Информационно-аналитическое обеспечение безопасности предпринимательской деятельности. Расследование инцендентов информационной безопасности. Писаренко Игорь Викторович Курсовая,экзамен. Инценденты информационной безопасности. Никакие защитные меры ИБ, политики ИБ не могут гарантировать полную защиту информации, ИС, сервисов или сетей. После внедрения защитных мер остаются слабые места/уязвимости, которые могут сделать обеспечение ИБ неэффективным, а возникнование инцендентов ИБ возможным. В службе ИБ организации необходимо уделят серьезное внимание вопросам менеджмента инцендентов ИБ и управлять ими. Для любой организации, которая серьезно относится к вопросам обеспечения ИБ важно применять структурный и плановый подход к решению следующих задач: 1. Обнаружение и оповещение об инцендентах ИБ и их оценка. 2. Реагирование на инценденты ИБ. 3. Извлечение уроков из инцендентов ИБ, внедрение привентивных и профилактических защитных мер. Понятие инцендента информационной безопасности. ГОСТ Р ИСО МЭК 27001 2006года (информационная технология. Методы и средства обеспечения ИБ. Системы менеджмента ИБ). В данном стандарте дается описание общей системы менеджмента безопасности,и одним из разделов является менеджмент инцендентов ИБ. В ГОСТе Р ИСО МЭК ТО 18044-2007 (Информационная технология. Методы и средства олбеспечения безопасности. Менеджмент инцендентов ИБ.) Дается определение: событие ИБ идентифицированное появлениеопределенного состояния систсмы, сервиса или сети, указывающего на возможное нарушение поитики ИБ или отказ защитных мер, или возникновение неизвестное ранее ситуации, которая может иметь отношение к безопасности. События могут быть результатом случайных или преднамеренных действий, которые могутиоказывать влияние на ИБ, т.е.на конфиденциальность , целостность или доступность информации. То есть, событие - определенное состояние системы, которое может и не являться инцендентом ИБ. В том де документе, инцендент ИБ - появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компромитации бизнесопераций и создания угроз ИБ. Инцендент ИБ - любое незаконное, неразрешенное (в т.ч.политикой ИБ) или неприемлимое действие по отношению к ИС. В стандарте банка России СТО БР ИББС-1.0-2010, инцендент ИБ - событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. В 27001, инцендент ИБ - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или ИБ. Здесь же дается перечень основных инцендентов ИБ: Утрата услуг, оборудования, устройств Системные сбои или перегрузки. Ошибки пользователей. Несоблюдение политики или рекоммендаций по ИБ. Нарушение физических мер защиты Неконтроллируемое изменение системы Сбои ПО и отказы ТС Нарушение правил доступа. К основным документам, которые регулируют вопросы управления инцендентов ИБ относятся: 1. ГОСТ Р ИСО/МЭК ТО 18044-2007 2. ИСО/МЭК 27035-2011 , в РФ пока нет, в замен #1. 3. ГОСТ 27001 4. ГОСТ 17799 5. СТО БР ИББС-1.0-2010 6. NIST SP 800-61 - на рус. Не переведен - сборник лучших практик, разработанных национальным институтом стандартов по построению процессов управления ИБ. 7. CMU/SEI-2004-TR-015 - планирует методологию планирования, внедрения, оценки и улучшения процессов управления инцендентами. Упор делается на создание группы или центра управления инцендентами. Как правило, во многих организациях (особенно в крупных) создаются спец.подразделения, которые занимаются вопросами обеспечения ИБ, в том числе и вопросами менеджмента инцендентов ИБ. Варианты могут быть: 1. Подразделение ИБ в составе СБ. 2. Подразделение ИБ в составе службы айти. 3. Подразделение ИБ в составе подразделения оценки рисков. 4. Самостоятельное подразделение. В ГОСТ 18044 приведены группы инцендентов ИБ: 1. Отказ в обслуживании 2. Сбор информации 3. Несанкционированный доступ Классификация инцендентов ИБ. 1. Сбои a. Аппаратные b. Программные c. Форс-мажор 2. Вторжения a. Человеческий фактор i. Умышленные 1. Нарушение политики ИБ 2. Атака ii. Случайные/неумышленные b. Вирусная активность i. Атака ii. Побочный эффект Инценденты ИБ можно классифицировать и по другим признакам: 1. Используемые метотды и средства a. Сбор информации, данных b. Пассивные средства перехвата c. Использование средств, входящих в ИС или систему ее защиты и использование их недостатков d. Активное отслеживание модификаций существующих средств олбработки инфы, подклдючение новых средств, использование специализированных утилит, внедрение программных закладок, использование черных ходов в систему, подклбючение к каналу передачи данных 2. уровень знаний нарушителя об организации информационной структуры. a. Типовые знания о методах построения ВС, сетевых протоколов, использование стандартного набора программ b. Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами (админ) c. Высокие знания в области программирования, системного проектирования и эксплуатации ВС (прогеры). d. Обладание сведениями о средствах и методах защиты информации атакуемой системы. e. Нарушитель является разработчиком или принимал участие в реализации ИС и системы обеспечения ИБ. 3. Время информационного воздействия. a. В момент обработки информации. b. В момент передачи данных. c. В процессе хранения данных. 4. По месту осуществления воздействия a. Удаленно b. С доступом на охраняемую территорию c. С непосредственным физическим контактотм с вычислительной техникой i. Доступ к АРМ ii. Доступ к серверам iii. Жоступ к системам администрирования iv. Доступ ксистемам обеспечения ИБ 5. Тип инцендента a. Кража информации b. Модификация или уничтожение инфы c. НСД/взлом d. Мошенничество e. Вирусные заражения f. Утрата носителя информации g. Нарушение при работе с электронной почтой и системами электронного документооборота h. Нарушение политик безопасности. Основные стадии инцендентов информационной безопасности. Как правило, выделяются три основные стадии в развитии инцендента ИБ (в полном объеме характерны для умышленных инцендентов): 1. Подготовка инцендента a. Накопление нестабильности в системе (в некоторых случаях) 2. Активная фаза a. Отказ системы (в некоторых случаях) 3. Сокрытие следов В рамках этапа подготовки инцентента происходит сбор инфы о системе, приобретение агентов (возможно), получение позиций (доступов, паролей и т.д.). Активная фаза - осуществление вторжения в систему, выполнение запланированных действий(съем инфы, ее изменение, создание подложных доков, уничтожение и т.д.). Сокрытие следов - сокрытие остающихся в журналах и логах следов (или уничтожение), уничтожение вещественных доказательств, мероприятия прикрытия(алиби). Ущерб, возникающий в результате реализации инцендентов ИБ. В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, какой был бы получен без нарушения (упущенная выгода). В СТО БР ущерб - утрата активов, повреждение (утрата свойств) активов или инфраструктуры организации или другой вред активам или инфраструктуры организации, наступиыший в результате реализации угрозы ИБ. С позиции экономического подхода, общий ущерб ИБ организации складывается изидвух составных частей: 1. Прямого ущерба - возникает в следствие утраты, повреждения оборудования или активов, а так же в результате утечки КИ. 2. Косвенного ущерба - потери, которые несет организация в связи с ограничениями на распространении инфы, относящейся к конфиденциальной. Оценку ущерба производят качественно или количественно. Точную и адекватную количественную оценку ущерба провести очень сложно. Во многих организациях существует определенные подходы к стоимостной оценке инфоресурсов. В бошинстве случаев для оценки ущерба применяется качественная шкала. 1. Отсутствует 2. Незначитеный - не оказывает влияния ни на стратегические позиции организации ни на работу предприятия 3. Средний - предполагает нанесения организации финансовых потерь, сопоставимых с текущими расходами и не требуют значительных затрат ресурсов. 4. Значительный - предполагает возможность нанесения фин.потерь, которые окажут негаривное воздействие на основные финансово-экономические показатели организации, на ее деятеность в будущем и преодалевается в течение длительного периода времени. 5. Критичный - инценденты приводят к резкому ухудшению показателей организации, вызывает остановку деятельности организации либо вызывает такие последствия в будущем. Кроме прямого и косвенного существуют репутационные риски. Управление репутационными рисками необходимо в целях снижения возможных убытков, сохранения и поддержания деловой репутации перед клиентами, регуляторами, органами гос.власти и т.д. В качестве примерта подхода к оценке репутационных рисков можно привести рекоммендации банка России по организации управления правовыми рисками и рискам потери деловой репутации в крединтых организациях ибанковских группах. Письмо от 12 июня #92т. Основные предпосылки возникновение инцендентов ИБ. К основным предпосылкам, которые способствуют возникновению инцендентов ИБ относятся: 1. Отсутствие или слабая политика ИБ 2. Проблемы в работе с персоналом 3. Недочеты в работе отдела ИТ 4. Беспечность ответственных работников/руководителей 5. Неправильно построенная работа СБ Отсутствие или слабая политика ИБ. ПОлитика ИБ организации - совокупность правил, ограничений и документированных решений (программные, аппаратные, организационные, административные, юридические, физические меры, меды, средства, правила и инструкции), четко регламентирующих аспекты деятельности организации и ее работников в области обеспечения ИБ. Регламентация в целях повышения ИБ предусматривает введение таких орграничений и внедрение таких приемов работы, которые не создавая серьезных помех для исполнения работниками своих функциональных обязанностей минимизирует возможности совершения ими случайных потенциально опасных действий или нейтрализуют потенциально опасные действия злоумышленников. Примеры: 1. Внедрение средств шифрования 2. Внедрение систем DLP 3. Разработка правил по работе с КИ 4. Минимизация прав пользователей 5. Разграничение прав доступа 6. Антивирусы. Одна из наиболее существенных предпосылок - отсутствие или слабая политика ИБ. Организация должна регулировать вопросы использования информационных ресурсов и вопросы обеспечения их защиты. Проблемы в работе с персоналом. Проблемы в работе с персоналом оказывают большое влияние на ИБ организации. 1. Профессиональная подготовка специалистов 2. Проверки Недочеты в работе отдела ИТ. Пиратское ПО, ненадлежащий выбор ПО, консультации со случайными лицами, беспечность ответственных работников, неправильно построенная работа СБ. Основные способы и методы выявления инцендентов ИБ. Признаки инцендентов ИБ. Инценденты ИБмогут иметь различные источники происхождения, поэтому сущестет достаточно бошое кол-во признаков этих инцендентов. В нормативных документах организации в рамках системы менеджмента системы ИБ необходимо разработать перечень событий, которые являются инцендентами ИБ. Абсолютно полный перечень нарушений разработать невозможно, должен быть перечень основных событий, который должен периодически пересматриваться. В оргенизации обяхательно должен быть нормативный документ (политика ИБ, порядок использования информационных ресурсов, правила ИБ ...), который регулирует и определяет требования ИБ и правила использования АРМ и ИР, а так же АС. В этом документе в явном виде должно быть указано, что можно делать в системе с ресурсами, а что делать запрещено. Инцендент ИБ, как правило, выявляется специалистом по ИБ, администратором ресурса или системы, позователем либо инфа об инценденте может быть получена из внешних источников. Основным источником информации о событиях являются технические системы обеспечения ИБ и штатные средства ИС и рабочих мест. Основными источниками инфы являются:межсетевые экраны, системы обнаружения вторжений, антивирусные системы, системы ДэЛПи, системы мониторинга,непосредственно ОС и приложения, а так же, средства контроля управления доступом и ТС охраны и видеонаблюдения. В ряде случаев, инфа может поступать от администраторов и пользователей системы. Наиболее часто, об инценденте ИБ свидетельствуют следующие ситуации: 1. Сообщение о событиях ИБ начинает поступать из нескольких источников (пользователь, антивирус и т.д.); 2. Системы обнаружения вторжений выдают множество сигналов о повторяющихся событиях; 3. Анализ журнальных файлов ОС дает информацию о возможности наступления инцендента ИБ. Примеры инцендентов ИБ: 1. Увеличение траффика; 2. Уведомление антивируса; 3. Работа под чужой учеткой; 4. Уменьшение скорости доступа к сети; 5. Недоступносто ресурса; 6. Система сбора событий оповещает о ..., подборе пароля. О наличии уязвимостей, благодаря которым могут быть реализованы инценденты, могут свидетельствовать факторы: 1. Не разработаны нормативные документы, определяющие политику ИБ,или они не соблюдаются, не назначен ответственный за соблюдение ИБ. 2. Не соблюдение требований парольной политики. 3. Удаленные терминалы и рабочие места не блокируются, когда пользователь покидает рабочее место 4. Нет разграничения прав и полномочий на доступ к ресурсам и системам 5. Не ведется аудит событий ИБ. 6. Изменение в ПО должно быть санкционировано руководством. 7. Вводимые данные непроверяются на корректность и точность, происходит большое кол-во исправлений и ошибок. Основные способы и методы выявления инцендентов ИБ. Выявление инцендентов ИБ - сложный творческий процесс, который, в основном зависит от факторов: 1. Вид инцендента(умышленно, случайно); 2. Квалификация нарушителя(если умышленно); 3. Квалификация специалиста по ИБ; 4. Имеющиеся в наличии ТС выявления событий ИБ; 5. Корпоративная политика по ИБ; 6. Обученность пользователей вопросам ИБ. Естественн, что в случае возникновения различных инцендентов ИБ могут испозоваться различнфе способы и методы их выявления, затрачиваться различнфе силы и средства, время, и другие ресурсы. Прцедуры сбора инфы, используемые для выявления инцендентов могут обе/печиваться как техническими, так и организационными мерами. Соответственно, различают технические иоперационные свидетельства инцендентов ИБ. Технические(технологические) - информация, полученнаяот ТС сбора и анализа инфы. Операционные - данные или улики, собранные в процессе опроса персонала, свидетельства обращений в службу поддержки пользователей и другая инфа. Для сбора информации так же могут использоваться СКУД, видеонаблюдене, ТС охраны и т.п. На практике обычно выделяют организационные и технические способы выявления инцендентов ИБ(деление условное). Организационные - контроль за соблюдением политик и регламентов ИБ, контроль за действиями пользователей, получение инфы от админов, пользователей, доверенных лиц и СМИ от посторонних лиц. Технические - связаны с использованием тех или иных ТС и условно их можно разделить на: 1. Технический мониторинг ИС 2. Технический мониторинг ИР 3. Использование систем предотвращения утечек инфы (ДЛП) 4. Использование систем обнаружения или предотвращения вторжений(системы айдиэс или айпиэс) 5. Сканирование на уязвимости 6. Тест на проникновение - пэнтест 7. Использование штатных средств аудита и регистрации событий 8. Использование видеонаблюдения, СКУД, сигнализации 9. Запись телефонных переговоров Основным направлением сбора информации с целью выявления инцендентов ИБ является мониторинг ИБ - комплекс мер и мероприятий(организационных, правовых, технических), направленных на проведение наблюдения, оценку и прогнозирование изменений в ИС и их компонентах. Мониторинг событий и инцендентов ИБ используется для поддержания системы защиты информации на должном уровне(в качестве оперативной меры), а менеджмент событий и инцендентов ИБ позволяет избежать деградации и обеспечить требуемый уровень безопасности информационных активов. Инструментарий и ресурсы выявления инцендентов ИБ. Для качественной иэффективной деятельности по выявлению инцендентов ИБ, работники подразделения ИБ должны иметь обоснованный доступ ко всем ИС и ресурсам и иметь необходимый инструментарий, который позволяет выявлять максимально возможные виды инцендентов ИБ. В процессе анализа инцентента ИБ, работники ОБ должны иметь как минимум, доступ: 1. К просмотру состояния портов ОС 2. Свидетельство работы ОС, приложений, протоколов, систем обнаружения вторжения 3. К просмотру статистических журналов работы наиболее критических устройств(серверы и тд) 4. К просмотру журналов активности приложений 5. К просмотру журналов использований криптографических средств 6. К журнальным файлам ОС 7. Иметь инфу об обновлениях ОС и приложений 8. Инфу о резервном копировании и тестировании резервных носителей. Мониторинг ИБ. Мониторинг - системаический сбор и обработка инфы, которая может быть использована для улучшения процесса принятия решений, а так же, для информирования о состоянии объекта или как инструмент обратной связи, в целях осуществления проектов, оценки программ или выработки политики. Мониторинг несет одну или более из трех организационных функций: 1. Выявляет состояние критических или находящихся в состоянии изменения явлений окружающей среды, в отношении которых будет выработан курс действий на будущее. 2. Устанавливает отношения со своим окружением, обеспечивая обратную связь, в отношении предыдущих удач/неудач определенной политики или программы. 3. Устанавливает соответствие правилам и контрактным обязательствам. Почти во всех стандартах по обеспечению ИБ говорится о мониторинге ИБ. ГОСТ Р ИСО/МЭК 17799-2005 - "... Практические Правила управления безопасностью" - раздел 9.7 - мониторинг доступа и использования системы - цель мгниторинга - обнаружение неавторизованных действий. Для обнаружения отклонения от требований политики контроля доступа и регистрации событийи обеспечения доказательства на случай выявления инцендентов ИБ необходимо проводить мониторинг системы. Мониторинг системы позволяет проверять эффективность проверчемых мероприятий по обеспечению ИБ и подтверждать соответствие модели политики доступа требованиям бизнеса. Далее в этом разделе описаны основные процедуры и области риска. Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки инфы. Уровень мониторинга конкретных средств следует определять на основе оценки рисков. В этом же разделе особое внимание обращается на следующие позиции: 1. Авторизованный доступ 2. Привелигированные действия 3. Попытки неавторизованного доступа. 4. Предупреждения или отказы системы ГОСТ Р ИСО МЭК 27001-2006 - менеджмент ИБ. Раздел "проведение мониторинга и анализа системы менеджмента ИБ". Организация должна осуществлять следующее: 1. Выполнят процедуры мониторинга и анализа 2. Проводить регулярный анализ результативности системы менеджмента ИБ 3. Измерять результативность мер управления для проверки соответствия требованиям ИБ 4. Пересматривать оценки рисков 5. Проводить внутренние аудиты системы менеджмента ИБ 6. Проводить руководством организации анализ СМИБ. 7. Обновлфть планы ИБ с учетом анализа и мониторинга 8. Регистрировать действия и события, которые влияют на функционирование СМИБ. Стандарт определяет, что мониторингдолжен проводиться персоналом, ответственным за ИБ с целью обнарудения и регистрации отклонения защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мгниторинга ИБ в организации являются: 1. Оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели, определяемые системой менеджмента ИБ в организации. Такими целями могут быть: a. Контроль за реализацией положений нормативных актив по обеспечению безопасности в организации b. Выявление внештатных или злоумышленных действий в ИС организации c. Выявление потенциальных нарушений ИБ Мероприятия по контролю состояния системы защиты должны проводиться на постоянной основе и заключаются в: 1. Регулярной проверке настроек средств защиты информации. 2. Проверки настроек безопасности ОС и приложений 3. Проверки соответствия прав и полномочий пользователей по доступу к ИС и ресурсам 4. Проверки выполнения пользователями требований нормативных документов по ИБ Виды мониторинга ИБ. 1. Мониторинг процессов и процедур a. Передачи инфы b. Архивирования и хранения инфы c. Предоставления доступа d. Обработки инфы e. Уничтожение инфы 2. Мониторинг рабочих мест, устройств, сети a. Мониторинг конфига сети b. Пощключение устройств c. Отключение средств защиты инфы d. Обновление e. Несанкционированная установка ПО 3. Мониторинг действий пользователей a. Утечка инфы b. Нарушение работы АРМ или сети c. Внедрение вредоносного ПО d. Нарушение регламентов обработки инфы e. Рассылка спама f. Разглашение паролей g. Допуск посторонних Политика ИБ организации. Термин "Политика" в ЗИ может рассматриваться как: 1. Широкое значение - политика ИБ - совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обечпечения ИБ. 2. Узкое - политика ИБ - документ в системе упарвления ИБ опганизации, который может рассматриватся в качестве одного из ключевых механизмов ИБ. В соответствии с 27001 воргенизации вводятся регламентные документы по обеспечению ИБ 4х уровней: 1. Концептуальные документы, в которыхрассматриваются общие вопросы обеспечения ИБ организации вцелом. Рассматривается область действия документа, область действия и т.д. 2. Частные политики по обеспечению ИБ - рассматриваются отдельные направления обеспечения ИБ, документ является более подробным и более детальным. Пример - частная политики антивирусной защиты, ...предоставления доступа к ИР, ...использования сети интернет, ...обеспечения работы с персоналом при работе с ИС. 3. Регламенты по обеспечению ИБ - конкретный документ(инструкция, методика), в котором четко описываются действия пользователя или администратора системы при работе с определенным ТС или процессом. 4. "Свидительства о выполненной работе" по обеспечению ИБ - справки, отчеты, акты, аналитические справки. В 27001 приведено около 68 документов из всех групп. Политика ИБ - документ, в котором описываются правила обеспечения ИБ. Обычно, в политике ИБ описываются: 1. Термины и определения. 2. Общие положения - назначение документа, цели, задачи, правовая основа. Здесь же ответственность. 3. Объекты защиты (структура,состав, размещение обхектов защиты), категории ИР, которые подлежат защите. 4. Угрозы ИБ. Основные угрозы, источники угроз, пути реализации угроз, модель нарушителя, каналы утечки и тд. 5. Основные принципы построения системы обеспечения ИБ. 6. Меры, методы и средства обеспечения ИБ - описываются технические мероприятия и средства их обеспечения. 7. Контроль защищенности инфы. 8. Изменения (как вносятся). Технические средства и системы выявления инцендентов ИБ. Сбор свидительств инцендента ИБ представляет собой процедуру сбора фактов злоумышленных или случайных действий, которые произошли в организации. Сбор таких свидетельств может производиться по двум причинам: 1. Получение законных оснований для привлечения к ответственности нарушителя за умышленное или случайное причинение ущерба организации в результате реализации инцендента ИБ. 2. Формирование пакета сведений для анализа уязсимостей и ликвидации последствий инцендентов ИБ. События от различных ТС являются наиболее важным поставщиком такой информации (о процессах в системе, вторжениях, нарушениях и тд). Основными задачами,решаемыми с помощью ТС и систем выявления инцендентов ИБ: 1. Осуществление централизованного сбора, обработкит, анализа событий ИБ из множества распределенных (гетерогенных) источников событий. 2. Обнаружение в режиме реального времени атак, вторжений, нарушений политик безопасности. 3. Контроль за портами и устройствами ввода-вывода инфы. 4. Мониторинг действий пользователей. 5. Предоставление инструментария для проведения расследований инцендентов ИБ и формирования доказательной базы по инценденту Анализ собранных данных включает: 1. Исследование журналов работы различных систем 2. ...Сообщений о событиях 3. Просмотр состояния портов 4. Идетельств о работе ОС, приложений, протоколов, сообщений эл.почты и т.д. , в результате чего подтверждается или опровергается факт инцендента ИБ. Аппаратно-программные средства мониторинга и аудита. Средства, реализующие функции по протоколированию, сбору, накоплению и обработке инфы о функционировании ИС организации. Кроме штатных, существуют специализированные средства мониторинга и аудита программные агенты, сенсоры сбора инфы, сканеры безопасности и т.д. Системы предотвращения утечек инфы (DLP-системы). Современные технологии, которые предназначены для предотвращения утечек конфиденциальной инфы из ИС наружу. Основной признак системы - способность анализировать инфу, которая передается из организации наружу на педмет ее конфиденциальности. В ДЛП системах могут использовася следующие варианты обработки инфы: 1. Различные технологии контентной фильтрации 2. Лингвистические 3. Цифровые отпечатки К основным характеристикам этих систем относятся: 1. Кол-во каналов контроллируемых 2. Масштаб системы (кол-во серверов, АРМ...) 3. Призводительность системы Системы обнаружения вторжений. Программные или аппаратные средства, которые предназначены зля выявления фактов неавторизованного доступа в компьютерную систему или сеть или несанкционированного управления ими. Активная и пассивная - айпиэс и айдиэс. Системы сбора и корреляции событий. Менеджмент инцендентов ИБ. Домашка: ГОСТ 18044. Управление инцендентами ИБ. Менеджмент - управление организацией автономно действувющей в условиях рынка и связанное с необходимостью принимать самостоятельные решения в неожиданных условиях/обстоятельствах. Менеджмент - управление самостоятельным видом деятельности, который не предполагает создания отдельной автономной организации и управления ей. Целью менеджмента является достижение объектом управления некоего желаемого состояния, качественно или количественно отличающегося в лучшую сторону от существующего. Менеджменрт - совокупность научных знаний и практического опыта междисциплинарного характера из - экономики, организации, социологии, психологии, права и т.д. Понятие менеджмента инцендентов ИБ. Менеджмент инцендентов ИБ можно отнести к управлению эккаунтингом, которое связано с процессами сбора, обработки и анализа данных о работе организации, их сравнении с исзодными и плановыми показателями, результатами деятельности других организаций с целью своевременного выявления проблем и вскрытитя резервов для более полного использования имеющегося потенциала. Таким образом, основным направлением менеджмента инцендентов ИБ является сбор, обработка, анализ информации об инцендентах, которые происходят в организации. Менеджмент инцендентов ИБ является составной частью менеджмента ИБ вцелом. Из 27001 - СМИБ - часть общейсистемы менеджмента организации, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функц онирования, мониторинга, анализа, поддержки и улучшения ИБ. Система менеджмента ИБ вклдючает в себя организационную структуру, политики, планирование, распределение ответственности, практическую деятельлность, процедуры, процессы и ресурсы. Система менеджмента инцендентов ИБ - часть СМИБ организации и предназначена для комплексного решения следующих задач: 1. Обнаружение инцендентов ИБ, информирование о них и учет ИИБ. 2. Реагирование на инценденты ИБ, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба. 3. Анализ произошедших инцендентов с целью планирования привентивных мер защиты и улучшения процесса обеспечения ИБ вцелом. Построение системы менеджмента инцеднетов ИБ происходит с учетотм рекоммендаций межународных стадартов в области ИБ. Основным документом является ГОСТ ТО 18044-2007. Утверждениъ 27.12 2007 г. Фед.агенством по технич.регулир. ... В соответствии с ГОСТ 18044 рекоммендуется для любой организации применять структурный и плановый подход к менеджменту ИИБ. Целью такого подхода является обеспечение: 1. События ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся/не к инцендентам ИБ. 2. Идентифицированные инценденты ИБ должны быть оценены и реагирование на них должно осуществлятося наиболее целесообразным и результативным способом. 3. Воздейьствие инценщентов ИБ на организацию и ее бизнес необходимо минимизировать соответствующими защитными мерами, являющимися частью реагирования на инцендент. 4. Из инцендентов ИБ неолбходимо быстро извлекать уроки с целью повышения шансов предотвращения подобных инцендентов в будущем, улучшения внедрения использования защитных мер ИБ, улучшения общей системы менеджмента инцендентов Иб. Этапы менеджмента инцендентов ИБ. 9к стандарты - упарвление качеством. 14к - айти стандарты. Основа менеджмента строится на основе процессной модели Гемминга-Шухарда. 1. Планирование и подготовка a. Политика менеджмента ИИБ и обязательства высшего руководства по отношению к ней b. Построение системы менеджмента инцендентов ИБ c. Корпоративная безопасность и безопасность системы, сервиса, сети, анализ и менеджмент рисков и обновление политик d. Создание группы реагирования на инценденты ИБ (ГРИИБ) e. Инструктажи и обучение по вопросам осведомленности об инцендентах ИБ f. Тестирование СМИИБ. 2. Использование a. Обнаружение событий ИБ и оповещение о них b. Оценка и принятия решений является ли событие инцендентом c. Реагирование на ИИБ, включая правовую экспертизу 3. Анализ a. Дополнительная правовая экспертиза b. Обобщение накопленного опыта c. Определение методов улучшения/повышения безопасности d. Определение методов улучшения СМИИБ 4. Улучшение a. Проведение уточнений результатов анализа рисков безопасности и анализа менгеджмента b. Инициирование улучшения безопасности c. Проведение улучшения СМИИБ Этап планирования и подготовки. Эффективный менеджмент ИИБ нуждается в надлежащем планировании и подготовке. Этапы: 1. Разработать и документировать политику менеджмента ИИБ а так же, получить очевидную поддержку этой политики заинтересованными сторонами, в особенности высшим руководством. Заинтересованные подразделения: СБ,айти, отдел кадров, юристы, анализ рисков, конфиденциальное делопроизводство. 2. Разработать и в полном объеме документировать СМИИБ для поддержки политики менеджмента политики ИБ. Формы, процедуры, инструменты поддержки обнаружения, оповещения, оценки и реагирования на инценденты ИБ, а так же градации шкалы серьезности инцендентов должны быть отражены в документации. 3. Создать в организации соответствующее подраздзеление (группу реагирования на ИИБ) с заданными обязанностями и ответственностью персонала, которая способна адекватно реагировать на все известные типы инцендентов ИБ. 4. Ознакомить весь персонал организации посредством инструктажей или иными способами с существованием самой системы менеджмента ИИБ, пгнятием инцендент и надлежащими сообщениями об ИИБ. Самообучение ОБ. 5. Тестирование СМИИБ. После завершения всех работ по первомуэтапу, организация должна быть полностью готова к надлежащец обработке ИИБ. Процедуры. В рамках первого этапа необхожимо разработать, внедрить и задокументировать все необходимые процедуры, предназначенные для управления ИИБ. Основные: 1. Обнаружение событий 2. Оценка является ли событие инцендентом 3. Оповещение об инценденте ИБ 4. Оценка с ТЗ критичности 5. Реагирование 6. Расследование 7. Учет инцендента Не все процедуры являются общедоступными, нежелательно, чтобы весь персонал знал об особенностях работы группы реагирования. Конкретное содержание процедур зависит от многих факторов, например - особенностей обработки инфы, рода деятельности организации, руководства и т.д. Группа реагирования на ИИБ. Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для оценки реагирования на ИИБ, извлечения уроков из них, а так же необходимой координации, управления, обратной связи и передачи инфы. Структура и масштаб группы должны соответствовать масштабу и структуре организации. Группа может быть изолированной, работники СБ наряду с другими обязанностями, сборная группа. Руководитель группы должен: 1. Иметь делегированные полномочия немедленного принятия решений о том, какие меры предпринять относительно инцендента 2. Иметь выделенную линию связи с руководством 3. Обеспечивать необходимый уровень знаний и мастерства для вчсехмчленов группы а так де поддержание этого уровня 4. Поручать расследование каждогоинциндента наиболее компитентному члену группы ГРИИБ должна иметь определенный инструментарий длявыявления инцендентов и определенные полномочия для получения всей необходимой инфы. Работники группы должны: 1. Иметь доступ к деталям активов организации и информации по их связямсбизнес-процессами организации 2. Иметь доступ к документированной стратегии обеспечения непрерывности бизнеса и соответствующим главам 3. Знать и контроллировать документированные и опубликованные процессы передачи инфы. 4. Использовать БД ИИБ и проводить ее анализ 5. Нать основные процедуры и порядок взаимодействия с другими подразделениями в рамках ликвидации последствий ИИБ. Обеспечение осведомленности и обучение. Обучение проиходит в рамках инструктажей вновь набранных работников, либо в рамках дистанционного обучения, либо то и другое вместе. Использование. Занимает все время действия системы менеджмента. При использовании СМИИБ необходимо осуществить процессы: 1. Обнаудение и оповещение о возникновении событий ИБ. 2. Сбор информации, ее оценка с целью выявления инцендентов 3. Реагирование на инценденты ИБ.(Реагирование может быть немедленным, в течение некоторого времени, антикризисное реагирование) 4. Сообщение о наличии инцендентов и подробностей о них персоналу своей организации, а так же персоналу сторонней организаций (в случае необходимости). 5. Проведение правовой экспертизы 6. Надлежащая регистрация информации об инценденте, а так же всех действия и решений для последующего анализа. 7. Разрешение проблем инцендента(ликвидация последствий). Обнаружение и оповещение могут производиться техническими средствами, либо администраторами ИБ,ИС, пользователями, посторонними лицами. Оценки принятия решений является ли инцендентом. В организации необходимо применять шкалу серьезностей инцендентов. Руководитель назначает кто будет работать с инцендентом, будет ли оповещение руководства, профилактические меры. Учет инцендентов. Ведется база инцендентов, в которую заносится инфа: 1. Кто и когда выявил 2. Когда инцендент произошел 3. Сущность 4. Причины инцендента 5. Возможный ущерб 6. Описание действий, которые были предприняты Правовая экспертиза. Для проведения правовой экспертизы могут использоваться тезнические/программные средства (средства и методы аудита), средства восстановления свидетельств, сама правовая экспертиза пргводится, как правило, в защищенных помещениях с соответствющим персоналом. Каждое действие правовой экспертизы должно бытьполностью регламентировано, включая предоставления соответствующих фотографий и скриншотов, составление отчетов об анаоизе результатов ауда, проверку журналов восстановления данных и т.д. Квалификация лица, проводившего правовую экспертизу должна быть документированатак же, как и результаты квалификационного тестирования. Необходимо так же документировать любую другую информацию, способную продемонстрировать эффективность и логический характер экспертизы. Все записи о проверенных ИИБ а так же соответствующие носители информации должны храниться в фищически защищенной среде и контроллироваться соответствующими процедурами для предотвращения НСД. Средства правовой экспертизы, основанные на применении ИТ должны соответствовать правовым нормам, с целью исключения возможности оспаривания этого соответствия в судебном порядке. Общий процесс правовой экспертизы должен охватывать следующие виды деятельности: 1. Обеспечение защиты целевой системы/сервиса/сети в процессе проведения правовой экспертизы от превращения их в недоступные, изменения или иной компрометации, включая введение вирусов и обеспечение защиты от воздействий на их нормальную работу. 2. Назначение приоритетов сбора доказательств, т.е.рассмотрение их от наиболее до наименее изменчивых. 3. Идентификация всех необходимых файлов, включая "нормальные" файлы, удаленные, защищенные. 4. Восстановление как можно бОльшего кол-ва удаленных файлов. 5. Раскрытие айпи-адресов, именхостов, сетевых маршрутов и другой подобной инфы. 6. Извлечение содержимого скрытых, временных файлов, файлов подкачки и т.д. 7. Доступ к содержимому защищенных или зашифрованных файлов(если это не запрещено законодательством). 8. Анализ всех возможно значимых данных, найденных в специальных (обычно недоступных) областях памяти на дисках. 9. Анализ времени доступа к файлу, его создание и изменение. 10. Анализ журналов регистрации системы, сервиса, сети, приложений. 11. Определение деятельности пользователей или приложений в системе/сервисе/сети. 12. Анализ электронной почты и ее содержания 13. Проведение проверок целостности файлов. 14. Анализ, по возможности, физических доказательств возникновения инцендента (отпечатки пальцев, результаты видео-наблюдения, результаты СКУД, журналы регистрации системы сигнализации, опрос свидетелей). 15. Хранение добытых потенциальных улик и свидетельств так, чтобы избежать их повреждения, утраты, НСД. 16. Получение выводов о причинах инцендента с приведением свидетельств, включая задокументированные свидетельства. 17. Обеспечение экспертной поддержки для любого дисциплинарного или правового действия(при необходимости). 2.3.Анализ. После разрешения/закрытия ИИБ необходимо предпринять следующие действия по анализу итогов ИИБ: 1. Провести дополнительную правовую экспертизу(при необходимости) 2. Изучить уроки, извлеченные из ИИБ. 3. Определить улучшения для внедрения защитных мер ИБ, полученные из уроков (извлеченные из 1 или нескольких ИИБ). 4. Определить улучшения для системы менеджмента ИИБ вцелом, учитывая извлеченные уроки. Извлеченные уроки. После завершения инцендента важно провести анализ и извлечь уроки, которые могут рассматриваться с двух точек зрения: С тз новых или измененных требований к мерам защиты безопасности организационные/технические меры Изменение в самой системе менеджмента инцендентов ИБ Необходимо регулярно пересматривать базу ИИБ с целью выявления: 1. Тенденции 2. Проблемные области 3. Области деятельности, где можно принять предупредительные меры для снижения вероятности появления инцендентов в будущем. В рамках извлечения уроков может использоваться любая другая существенная инфа, которая получается в процессе обработки событий и инцендентотв ИБ и обеспечивать предупроеждение о том, какие следующие инценденты могут возникнуть в ИС. В рамках извлечения уроков для ИБ большое значение имеют - тестирование безопасности, оценка уязвимостей ИС, сканирование,тесты на проникновение и т.д., поскольку инфа, пошучаемая в ходе процедур так же должна накапливася, анализироваться и использоваться для улучшения безопасности. Определение улучшения безопасности. Улучшение системы менеджмента ИБ, неолбзодимо рассмотреть следующие вопросы: 1. Работали ли должным образом принятые процедуры. 2. Существуют ли более эффективные процедуры, которые позволяют выявлять инценденты. 3. Применялись ли процедуры, помогающие восстановлению ИС после инцендента. 4. Насколько эффективным было взаимодействие участников управления инцендентом. 2.4. Улучшение. Этап улучшения включает в себя: 1. Пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации вцелом, в т.ч. менеджмент организации вцелом. 2. Улучшение системы менеджмента ИИБ и ее документации. 3. Инициирование улучшений в области безопасности, включая внедрение новых или обновленных защитных мер. Использование системф менеджмента ИИБ. Организация, использующая структурный подход к менеджменту ИИБ может извлечь из него значительные преимущества, которые можно объединить в группы: 1. Улучшение безопасности - быстрая реакция на инценденты при отработанной схеме работы. 2. Снижение негативных последствий на бизнес, например из-за прерывания бизнеса, финансовых убытков и т.д. - минимальный простой за счет скорости. 3. Усиление внимания к вопросам предотвращения инцендентов - исходя из опыта, есть четкие знания. 4. Усиление внимания к системе установления приоритетов и сбора доказательств - четкое указание приоритетов из опыта и регламента. 5. Вклад в обоснование бюджетов и ресурсов - к обоснованию затрат прибавляется срок улучшения ТС. 6. Обновление результатов менеджмента и анализа рисков на более высоком уровне - можно спррогнозировать вероятность и планировать действия из этого. 7. Предоставление материалов для программ повышения осведомленности и обучения в области безопасности - обучение на реальных примерах. 8. Предоставление входных данных для анализа политики ИБ и соответствующей документации. 2 раздел. Расследование инцендентов информационной безопасности. Тема 4. Правовые основы проведения расследований ИИБ. Расследование - комплекс мероприятий, которые направлены на выявление виновного в совершении ИИБ и установлении причин, которые ему способствовали. Особое значение при проведении расследований инцендентов ИБ имеет знание правовых вопросов, связанных с различными аспектами обеспечения ИБ, порядка подбора и деятельности персонала организации, вопросы взаимоотношений с правоохранительными органами, с регуляторами, с негосударственными структурами, которые имеют возможности по расследованию ИИБ. Знание правовых вгпросов позволяет, с одной стороны, обоснованно предъявить претензии (или обвинения) нарушителям ИБ, а с другой - позволяет избежать обоснованных претензий со стороны пользователей в превышениисвоих полномочий, в т.ч. в суде, в регулирующих органах и т.д. Правовые знания позволяют выстраивать конструктивные отношения с регуляторами и правоохранительными органами. Правовые основы проведения расследований ИИБ. Законодательство РФ. При проведении расследований ИИБ необходимо учитывать следующие положени конституции РФ: 1. Статья 23 - каждый имеет право на неприкосновенность частной жизни, личноую и семейную тайну, защиту своей чести и доброго имени; каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и пр. Ограничение этого права допускается только на основании судебного решения. 2. Статья 24 - сбор, хранение, использование информации о частной жизни лица без его согласия не допускается; органы гос. Власти и местного самоуправления обязаны предоставить доступ каждому к документам, затрагивающим его. 3. Статья 29 - пункт 4 - каждый имеет право свободно искать, получать, передавать, производить и распространять инфу любым законным способом. Перечень сведений, составляющих ГТ определяется ФЗ. 4. Статья 55 пункт 3 - права граждан могут быть ограничены только в той мере, которая необходимо для сохранения ... ФЗ от 27.07.2006 #149 ФЗ - " об И,ИТ, ЗИ" Статья 9 - ограничение доступа к информации Статья 16 - защита инфы; Статья 17 - ответственность за правонарушения в сфере И, ИТ, ЗИ 1 часть - нарушение требований данного ФЗ влечет гражданско-правову, административную, или уголовную ответственность в соответствии с закрнодательством РФ. Лица, права и законные интересы которых были нарушены, в связи с разглашением инфы ограниченного доступа или иным неправомерным использованием такой информации, в праве обратиться в установленном порядке за судебной защитой своих прав, в т.ч. с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требования о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшем мер по соблюдению конфиденциальности информации или нарушивщем установленные в законодательстве РФ требования по ЗИ, если принятие этих мер и соблюдение этих требований являлись обязанностью данного лица. ФЗ 152 27.07.2006 "о ПД" Статья 6 определяет условия обработки ПД - обработка ПД осуществляется с соглассия субъекта ПД. Статья 17 - право на обжалование действий или бездействия оператора. Статья 19 - меры по обеспечению безопасности ПД при их обработке - оператор обязан принимать необходимые ... меры по защите ПД. Статья 21 - обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, а так же по уточнению, блокированию и уничтожению ПД. Статья 24 - ответственность за нарушение требований ФЗ - дисциплинарная, ... . ФЗ 29.07.2004 #94 "О КТ" Статья 4 - право на отнесение инфы к КТ и определение перечня и состава такой инфы принадлежит обладателю такой инфы. Статья 10 - охрана конфиденциальности инфы. Статья 11 - охрана конфиденциальности инфы в рамках трудовых отношений. Статья 14 - ответственность. Работник, который получил доступ к такой информации и в случае умышленного или случайного разглашения несет дисциплинарную ответственность. Гос.структуры, которые получили в установленном порядке доступ к КТ ... . Уголовный кодекс. Статья 272 - неправомерный доступ к компьютерной инфе. 2 состава: 1. Если действия повлекли уничтожение, блокирование, модификацию..., наказание до двух лет. 2. Група лиц/лицо с использованием служебного положения - до 5 лет. Статья 273 - создание, использование, распространение вредоносных программ для ЭВМ. 1. Создание программ/внесение изменений в свществующие, которые приводят к несанкционированным действиям ... - до 18 месяцев. 2. ...повлекшие тяжелые последствия - от 3 до 7 лет. Статья 274 - нарушение правил эксплуатации ЭФМ, сети, системы ЭВМ. 1. Лицом, имеющим доступ, повлекщий унчтожение, модификацию.... принило существенный вред до 2 лет. 2. ....тяжкие последствия - до 4 лет. Статья 183 - незаконное получение и разглашение налоговой, коммерческой или банковскую тайну. 1. Сбор Путем похищения документов, подкупа или угроз или иным незаконным способом - до 2 лет. 2. Разглашение или использование чедений без согласия владельцем - до 3 лет. 3. ...тяжелый вред - до 5 лет. 4. Тяжкие последствия - до 10 лет. Статья 138 - нарцшение тайны переписки, переговоров или иных сообщений. 1. Просто - исправительные работы до 1 года. 2. ...с использованиеми служебного положения - арест от 2 до 4 месяцев... 3. Производство, приобретение... ТС Статья 159 - мошенничество. 2 - при получении выплат. До двух лет. 159.3 - с использованием платежных карт - до 2 лет. 159.5 - в сфере страхования. 159.6 - в сфере компьютерной информации. Ответственность за хищение чудого имущества или приобретение права на чужое имущества путем ввода модификации информации в пк или иного вмешательлства в функционирование средств хранения обработки передачи инфы или пути передачи информации. 1. До 4 месяцев 2. По сговору - до года 3. С использованием СП - до полутора лет. 4. В особо кркпном размере группой - до 2 лет. КОАП 13.11 - нарушение установленного порядка сбора, хранения или распространения сбора инфы о гражданах.на граждан может накладываться административный штраф до 500р. 13.12 - нарушение правил ЗИ. 1. Нарушение условий, предусмотренных лицензией в области ЗИ (кроме ГТ) - до 500р., должностные 1000, ЮЛ - 10000 2. Несертифицированные ИС и СЗИ, если они подлежат обязательной сертификации. 1000/2000/20000 с конфискацией несертифицированного. 3. Нарушение условий, предусмотренных лицензией ЗИ для ГТ. Штрафы без ФЛ 4. Несерт. ГТ. - штрафы с конфискацией. 5. Грубое нарушение условий лицензии ГТ - до 15000 на ЮЛ или административное пристановление деятельности до 90 суток. 13.13 незаконная деятельность в области ЗИ 1. ЗИ без лицензии 2. ГТ ЗИ без лицензии ТК РФ. 57 - содержание трудового договора. Ряд обязательных позиций. Могут предусматриваться дополнительные условия, в т.ч. о неразглашении охраняемой законом тайны, которое накладывает ограничения на работника. 81 - расторжение ТД по инициативе работодателя. Пункт 6 - работодатель может расторгнуть договгрг в случае однократного грубого нарушения работником трудовых обязанностей: 1. Прогул 2. Опьянение 3. Разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в т.ч. разглашение ПД другого работника Глава 14 - защита ПД работника. Глава 30 - дисциплина труда. 1. Статья 192 - дисциплинарныем взыскания - за совершение дисциплинарного проступка, т.е. неисполнения или ненадлежащего исполнения работником по его вине возлоденных на него трудовых обязанностей, работодатель имеет право применить следующие взыскания замечание, выговор, увольнение по соответствующим основаниям. Для отдельных категорий работников могут применяться другие виды взысканий. При наложении дисциплинарного взыскания должны учитывася тяжесть совершенного проступка и обстоятельства, при которых он был совершен. 2. Статья 193 - порядок применения дисциплинарного взыскания. До применения дисциплинарного взыскания работодатель должен затребовать от работника письменное объяснение. Если по истечении дх рабочих дней указанное объяснение работником не предоставлено, составляется соответстющий акт. Непредоставление работником объяснения не является препятствием для применения дисциплинарного взыскания. Дисциплинарные взфскания применяются не позднее одного месяца со дня обнаружения проступка(не считая времени болезни, отпуска, учитывая мнение представительного органа виновного). Дисциплинарное взыскание не может быть применено позднее 6 месяцев со дня совершения проступка, а по результатам ревизии, аудиторскоф проверки хоз.деятельности или проверки - позднее 2 лет. В указанные сроки не включается время производства по уголовному делу. За какждый дисциплинарный проступок может быть применено только одно взыскание. Приказ работодателя о применении взыскания под роспись виновника в течение 3 дней со дня издания, не считая времени отсутствия раьотника. Если работник отказался ставить подпись, составляется акт. Дисциплинарное взыскание может быть обжаловано в организацию судебных споров, ... . 3. 194 - снятие дисциплинарного взыскания - если в течение года со дня применения взыскания, он не будет подвергнут новому - он считается без взысканий. По инициативе работодателя он может снять взыскание в течение года. Государственнфе органы РФ, проводящие расследования. В РФ расследованием преступлений в сфере компьютерной инфы возложено на подразделение "К" - бюро специальных технических мерпориятий МВД РФ. Сотрудники данного подразделения имеют соответствующую квалификацию и подразделение существует в каждом субъекте РФ. Расследованиями компьютерных преступлений могут так же заниматься управления по борьбе с экономическими преступлениями и коррупцией. В отдельных случаях расследованиями могут заниматься работники подразделений безопасности ФСБ. Центр по ЗИ ФСБ РФ. Взаимодействие с правоохранительными органами происходит в рамках подачи заявления в соответствующие правоохранительные органы. Негосударственные органы, проводящие расследования. Такими структурами являются специализированные компании - АйБи груп(пример), а так же отдельные ЧОПы, которые могут иметь в своем составе квалифицированный персонал. Основным направлением деятельности подобных компаний является сбор доказательств по инценденту ИБ, установлению всех его обстоятельств, выявление нарушителя, подготовка и сопровождение материалов в правоохранительных органах. 3. Документационное обеспечение системы менеджмента ИБ. Документация системы менеджмента ИИБ. Основными документом, регламентирующим организацитю управления ИИБ является положение о менеджменте ИИБ. Может нгазываться по другому. Содержит описания ролей по обработке инцендентов ИБ. Кроме политики в организации могут разрабатываться регламенты, которые конкретизируют требованиям к отдельным пцессам обработки инцендентов, например : 1. Регламент мониторинга событий и обнаружения инцендентов ИБ 2. Регламент сбора инфы и классификации инцендентов 3. Регламент регистрации и оповещения об ИИБ 4. Реагирования на ИИБ Документация СМИИБ, рекоммендуемая ГОСТ 18044 должна содержать следующие элементы: 1. Шкала критичности(серьезности) для классификации ИИБ. 1. Шкала должна быть описана в документации. 2. Формы докладов о событиях и инцендентах ИБ(примеры форм приведены в прил.А ГОСТ 18044), а так же соответствующих документированных процедурах и действиях 3. Операционные процедуры для ГРИИБ с документированными обязанностями и распределением функций среди назначенных ответственных лиц для осуществленич различных вищов деятельности, например: i. Отключать или нет атакованную систему ii. Как ведется монтторинг данных iii. Активация дублирующих процедур и плана обеспечения непрерывности бизнеса iv. Органгизация защищенного хранения свидетельств на случай их востребования в рамках разбирательств(судебные/дисциплинарные). v. Передача родробностей об ИИБ сотрудникам своей организации или сторонних органиаций vi. Тестиршвание функционирования системы МИИБ. vii. Обновление политик менеджмента т анализ рисков ИБ. Политика менеджмента ИИБ. Политика МИИБ предназначена для всего персонала, имеющего щоступ к информации. Политика утверждается старшим должностным лицом организации и долдна быть доступна для каждого сотрудника и доведена до него в рамках экструктажа и обучения в рамках повывшения квалификации в области обеспечения ИБ. Полика менеджмента ИИБ должна включать следующи вопросы: 1. Зачимость менеджмента ИИБ для организации, обязательства высшего руководства относительно поддержки менеджмента и его системы. 2. Общее представление об олбнароужении СИБ, оповещений о них и сборе соответствующей инфы,а так же опутях использования жтой инфы для оиределения ИИБ(перечень возможных событий ИБ, кому и как сообщать). 3. Общее представление об оценке ИИБ, включая перечень ответственных лиц, необходимые действия, уведомления об инцендентах и дальнейшие действия ответственных лиц. 4. Краткое изложение действий после подтверждения того, что событите ИБ явлчется инцендентом. Д/з - выписатьт из стандарта перечень действий из политики менеджмента. Программа менеджмента ИИБ. Программа менеджмента ИИБ предназначена для создания подробной документации, описывающей процессы и пргцедуры обработки индентов ИБ и оповещения о них. Программа менелжмента инценщентов ИБ приводится в действие при обнаружении события ИБ. Она используется в качестве руководства при: 1. Реагировании на события ИБ 2. Определение того, станвится ли событие инцендентом 3. В менеджменте ИИБ до из разрешения. 4. Идентификация полученных уроков при обработке инцендентов а так же необходимых улучшений СМИБ и СМИИБ. 5. При реализации идентифицированного улучшения. Программа менеджмента ИИБ предназначена прежде всего для сотрудников ГРИИБ. В стандарте выявлено две категории лиц, предназначенных: 1. Мониторщики 2. Ответственные за оценку, анализ и т.д. В содержании программы МИИБ должны быть включены: 1. Обзор политики менгеджмента ИИБ. 2. Олбщее представление о программе МИИБ. 3. Детальные процессы и процедуры, информация о соответствующих программах и рекоммендации по действиям в рамках каждого этапа Д/з - выписать из стандарта действия по каждому этапу п.3 Отчетность по расследованию ИИБ. 1. Сообщение о событии ИБ - форма может быть различна (устно, по эл.почте, бумажная форма). 2. Сообщение об инценденте ИБ. 3. Объясние нарушителя/свидетелей a. Акт об отказе давать объяснения 4. Документ об инценденте ИБ(акт служебной проверки, заключение служебного расследования) 5. Реккомендации о применяемых мерах 6. Приказ/распоряжение о взыскании к нарушителю 7. Плюс заявление в правоохранительные органы Акт служебной проверки. В акте указываются: 1. Номер акта 2. Дата и место составления 3. Кто составил 4. Суть нарушения (кто, когда во сколько что совершил, пощробности) 5. Какие регламенты были нарушены с указанием конкретных пунктов 6. Причиненный ущерб 7. Подписи a. Руководителя нарушителя b. Составителя c. Краткие объяснения и подпись нарушителя 8. Возможно - возражения/особое мнение. Возможно применение еще одной формы - заключение служебного расследования. Расслежование проводится комиссионно. 1. Номер 2. Местот, дата составления, кто 3. Установленные факты. 4. Ущерб. 5. Обстоятельства. 6. Меры 7. Оценка действий виновных, указание нарушенных регламенв 8. Прекращение расследования 9. Предложение наказания 4.2. Порядок действий при расследовании инцендентов ИБ. В большинстве организаций процесс управления инцендентами ИБ построен следующим образом: 1. Получение инфы о событии (инценденте) ИБ 2. Получение дополнительной инфы, связанной с выявленным инцендентом 3. Анализ ситуации, локализация инцендента и оперативное применение контрмер 4. Установление причин, по которым стал возможен инцендент и определение ответственных лиц за расследование 5. Проведение корректирующих и профилактических мероприятий Эффективность процесса управления инцендентами ИБ зависит от следующих факторов: 1. Координация и согласованность деятельности всех вовлеченных в него лиц 2. Имеющиеся возможности по получению и анализу инфы, связанной с инцендентом. 3. Оперативность и корректность полученных результатов Алгоритм действий при возникновении инцендентов ИБ. Инцендент не должен оказаться неожиданностью и для этого в организации должен существовать план действий, который определяет последовательность проводимых мероприятий, в случае выявления инцендента. В случае критического события (стихийные бедствия, катастрофы и т.д.), долден существовать план обеспечения непрерывности бизнеса. В Российской и зарубежной практике имеется много различных реккомендацаий и указаний о том, как необходимо децствовать при возникновении инценщентов ИБ. Национальный центр по защите инфраструктуры США (НИПС) сформулировал рекоммендации для организаций, которые пострадали от инценщентов ИБ: 1. Реагировать быстрор, установить контакт с правоохранительными органами(в случае неолбходимости) 2. Если есть неуверенность в том,какие действия нужно предпринять, не останавливать системные процессы и не изменять файлы. Это может уничтожить следы преступления 3. Строго следовать всем предписанным процедурам (если организация имеет такие процедуры) 4. Для контактов пользоваться только телефоном (в ряде случаев злоумышленник может просматривать почту). 5. Немедленно связаться в отделом ИБ и действовать по их уаазаниям 6. АОН на телефоны 7. Заранее укреплять контакты с адвокатской конторой, командой аварийного реагирования, правоохранительными органами. Предварительные контакты помогут обеспечить немедленное реагироватье этихподразделений. 8. Сделатьт копии всех файлов, которые нарушитель может стереть или изменить 9. Определитьомновные точки длч поиска потенциальных улик, обеспечить их сохранность и дозательное значени. 10. Не вступать в контакт с подозреваемым. Алгоритм действий работника ГРИИБ при возникновении инцендента. 1. Получение инфы о событии ИБ - получается от систем мгниторинга, штатных средств ОС и приложений, администраторов ОС, пользователей, посторонних лиц. 2. Предварительная оценка события ИБ - результатом этой оценки является вывод, является данное событие инцендентом или нет. 3. Оценка критичности ИИБ - происходит по принятой в организации шкале критичности(значимости) инцендентов. 4. Информирование руководства об ИИБ- в хависимости от степени критичности - информируется соответстющий руководитель. Если инцендент несущественный, то информируется руководите ГРИИБ. Существенный - рук. СБ, куратор СБ, рук. Организации. Куратор - уполномоченное лицо из высшего руководства, кому подчиняется СБ. 5. Сбор свидетельств инцендента ИБ и их оценка. Особое внимание данному процессу уделыется, если материалы расследования будут передаваться в суд. В любом случае, свидетельства долдны быть соответствующе оформлены и сохранены. 6. Идентификация нарушителя. По возможности устанавливается лицо, виновное в данном нарушении. 7. Ликвидация последствий ИИБ. В зависимщости от вида инцендента производятся соответствующие мероприятия 8. Оформление документов по расследованию ИИБ. В любом слвчае, в организации золжнеъкн быть определен мрнисльнв пакет докумен, позволяющий прислечь нарушителчс а ответственности 9. Фиксация инфы по инценденту ИБ(заносится инфа в БД по инцендентам). 10. Мероприятия профилактического характера и принятие привентивных мер. 5-8п. - имеют непосредственное отношение к расследованию инцендента ИБ. При выявлении ИИБ необходимо: 1. Немедленно сообщить руководству ГРИИБ 2. Предварительно выяснить причину инцендента. 3. При наличии признаков умышленного вторжения определить, окончено ли втордение. 4. По возможности, не препятствовать действиям злоумышленника до установления личности 5. Не допустить распространения слухов и панических настроений в организации 6. Установить пстонгахождение хлоумышленнка, передать инфу в правоохранительные органы. Основные этапы процесса реагирования на инцендент. 1. Подготока к факту возникновения инцендента ИБ. Предпринимаются действия для подготовки организации к возникновению инцендента, чтобы нимизировать его последствия и обеспечить быстрое восстановление раьотоспособности ИС. 2. Обнаружение инциндента, его идентификация. 3. Начальное реагивание. - проведение начального расследования, запись основных деталей событий, сопровоздающих инцендент, сбор комиссии по расследованию инцендента, инфгрмирование лиц, которым необзодимо знать об этом инценденте. Пресечение незаконных действий. 4. Формулирование стратегий реагирования. Стратегия базируется на всех известных положениях и фактах, и определяет наилучший путь реагирования на инценщент. Стратегия определяет, какие действия будут приняты по инценденту, в зависимости от предполагаемых причин и его последствий. 5. Расследование инцендента - сбор и анализ данных(что, когда произошло, кто совершил неприемлимые действия, что необзодимо сделать, чтбоы в будвщем этого не повторилось) 6. Подготовка отчета - пакет необходимых документов в принятой организацией форме. 7. Решение - состоит в принятии решения о применении защитных механизмов и проведении изменений в процедуре менеджмента ИИБ Этап сбора свидетельств и их обработки является нгаиболее ответственным. Данная процедура должна быть документально описана в организации и доведена до сведения всех участников ГРИИБ и привлекаемых специалистов к расследованию. Особое внимание уделяется сохранности свидительств. Процедура противодецствич распространения инцещнета строится отдельно для каждого конкретного инциндента и зависит от его тиипа. К основным критериям относятся: 1. Потенцианое возможное повреждение или кроажа активов 2. Потребность в созранении свидетельств инциндента 3. Доступность активов 4. Кол-во времени и необходимые ресурсы для реализации эффективной стратегии противодействия (полное или частичное решение проблемы) 5. Срок действия стратегии Идентификация нарушителя - в некоторых случаях сразу выявить нарушителя очень сложно. В процессе реагивания на инцендент участвуют(в зависимости от сложности): 1. Незначительлно - Ответственный работник ГРИИБ 2. Серьезный - приказом руководителя может назначаться комиссия по расследованию ИИБ. В комиссию могут взодить: a. Представители ГРИИБ b. От айтишников c. Юристы d. Кадровики e. Представители других подразделений f. Сторонние организации, которых можно привлечь для расследования 3. Правохранительные органы 4. Другая компания. Проведение расследований ИИБ. Расследование ИИБ включает в себя определение виновных в его возникновении, сбор доказательств и улик инциндента, а так же определение соответствующих рекоммендаций по применению ответственности. Фаза расследования призвана определить: кто, что, когда, как, почему были вовлечены в инциндент. Условно, расследования делятся на 2 этапа: 1. Сбор данных/свидетельств/улик 2. Их криминалистический анализ. Инфорция, собранная в ходе первого этапа служит для выработки стратегии реагирования на ИИБ, а на этапе анализа определяется кто,что,как...были вовлеченф в инциндент, т.е. устанавливается виновный и обстоятельства совершения инциндента. Целью расследования является установление виновных лиц, причин и обстоятельств ИИБ. Как правило, расследование ИИБ призвано решить задачи: 1. Устаноивть способ втордения в систему 2. Выяснить цели, которые преследовал злоумышленник 3. Установить личность злоумышленника и принчть меры, исключающие им применение противоправных действий. 4. Установить мотивацию и его возможных соучастников, в т.ч. внутри организации 5. Возместить нанесенный ущерб 6. Принять меры по устранению уязвимостей, которыми воспользовался злоумышленник. Варианты проведения расследования ИИБ, кто: 1. Своя СБ 2. Правоохранительные органы 3. Коммерческие организации 4. Использование "друзей" и случайных лиц. Примерный алгоритм расследования ИИБ. 1. Четко определить руководителя расследования и в дальнейшем выполнятл его распорядения. На это лицо замыкаются все контакты с правоохранительными органами и привлеченными организациями. 2. Обеспечитьт полную конфиденциальность расследования. Всей полнотой инфы владеют только руководитель СБ и расследования. Руководству организации докладываются окончательные вывводы - результаты. Всем остальным иныа доводится по необходимости. 