Выявление инцидентов информационной безопасности

Игорь Писаренко
К. т.н., доцент, заместитель начальника отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО)

Нарушения информационной безопасности (ИБ), хотим мы этого или нет, регулярно происходят в ходе повседневной деятельности любой организации и могут привести к весьма негативным последствиям: от отказа сервиса до прекращения деятельности в целом. Количество и частота появления таких нарушений или инцидентов ИБ¹ существенно зависят от эффективности системы управления информационной безопасностью (СУИБ).

Инциденты ИБ возникают в ходе реализации угроз и могут быть преднамеренными или случайными (например, являться следствием ошибки пользователя или техногенной аварии). Соответственно существенным образом будут различаться и процедуры управления инцидентами: например, выявление и расследование утечки конфиденциальной информации, совершенной инсайдером из числа опытных администраторов, отличается от выявления нецелевого использования сети Интернет менеджером.

Нормативные документы, стандарты

Управление инцидентами - одна из важнейших процедур управления ИБ, рекомендованная международными и российскими стандартами в области ИБ. К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, причем не только в рамках обеспечения ИБ (ISO/IEC 17799:2000, ISO/IEC 27001:2005  и др.), но и при управлении ИТ-сервисами в целом (ISO/IEC 20000:2005). Стандартом Банка России СТО БР ИББС 1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" определено, что мониторинг событий и инцидентов в системе информационной безопасности используется для поддержания системы защиты на должном уровне в качестве оперативной меры, а менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.

Вполне естественно, что каждая организация в построении системы управления инцидентами ИБ руководствуется определенными стандартами и требованиями руководства, учитывает уже имеющиеся наработки, опыт специалистов.

Процесс управления инцидентами ИБ

Политика реагирования на инциденты ИБ разрабатывается с учетом специфики организации,  профиля ее деятельности. В большинстве организаций процесс управления инцидентами ИБ построен следующим образом:

• получение информации об инциденте;
• получение дополнительной информации, связанной с выявленным инцидентом;
• анализ ситуации, локализация инцидента и оперативное применение контрмер;
• установление причин, по которым стал возможен инцидент, и определение ответственных лиц (расследование);
• проведение корректирующих и профилактических мероприятий.

Процедура управления инцидентами разрабатывается в рамках общей СУИБ и должна обеспечиваться соответствующими нормативными документами и всеобщей поддержкой пользователей.

Нормативные документы должны отражать следующие основные вопросы:

• определение инцидента ИБ, перечень событий, являющихся инцидентами, и порядок оповещения ответственного лица о возникновении инцидента - для всех пользователей;
• порядок выявления и расследования инцидента ИБ, устранения последствий и причин инцидента, а также проведения необходимых корректирующих и превентивных мероприятий - для работников подразделений ИБ.

Обучение пользователей вопросам выявления инцидентов ИБ

Инцидент ИБ может заметить пользователь или администратор системы. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, чего не всегда можно сказать о пользователях. Поэтому важным аспектом построения системы управления инцидентами ИБ является обучение пользователей вопросам выявления таких инцидентов и реагирования на них.

Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр.

Процедуры сбора информации, используемые для выявления и расследования инцидентов, могут обеспечиваться как техническими, так и организационными мерами.

Технические средства и системы выявления инцидентов ИБ

События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в СУИБ, о нарушениях, рисках. Большое развитие получили системы обнаружения вторжений (IDS), используемые для обнаружения сетевых атак и вредоносной активности, технологии предотвращения утечек из информационной системы вовне (DLP-системы), различного рода аппаратно-программные средства, контролирующие состояние сети, информационные потоки и действия пользователей. Современные тенденции развития средств обеспечения ИБ демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим сразу несколько задач по обеспечению ИБ, что позволяет существенно повысить эффективность получения информации об инцидентах и состоянии системы ИБ в целом.

Основными задачами, решаемыми с помощью технических средств и систем выявления инцидентов ИБ, являются:

• осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;
• обнаружение в режиме реального времени атак, вторжений, нарушений политик безопасности;
• контроль за портами и устройствами ввода/вывода информации;
• мониторинг действий пользователей;
• предоставление инструментария для проведения расследований инцидентов ИБ, формирования доказательной базы по инциденту ИБ.

Анализ собранных данных включает исследование журналов работы различных систем, сообщений о событиях, просмотр состояния портов, свидетельств работы операционных систем, приложений, протоколов конфигурационных файлов, сообщений электронной почты и прикрепленных файлов, инсталлированных приложений и т.д., в результате чего подтверждается или опровергается факт возникновения инцидента ИБ.

В процессе анализа осуществляется структуризация и прио-ритизация инцидентов ИБ на основе определения степени критичности рассматриваемого ресурса и степени критичности воздействия на него, - так называемый эффект инцидента. Собранные данные подвергаются корреляции и выводятся на консоль работника подразделения ИБ.

На основании событий проводятся корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о состоянии системы ИБ. Важно, чтобы ни один инцидент ИБ не остался незамеченным, было проведено расследование, выявлены виновные и, самое главное, выполнены корректирующие и превентивные действия.