Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Система управления инцидентами информационной безопасности

Система управления инцидентами информационной безопасности

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Система управления инцидентами информационной безопасности

С.B. Заречнев
эксперт

ОСНОВНОЙ целью обеспечения информационной безопасности (ИБ) организации является снижение рисков, действующих в отношении информационных ресурсов, и в конечном счете предотвращение или минимизация ущерба от возможных инцидентов ИБ.

Для достижения этой цели в большинстве крупных и средних компаний созданы подразделения информационной безопасности, которые планируют и реализуют комплекс мероприятий по защите своих информационных ресурсов. Хорошей практикой организации деятельности по защите информации является следование модели PDCA. Эта модель объединяет 4 взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие (рис. 1).

Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании. Однако в данной статье мы ограничимся рассмотрением механизмов управления компьютерными инцидентами, которые включаются в процесс мониторинга.

Управление компьютерными инцидентами - процесс или набор процессов, на вход которых подаются данные, полученные в результате сбора и протоколирования данных о событиях, затрагивающих информационные системы, а на выходе этих процессов получают информацию о причинах произошедшего инцидента, об ущербе, нанесенном компании, и мерах, которые необходимо принять для того, чтобы инцидент не повторился. Таким образом, управление компьютерными инцидентами направлено на совершенствование подсистемы обеспечения безопасности компании. Кроме того, получаемые на выходе данные являются, по сути, единственным объективным свидетельством в определении вероятности реализации угроз при анализе рисков.

В большинстве организаций процесс управления компьютерными инцидентами построен следующим образом:

  • получение информации о компьютерном инциденте;
  • получение дополнительной информации, связанной с выявленным нарушением;
  • анализ ситуации, локализация нарушения и оперативное применение контрмер;
  • установление причин, по которым стало возможным случившееся нарушение и, может быть, определение ответственных лиц (расследование);
  • проведение профилактических мероприятий, разработка и внедрение мер по недопущению повторного нарушения.

Используемые для выявления инцидентов процедуры сбора информации могут обеспечиваться как техническими, так и организационными мерами; например, в соответствии с требованиями политики безопасности сотрудник, обнаруживший нарушение, обязан сообщить о нем в подразделение информационной безопасности. Затем информация о выявленных инцидентах фиксируется в специальных журналах (в бумажном или электронном виде).

Результаты анализа, расследований и профилактических мероприятий обычно оформляются в виде справок, отчетов и аналитических записок и хранятся в подразделении ИБ. Однако если в компании эффективно реализована регистрация событий, а ее информационная инфраструктура характеризуется значительным размером и территориально распределена, то рано или поздно наступает момент, когда информацию, связанную с инцидентами и ходом их расследований, становится трудно обрабатывать без помощи специального инструментария. Еще проблематичнее становится подготовка и анализ статистики по компьютерным инцидентам, в то время как эта статистика является одним из ключевых показателей эффективности действующей подсистемы безопасности компании. Очевидно, что в результате этого падает эффективность процесса управления компьютерными инцидентами, что в конечном счете негативно влияет на обеспечение ИБ компании в целом.

Каким же образом можно существенно повысить эффективность процесса управления компьютерными инцидентами? Прежде всего необходимо определить показатели эффективности. Эффективность процесса управления инцидентами зависит от:

  • координации и согласованности действий всех вовлеченных в него лиц;
  • имеющихся возможностей по получению и анализу информации, связанной с инцидентом;
  • оперативности и корректности полученных результатов.

Повышение каждого из перечисленных показателей заметно поднимет эффективность всего процесса управления инцидентами и тем самым позволит подразделению информационной безопасности добиться более значительных результатов.

Радикально изменить ситуацию по управлению инцидентами можно, используя систему управления компьютерными инцидентами. Эта система позволит:

  • консолидировать всю информацию о компьютерных инцидентах в едином хранилище;
  • создать единый центр управления инцидентами ИБ с целью обеспечения контроля и координации действий по локализации и расследованиям;
  • повысить скорость реагирования и оперативность выявления причин инцидента;
  • повысить достоверность получаемых результатов по выявлению причин инцидента,ответственных лиц и определению необходимых действий, устранению последствий инцидента и применению контрмер;
  • формировать статистику по инцидентам ИБ, выявлять тенденции ее изменения и анализировать динамику этих изменений;
  • автоматизировать применение контрмер для снижения риска ИБ при выявлении типовых инцидентов.

Таким образом, система фактически будет являться системой коллективной работы, которая автоматизирует процессы по управлению инцидентами ИБ, при помощи интеграции людей и аппаратно-программного обеспечения мониторинга и защиты, а также информационной инфраструктуры организации.

Концепция и структура построения системы управления инцидентами ИБ

Архитектура системы управления инцидентами ИБ включает себя следующие основные компоненты:

  • интеграционную платформу;
  • аппаратно-программные средства мониторинга и аудита;
  • аппаратно-программные средства защиты информации;
  • хранилище информации об инцидентах ИБ;
  • аналитические инструменты и средства генерации отчетов;
  • средства управления и настраиваемые интерфейсы с пользователями.

Рассмотрим каждый компонент системы в отдельности.

Интеграционная платформа платформа является ядром системы. Она реализует функции по интеграции и взаимодействию всех компонент, составляющих систему. Интеграционная платформа предоставляет:

  • интерфейсы для интеграции средств мониторинга и аудита, обеспечивая сбор данных;
  • интерфейсы к средствам защиты информации для оперативного изменения их конфигурации в целях локализации последствий инцидентов ИБ;
  • интерфейс к хранилищу данных;
  • сервисы по использованию аналитических функций и средств генерации отчетов.

Основная цель интеграционной платформы состоит в обеспечении четкой и оперативной координации и взаимодействия лиц, отвечающих за реагирование на события, связанные с компьютерными инцидентами. Такими лицами могут быть:

  • пользователи информационных систем организации - оповещение о компьютерных инцидентах;
  • администраторы и персонал подразделений автоматизации - оповещение, реагирование, локализация, разбор инцидентов и т.п.;
  • сотрудники подразделений безопасности - реагирование,контроль, координация действий по устранению, расследование причин, выработка предложений по недопущению повторения инцидентов.

Аппаратно-программные средства мониторинга и аудита - средства, реализующие функции по протоколированию, сбору, накоплению и обработке информации о функционировании информационных систем организации. К таким средствам относятся как встроенные (штатные средства операционных систем, приложений, сетевых устройств, средств защиты и автоматизированных систем), так и специализированные средства (разработанные по техническим заданиям подразделения информационной безопасности, а также специализированные средства аудита -сканеры безопасности, программные агенты, сенсоры, собирающие информацию и пр.). Результатом работы всех перечисленных средств являются данные, на основе которых системой автоматически или после их анализа экспертом принимается решение о наступлении компьютерного инцидента. Данные средства составляют подсистему сбора информации о компьютерных инцидентах. На деятельности этой подсистемы и основан контроль за обеспечением безопасности ИТ в организации.

Аппаратно-программные средства защиты в контексте системы управдения инцидентами ИБ - средства, которые обеспечивают локализацию инцидентов или снижение ущерба. Эти средства имеют механизмы, позволяющие проводить быстрое и дистанционное изменение своей конфигурации или иметь в своем составе заранее разработанные автоматизированные сценарии действий по минимизации возможного ущерба от компьютерных инцидентов.

Современные тенденции развития средств защиты демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим комплекс задач по защите информации, и это отлично сочетается с концепцией системы управления информационной безопасностью. Именно такие решения проще объединить с этой системой и получить положительный результат.

Окончание статьи читайте в следующем номере.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2006

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"