3. Получить подбное письменное объяснение от сотрудника организации, который первый сообщил об инценденте: a. Что проихошло b. Каким олбразом работник узнал об этом(случайно, в рамках служебных обязанностей, от посронних.....) c. Что могло стать причиной инциндента по его мнению d. Кто в это время находился поблизости e. Кто приходил на место выявления инциндента f. Видел ли аботник посторонних лиц g. Происходили ли подобные инцинденты раньше, если да - почему h. Кому и когда работник об этом сообщил и принимались ли меры i. Какие последствия может име инциндент, можно ли его немедленно устранить и каков может быть материальный ущерб 4. Аналогичное объяснение от всех работников, которые присутствовали в помещении где произошел инциндент(применительно к компитенции) 5. Совместно с ответственным от айтишников локализовать инциндент ИБ 6. Установи, кто персонально отвечает за данный участок, регламентирована ли его деятельность инструкций, и насколько точно эта инструкция соблюдалась 7. Установить возможные последствия инциндента, наличие материального ущерба 8. Что являлось причиной инциндента(умысел,халатность,случайность, сбой оборудования, др.) 9. В случае выявления умысла, решить вопрос о целесообразности обращения в правоохранительные органы или коммерческую организацию, проводящую расследования и составить план взаимодействия 10. Совместно с начальником айти-отдела (правоохранительными органами или коммерческими организациями) произвести осмотр места инциндента, составить об этом соответстющий протокол. При неолбходимости, произвести осмотр других предметов или помещений, которые могут иметь отношение к данному инцинденту. 11. Только после получения разрешения от руководителя расследования и представителя правоохранительных органов в полном объеме восстановить работоспособность поврежденного участка 12. В процессе расследования четко исполнять требования руководителя расследования 13. После выявления злоумышленника установитьт мтотивацию его действий, возможных соучастников, использованные им уязвимости. Получить от него письменное объяснение 14. Принять меры к возмещению нанесенного организации материального ущерба (по возможности) 15. Принять меры, исключающие повторение подобных инциндентов в будущем. Планирование расследований ИИБ. Прежде, чемприступить к планированию проведения расследования ИИБ, необходимо понимать, чтоможно выделить 4 типичные следственные ситуации: 1. Собственник ИС собственными силами выявил инциндент ИБ в системе, установил виновника и привлек его к дисциплинарной ответственности. 2. Собственник ИС собственными силами выявил ИИБ, установил виновное лицо и заявил об этом в правоохранительные органы 3. Собственник ИС собственными силами выявил ИИБ, но не смог установить виновника и заявил об этом в правоохранительные органы или привлек коммерческую организацитю к расследованию. 4. Сведения об инцинденте ИБ в ИС и виновном лице стали общеизвестными или были выявлены посторонними лицами, в т.ч. правоохранительными органами. Планирование расследования ИИБ должно исходить из конкретной типовой ситуации, из вида инциндента, от предполагаемого нарушителя (внутренний, внешний), от размера ущерба и других обстоятельств. В ходе планирования в плане должны найти свое отражение вопросы: 1. Личность нарушителя 2. Определение места внедрения в ИС/место ИИБ 3. Сбор инфы об обстоятельствах ИИБ 4. Инфа о предполагаемом ущербе 5. Описание действий, которые необходимо будет выполнить Порядок взаимодействия с правоохранительными органами при проведении расследования инцидентов. В случае, если в органиации проиходит преступление, по которому мы будем обращаться в правоохранительеые органы, то данный процесс регламентируется уголовно-процессуальным кодексом РФ. 1. Подача заявления по преступлению - статья 140 УПК "поводы и основания для возбуждения уголовного дела" a. 1 ч. - поводами служат: i. Заявление о преступлении ii. Явка с повинной iii. Сообщение о совершенном или гототвящемся преступлении, полученном из иных источников. b. Основания для возбуждения уголовного дела - наличие достачных данных, указывающих на признаки преступления Статоя 144 - порядок рассмотрения сообщения о преступлении 1. Дознаватель, орган дознания, следовательл обязаны принять, проверить сообщение о любом совершенном или готовящемся преступлении, и в пределах оей компетенции, установленной настоящим кодексом, принять по нему решение в срок не более 3 суток со дня поступления указанного сообщения. При проверке сообщения о преступлении орган дознания ... вправе потребовать производство документальных проверок, ревизий и привлечь к их участию специалистов. 2. По сообщению о преступлению, распространенному в СМИ проверку проводит орган дознания по поручению пкурора или следователь, по поручению руководителя следственного органа. Редакция или глав.редакторСМИ обязаны предоставить всю имеющуюся инфу, кроме случая,когда лицо, предоставившее редакции инфу поставило условие о сохранении конфиденциальности источника. 3. Руководитель следственного органа или начальнпк органа дознания имеют право продлить срок принятия решения до 10 суток, в случае, если производятся документальные проверки или ревизии - до 30 суток - прокурор по ходатайству руководителя. 4. !!! Заявителю выдается документ о принятии сообщения о преступлении с указанием данныхо лице, его принявших, плюс дата и время его принятия. 5. Отказ в приеме сообщения о преступлении может быть обжалован прокурору или в суд. Решение по результатам рассмотрения сообщения о преступлении - статья 145 : 1. По результатам рассмотрения орган дознания, ... принимает одно из решений: a. О возбуждении уголовного дела - 146 УПК b. Об отказе в возбуждении c. О перезаче соощения по подследственности или в суд. 2. О принятом решении сообщается заявителю. Разъясняется право обжаловать решение и порядок обжалования. 3. В случае принятия решения,предусмотренного п.3 дознаватель, ... принимают меры по сохранению следов преступления. 4. После получения заявления орган дознания (упр.К, подр.Б) в течение 3 или 10 суток проводят доследственную проверку. В это время орган дознания должен определить, достачно ли данных, которые указывают на совершение преступления. В этот период времени производится розыск и установление злоумышленника. Если есть полные данные, с большой долей вероятности возбуждается уголовное дело. Если нет: a. Стремление закрыть за недостаточностью. b. Усилия для получения инфы. Возбуждение уголовного дела публичного обвинения - 146 УПК: 1. При наличии повода и оснований орган дознания,... в пределах компитенции, установленной УПК, возбуждает уголовное дело, о чем выносится соответствующее постановление. 2. В постановлении указываются: a. Дата, время и место вынесения, b. уем вынесено c. Повод и основания для возбуждения d. Пункт часть статья УК по которому возбуждается дело. Изъятие и исследование компьютерной техники и носителей инфы. 2.1 Правовые основы я изъятия компьютерной техники. В ходе доследственной проверки или следствия по уголовному делу уполномоченные сотрудники органов дознания и следствия, в соответствии с УПК имеют право изыть любые предметы, находящиеся в жилище подозреваемыхили иных лиц, имеющих отношение к уголовному делу. Изхятие компьютерной техники может производиться в соответствии со статьями 182, 183 УПК путем обыска и выемки, либо в соответствии со ст.176,177 путем осмотра места происшествия. Посмотре статьи дома. Важнейшим условием дальнейшего испозование изъятой техники в качестве доказательственной базы является строгое соблюдение требований УПК. Практика показывает, что на стадии изъятия оборудования могут допускаться ошибки, существенно затрудняющие исследование изъятого оборудования,либо лишают результаты исследования доказательного значения: 1. Отсутствие специалиста при следственных действиях 2. Некомпетентность понятых 3. Ненадлежащее опечатывание 4. Процессуальные нарущения 5. Тактические ошибки При изъятии оборудования необходимо обеспечить исключение несанкционированного доступа к нему. Основное - опечатывание. Процессуальные ошибки: 1. Обыск или выемка проводятся без постановления следшователя или санкции суда. После должен быть протокол. Подписи всехиприсутстющих и их список. Подписывается каждый лист. Указание времени начала и окончания следственных действий. Копия пкола должна вручатлся тому, у кого проводился обыск. Описано конкретно все то, что изъято. Тактические ошибки: 1. Преступник узнает заранее о обыске. 2. Нарушен порядок следственных действий. 3. Все люди участвующие должны находиться в одном месте. 4. Нельзя ничего включать. Исследованиетехники. Исследование техники производит специалист - эксперт(УПК). 1. Провер целостности опечатфвания 2. Исследование внешнего вида 3. Исследование составляющих объекта, все ди элементы - типовые. 4. Проверка технического состояния - повреждения, неисправности... 5. Наличие записей. 6. Создание копии диска и работы производятся только с копией. 7. Исследования a. Вручную b. С использованием ПО - прим.Нкейс. Выводы эксперта и экспертное заключение. Перед экспертом ставятся вопросы, на которые он должен дать письменный ответ. Статья 204 УПК - заключение эксперта. ПЕРЕПИСАТЬ. Основные ошоибки эксперта: 1. Не должен отвечать на вопросы, не входящие в его компитенцию 2. Не должен делать выводы по виновности, умысле и т.д. В заключении экперт описывает все обстоятества объективно.