Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Управление инцидентами Информационная безопасность: управление инцидентами
Навигация
 

Информационная безопасность: управление инцидентами

Операции с документом
Тема управления инцидентами информационной безопасности является на сегодняшний день одной из наиболее часто обсуждаемых и актуальных для организаций. И это не случайно. Как показывают реальные жизненные примеры, необходимость своевременного выявления инцидентов и реагирования на них обусловлена в первую очередь тем, что зачастую на карту поставлены не только конфиденциальность, целостность и доступность информации, но также репутация и деньги, которых в одночасье может лишиться компания, не заметив инцидента, о котором сигнализировали средства защиты.

Автор: Зосимовская Наталья
Опубликовано 05 марта 2009 года

Существует много примеров, когда после тех или иных действий злоумышленников компании теряли ценную информацию, тратили большие суммы на устранение последствий инцидентов безопасности, и потом долгое время вынуждены были восстанавливать репутационный ущерб и налаживать взаимоотношения с партнерами и клиентами. Естественно, все эти факторы крайне негативно сказывались на бизнес-деятельности. Поэтому заранее нужно быть готовым к тому, что инцидент безопасности может затронуть и вашу организацию. Чтобы своевременно его идентифицировать, правильно и по возможности быстро среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь структурированный, хорошо спланированный и главное работающий процесс управления инцидентами ИБ.

Немного статистики

Институт компьютерной безопасности США – CSI в течение нескольких последних лет проводит ежегодное исследование, посвященное безопасности и компьютерным инцидентам. Хотелось бы представить некоторые результаты, которые были получены по 2008 году.

Итак, почти половина опрошенных респондентов (43%) признались в том, что в прошедшем году они пострадали от инцидентов ИБ. Стоит отметить, что к данной цифре стоит относиться с некоторой долей скепсиса по причине того, что зачастую отсутствие данных по инцидентам ИБ, скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии. Поэтому можно предположить, что от инцидентов пострадал больший процент опрошенных.

Далее в исследовании задавался вопрос по типам зафиксированных инцидентов ИБ, от которых пострадали компании. Первую позицию заняли вирусы (50%), которые вернули себе лидерство по сравнению с прошлогодним исследованием, когда на первое место вышли инсайдерские злоупотребления. Следом в списке расположились, соответственно, инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти цифры говорят о том, что человеческий фактор является одной из основных причин возникновения инцидентов, и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.

В 2007 году CSI ввел новый вопрос в свое исследование, касающийся количества направленных атак, которое организация испытала за год. Под направленными атаками подразумеваются атаки, которые совершались целенаправленно на заранее выбранную организацию. В результате опроса 2008 года 27% опрошенных признались в том, что испытали хотя бы одну направленную атаку за прошедший год. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.

Также в рамках исследования респонденты оценили ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на 1 респондента составили $288,618. Сумма достаточно впечатляющая. Поэтому нужно быть готовым заранее к тому, что инцидент безопасности может затронуть и вашу организацию. И чтобы своевременно идентифицировать инцидент, правильно и по возможности быстро на него среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь комплексный процессный подход к работе с инцидентами ИБ.

Система управления инцидентами

Система управления инцидентами информационной безопасности является основополагающей частью общей системы управления информационной безопасностью в компании. Она позволяет обнаруживать, учитывать, реагировать и анализировать события и инциденты информационной безопасности. На сегодняшний день существует большое количество различных стандартов и лучших практик в этой области. В качестве примера можно привести наиболее известные стандарты ISO: ISO\IEC 27001-2005, ISO/IEC TR 18044.

Так в рамках стандарта ISO\IEC 27001-2005 выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся, в том числе и к процессам управления инцидентами. Стандарт ISO/IEC TR 18044 в свою очередь описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA. В стандарте даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам. Также по тематике управления инцидентами существуют стандарты серии ITU-T для операторов связи, набор документов CERT, NIST и ряд других стандартов.

Таким образом, на сегодняшний день существует достаточно большой объем материалов, дающих рекомендации по построению системы управления инцидентами в рамках организации, которыми стоит воспользоваться как основой при планировании и построении системы управления инцидентами ИБ.

Стоит отметить, что построение процесса управления инцидентами своими силами задача довольно непростая, т.к. требует больших временных и человеческих затрат, а также определенных компетенций. Поэтому зачастую компании, которые приняли решение о том, что управление инцидентами должно быть внедрено, обращаются за помощью к сторонней компании-консультанту, в штате которой имеются специалисты-практики в данной области, способные выстроить процесс для организации с учетом её специфики.

Если говорить в общих чертах о создании системы управления инцидентами, то она может быть внедрена в несколько основных этапов. На первом этапе проводиться предпроектное обследование. В его рамках осуществляется сбор и анализ информации об имеющихся и используемых на данный момент регламентах, процедурах и средствах обеспечения информационной безопасности и управления инцидентами. Если какие-то наработки в направлении структурирования работы с инцидентами уже есть, то их следует проанализировать и по возможности использовать в дальнейшем проектировании. Также должны быть собраны сведения об используемых информационных системах и технологиях обработки информации, а также выявлены источники событий информационной безопасности (активы). Активам должны быть назначены владельцы, а также определена степень важности (критичности) каждого из них непосредственно для бизнес-деятельности организации. По завершении этапа определяется скоуп, т.е. область действия системы управления инцидентами информационной безопасности.

На следующем этапе осуществляется разработка процессов системы управления инцидентами информационной безопасности и написание соответствующих документов. Под процессами подразумеваются те основные виды деятельности, которые должны осуществляться в рамках всего жизненного цикла обработки инцидента, это: мониторинг и выявление инцидентов, их обработка (регистрация инцидента, реагирование и расследование инцидента), разработка и принятие корректирующих или превентивных мер для того, чтобы подобный инцидент не возникал в будущем. Помимо разработки процессов системы на данном этапе должен быть создан необходимый пакет нормативно-распорядительной и организационной документации. При его создании можно руководствоваться требованиями к документированию, выдвигаемыми международным стандартом ISO/IEC 27001-2005. В завершение этапа осуществляется выбор средств автоматизации и аппаратная платформа, которые будут служить основой системы управления инцидентами и осуществляется эскизное проектирование автоматизированной системы.

Следующий этап это уже непосредственно интеграция разработанных процессов управления инцидентами в существующую систему управления безопасностью компании. На этом этапе распределяются роли, т.е. помимо определения задействованных в процессе сотрудников осуществляется распределение ролей и функциональных обязанностей. Также необходимо провести обучение задействованного в процессе управлении инцидентами персонала и провести тестирование и отработку всех процессов. Это делается для того, чтобы быть уверенным, что каждый правильно понял и усвоил свои обязанности в рамках отведенной роли, а также отработать механизмы взаимодействия в рамках процесса. Также на данном этапе осуществляется технорабочее проектирование автоматизированной системы.

На последнем этапе осуществляется уже непосредственно внедрение автоматизированной системы мониторинга и управления инцидентами информационной безопасности, а именно: поставка компонент системы мониторинга и управления инцидентами, их установка и настройка, обучение персонала работе с системой, проведение опытной эксплуатации, устранение выявленных ошибок и сдача в промышленную эксплуатацию.

Заключение

В заключение хотелось бы обозначить те основные проблемы, которые сможет решить внедрение и автоматизация процесса управления инцидентами ИБ. Во-первых, грамотно спроектированная и настроенная под нужды компании система управления инцидентами позволит не только адекватно и оперативно выявлять инциденты безопасности, но и своевременно на них реагировать, тем самым, сокращая возможный ущерб, который мог быть нанесен. Также следует отметить, что собранная статистика и результаты анализа инцидентов позволят в будущем принимать обоснованные решения по обеспечению безопасности в организации.

Наталья Зосимовская, ведущий специалист компании «Информзащита».

Источник: cio-world.ru

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex