В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Игорь Писаренко
К. т.н., доцент, заместитель начальника отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО)
Нарушения информационной безопасности (ИБ), хотим мы этого или нет, регулярно происходят в ходе повседневной деятельности любой организации и могут привести к весьма негативным последствиям: от отказа сервиса до прекращения деятельности в целом. Количество и частота появления таких нарушений или инцидентов ИБ1 существенно зависят от эффективности системы управления информационной безопасностью (СУИБ).
Инциденты ИБ возникают в ходе реализации угроз и могут быть преднамеренными или случайными (например, являться следствием ошибки пользователя или техногенной аварии). Соответственно существенным образом будут различаться и процедуры управления инцидентами: например, выявление и расследование утечки конфиденциальной информации, совершенной инсайдером из числа опытных администраторов, отличается от выявления нецелевого использования сети Интернет менеджером.
Управление инцидентами - одна из важнейших процедур управления ИБ, рекомендованная международными и российскими стандартами в области ИБ. К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, причем не только в рамках обеспечения ИБ (ISO/IEC 17799:2000, ISO/IEC 27001:2005 и др.), но и при управлении ИТ-сервисами в целом (ISO/IEC 20000:2005). Стандартом Банка России СТО БР ИББС 1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" определено, что мониторинг событий и инцидентов в системе информационной безопасности используется для поддержания системы защиты на должном уровне в качестве оперативной меры, а менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.
Вполне естественно, что каждая организация в построении системы управления инцидентами ИБ руководствуется определенными стандартами и требованиями руководства, учитывает уже имеющиеся наработки, опыт специалистов.
Политика реагирования на инциденты ИБ разрабатывается с учетом специфики организации, профиля ее деятельности. В большинстве организаций процесс управления инцидентами ИБ построен следующим образом:
Процедура управления инцидентами разрабатывается в рамках общей СУИБ и должна обеспечиваться соответствующими нормативными документами и всеобщей поддержкой пользователей.
Нормативные документы должны отражать следующие основные вопросы:
Инцидент ИБ может заметить пользователь или администратор системы. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, чего не всегда можно сказать о пользователях. Поэтому важным аспектом построения системы управления инцидентами ИБ является обучение пользователей вопросам выявления таких инцидентов и реагирования на них.
Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр.
Процедуры сбора информации, используемые для выявления и расследования инцидентов, могут обеспечиваться как техническими, так и организационными мерами.
События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в СУИБ, о нарушениях, рисках. Большое развитие получили системы обнаружения вторжений (IDS), используемые для обнаружения сетевых атак и вредоносной активности, технологии предотвращения утечек из информационной системы вовне (DLP-системы), различного рода аппаратно-программные средства, контролирующие состояние сети, информационные потоки и действия пользователей. Современные тенденции развития средств обеспечения ИБ демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим сразу несколько задач по обеспечению ИБ, что позволяет существенно повысить эффективность получения информации об инцидентах и состоянии системы ИБ в целом.
Основными задачами, решаемыми с помощью технических средств и систем выявления инцидентов ИБ, являются:
Анализ собранных данных включает исследование журналов работы различных систем, сообщений о событиях, просмотр состояния портов, свидетельств работы операционных систем, приложений, протоколов конфигурационных файлов, сообщений электронной почты и прикрепленных файлов, инсталлированных приложений и т.д., в результате чего подтверждается или опровергается факт возникновения инцидента ИБ.
В процессе анализа осуществляется структуризация и прио-ритизация инцидентов ИБ на основе определения степени критичности рассматриваемого ресурса и степени критичности воздействия на него, - так называемый эффект инцидента. Собранные данные подвергаются корреляции и выводятся на консоль работника подразделения ИБ.
На основании событий проводятся корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о состоянии системы ИБ. Важно, чтобы ни один инцидент ИБ не остался незамеченным, было проведено расследование, выявлены виновные и, самое главное, выполнены корректирующие и превентивные действия.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #7+8, 2009