лельно начать процессы сбора доказательств и первоначального рассле­дования для правовой экспертизы и действий по передаче информации, если это необходимо.

  4. Анализ, проводимый ГРИИБ, с целью определить, находится ли инцидент ИБ под контролем: при положительном ответе инициируется дальнейшее необходимое реагирование и обеспечивается готовность всей информации для использования в процессе анализа последствий инцидента ИБ, при отрицательном - инициируются антикризисные дей­ствия с привлечением соответствующего персонала, например руково­дителя и группы ОНБ организации.

  5. Расширение области действия дальнейших оценок и/или принятия решений, проводимое в течение всего этапа по требованию.

  6. Обеспечение надлежащей регистрации причастными лицами, в особенности членами ГРИИБ, всей деятельности для последующего анализа.

  7. Обеспечение сбора и защищенного хранения свидетельств в элек­тронном виде и постоянного мониторинга защищенного хранения этих свидетельств на случай их востребованности для судебного преследова­ния или внутреннего дисциплинарного разбирательства.

  8. Поддержка режима контроля изменений, включая отслеживание инцидентов ИБ и обновления отчетов по инцидентам с тем, чтобы БДСИИБ, управляемая ГРИИБ, находилась в актуальном состоянии.

  9. Распределение ответственности за деятельность, связанную с управлением инцидентами ИБ, через соответствующую иерархию пер­сонала с оценкой, принятием решений и действиями, с привлечением персонала как связанного, так и не связанного с обеспечением ИБ.

  10. Обеспечение формальных процедур для каждого оповещенного лица, включая анализ и корректировку сделанного сообщения, оценку ущерба и уведомление соответствующего персонала (действия каждого лица зависят от типа и серьезности инцидента ИБ).

  11. Использование рекомендаций для тщательного документирова­ния событий ИБ, а позднее, если событие ИБ будет отнесено к катего­рии инцидентов ИБ, то и последующих действий в отношении инциден­та ИБ и обновления БДСИИБ.

  12. Реагирование на инциденты ИБ:

  • немедленно, в реальном или близком к реальному масштабе вре­мени;

  • если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, соответствующие полному восста­новлению после катастрофы);

  • если инциденты ИБ не находятся под контролем, то выполнить антикризисные действия (например, вызвать пожарную коман- ду/подразделение или инициировать реализацию плана ОНБ);

  • сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (это может включать в себя, по мере не­обходимости, распространение подробностей инцидента ИБ с це­лью проведения дополнительных оценок и/или принятия реше­ний);

  • провести правовую экспертизу;

  • обеспечить надлежащую регистрацию всех действий и решений для последующего анализа;

  • контролировать разрешение проблемы инцидентов ИБ.

Информация, сообщаемая в рамках каждого процесса, должна быть как можно более полной в любое время, что обеспечит правильную оценку и принятие решений, а также, естественно, ответные предпри­нимаемые действия.

      1. Анализ процесса управления инцидентами ИБ

Согласно рекомендациям стандартов после разрешения/закрытия инцидентов ИБ важно предпринять следующие действия по анализу со­стояния ИБ и управлению инцидентами ИБ [3-5, 7]:

  • провести ГРИИБ дополнительную правовую экспертизу (если необ­ходимо и, возможно, с привлечением правоохранительных органов) с целью определения свидетельств;

  • изучить уроки, извлеченные из инцидентов ИБ, которые должны быть в дальнейшем быстро идентифицируемы для принятия соот­ветствующих им действий;

  • определить улучшения для внедрения необходимых новых или пере­смотренных защитных мер ИБ, как результат полученных уроков, извлеченных из одного или нескольких инцидентов ИБ;

  • определить улучшения СУИИБ в целом, учитывая уроки, извлечен­ные из анализов гарантии качества предпринимаемого метода (на­пример, из анализа результативности процессов, процедур, форм от­чета и/или организации).

Извлеченные из инцидентов ИБ уроки могут использоваться таким образом:

  1. для выработки новых или изменения имеющихся требований к защитным мерам (техническим или нетехническим, включая физиче­ские), которые учитывают необходимость быстрого обновления мате­риалов и проведения инструктажа с целью обеспечения осведомленно­сти в вопросах ИБ (для пользователей и персонала), а также выпуска руководств и/или стандартов по ИБ;

  2. для внесения изменений в СУИИБ и ее процессы, формы отчетов и БДСИИБ.

При изучении урока по инциденту ИБ полученный опыт рассматри­вается не только в рамках отдельного инцидента ИБ, но и проводится проверка на наличие тенденций (закономерностей) появления предпо­сылок к инцидентам ИБ, которые могут быть использованы в интересах определения потребности в защитных мерах или изменениях подходов к устранению инцидентов ИБ. После связанного с применением ИТ ин­цидента ИБ целесообразно проведение тестирования ИБ, в особенности для оценки уязвимостей.
Поэтому для определения тенденций/образцов (шаблонов), про­блемных областей и областей действия, для которых можно предпри­нять принудительные меры по снижению вероятности появления инци­дентов ИБ в будущем, необходимо регулярно анализировать БДСИИБ.
Информация, получаемая в процессе обработки инцидента ИБ, должна направляться для анализа тенденций (закономерностей), что на основе предшествующего опыта и документированных знаний в значи­тельной мере способствует ранней идентификации инцидентов ИБ и обеспечивает предупреждение о том, какие следующие инциденты ИБ могут возникнуть.
Необходимо также использовать информацию об инцидентах ИБ и соответствующих уязвимостях, полученную от государственных и ком­мерческих КГБР и поставщиков.
Тестирование ИБ и оценка уязвимостей системы, сервиса и/или сети, следующие за инцидентом ИБ, не ограничиваются только эти­ми системой, сервисом и/или сетью, пораженными данным инциден­том ИБ, а должны быть произведены для любых связанных с ними систем, сервисов и/или сетей. Детальная оценка уязвимостей исполь­зуется для того, чтобы выявить существование уязвимостей в других системах, сервисах и/или сетях и исключить вероятность появления новых уязвимостей.
Важно подчеркнуть, что оценка уязвимостей проводится регулярно и переоценка уязвимостей после инцидента ИБ должна быть частью, а не заменой непрерывного процесса оценки.
Необходимо опубликовать итоговый анализ инцидентов ИБ для об­суждения его на каждом совещании руководства организации по вопро­сам ИБ и/или других совещаниях, касающихся вопросов общей ПолИБ организации.
После разрешения инцидента ИБ руководитель ГРИИБ или назна­ченное вместо него лицо анализируют все произошедшее с целью оцен­ки и определения степени результативности реагирования на инцидент ИБ, а также выявления успешно задействованных элементов СУИИБ и определения потребности в любых улучшениях.
Важным аспектом анализа, проводимого после реагирования на ин­цидент ИБ, является пополнение информации и знаний в СУИИБ. Если инцидент ИБ достаточно серьезен, то вскоре после разрешения инци­дента ИБ необходимо провести совещание всех заинтересованных сто­рон, владеющих информацией о нем. На этом совещании, результаты которого обязательно документируются, рассматриваются следующие вопросы:

  • работали ли должным образом процедуры, принятые в СУИИБ;

  • существуют ли процедуры или методы, которые способствовали бы обнаружению инцидентов ИБ;

  • были ли определены процедуры или средства, которые использова­лись бы в процессе реагирования;

  • применялись ли процедуры, помогающие восстановлению систем, сервисов и/или сетей после идентификации инцидента ИБ;

  • была ли передача информации об инциденте ИБ всех причастных сторон эффективной в процессе обнаружения, сообщения и реагиро­вания.

По результатам совещания осуществляются конкретные согласован­ные действия.
На основе результатов анализа одного или группы инцидентов ИБ делаются выводы и составляются рекомендации по улучшению процес­сов реагирования на инциденты ИБ и ОИБ в целом. Может оказаться так, что полученные рекомендации и соответствующие им требования к защитным мерам невозможно или сложно внедрить немедленно по фи­нансовым или эксплуатационным причинам. В таком случае их выпол­нение вносится в долгосрочные планы организации. Например, по фи­нансовым соображениям невозможно за короткий срок осуществить пе­реход к более совершенным МЭ, но необходимо внести решение этого вопроса в долговременные цели ОИБ организации.
2.4.4. Улучшение процесса управления инцидентами ИБ
Известно, что процессы управления инцидентами ИБ являются ите­рационными, с постоянным внесением улучшений в ряд элементов с те­чением времени. Эти улучшения предлагаются на основе информации об инцидентах ИБ и реагированию на них, а также данных по динамике выявленных тенденций.
Этап «улучшения» включает внедрение рекомендаций по усовер­шенствованию процессов обеспечения и управления ИБ и реагирования на инциденты ИБ, определенных на этапе анализа[3-5, 7].

Download 1.2 Mb.

Do'stlaringiz bilan baham:
1   ...   8   9   10   11   12   13   14   15   ...   43



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling