Сделай Сам Свою Работу на 5
Главная | Контакты

Опишите процесс расследования инцидентов ИБ (кейсы).

123




Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

· сбор свидетельств и их анализ;

· выявление виновных и установление меры их ответственности;

· установление причин, давших возможность инциденту произойти;

· вынесение рекомендаций по принятию мер по предотвращению инцидентов;

· хранение и защита материалов расследования.

Сбор свидетельств инцидента ИБ — важнейшая часть процесса независимо от того, в каких целях проводится расследование. От качества собранных свидетельств в немалой степени зависит его успех, поэтому свидетельства должны отвечать ряду обязательных требований:

· полнота (свидетельств достаточно для объективного суждения об инциденте);

· относимость (свидетельство имеет отношение к инциденту);

· достоверность (свидетельства получены из доверенных источников и неизменны);

· допустимость (свидетельства должны быть получены легальным способом).

На начальном этапе проведения расследования сложно сказать, будут ли иметь свидетельства судебные перспективы (ведь о природе инцидента, виновнике и наличии умысла еще неизвестно), поэтому к обеспечению допустимости, достоверности и полноты следует относиться со всей серьезностью, руководствуясь принципом "дьявол прячется в мелочах". Следует также понимать, что никакие доказательства не имеют заранее установленной силы, а доказательства, собранные с нарушением требований законодательства (в частности, главы 6 ГПК РФ), могут быть признаны недопустимыми. Кроме того, необходимо иметь в виду, что в случае производства по уголовному делу сбор доказательств может осуществляться только следователем или оперуполномоченным, поэтому нужно быть готовым к быстрому установлению контактов с правоохранительными органами в случае необходимости.



Работа со свидетельствами включает следующие шаги

1. Фиксирование состояния объекта на момент развития инцидента (например, выполнение побайтового копирования жесткого диска или выполнение дампа оперативной памяти). Это обеспечит сохранность свидетельств и их защиту от модификации. Здесь важно "успеть" узнать об инциденте до того, как работники ИТ-подразделения начнут восстанавливать работоспособность атакованной системы и полностью уничтожат возможные свидетельства.



2. Обеспечение соблюдения принципа хронологической последовательности и связности свидетельств (chain of custody), на основе которых можно установить, как именно свидетельства собирались, хранились и перевозились. Все свидетельства должны быть соответствующим образом промаркированы с возможностью идентификации лица, приобщившего их к делу.

Эти действия обеспечат сохранность свидетельств и помогут обеспечить доверие к ним со стороны лиц, принимающих решения по результатам расследования.

Здесь нужно сделать несколько оговорок. Во-первых, гарантировать такое доверие, разумеется, невозможно, но нужно постараться максимально этому способствовать. Во-вторых, следует иметь в виду, что в случае производства по уголовному делу с высокой долей вероятности исследование будет проводиться в лабораторных условиях с изъятием компьютерных средств. А значит, чтобы бизнес-процессы не прервались, необходимо предусмотреть возможность быстрого переноса роли изымаемого компонента системы на другое оборудование.

Лучшим свидетельством является свидетельство "первой инстанции", созданное (возникшее) без участия исследователя. Например, журнал аудита системы контроля доступа, системные журналы операционных систем, журналы системы обнаружения вторжений, являющиеся в данном случае электронным документом2. Задача исследователя в данном случае сводится к фиксированию состояния системы (например, выполнению уже упомянутого побайтового копирования жесткого диска) с последующим извлечением и сохранением свидетельств.



Первоочередное внимание нужно уделять тем свидетельствам, которые имеют прямое отношение к инциденту, то есть обладают способностью прямо характеризовать событие (в отличие от косвенных свидетельств, лишь указывающих на существование прямых свидетельств).

Отдельным видом свидетельств являются письменные объяснения лиц, имеющих отношение к инциденту, а также мнения привлеченных специалистов и экспертов. Все они должны быть соответствующим образом оформлены и приобщены к материалам расследования.

Итак, все свидетельства собраны, проведен их анализ. На основании результатов анализа нужно, во-первых, установить глубинные причины инцидента для принятия превентивных мер, а во-вторых, попытаться установить лиц, виновных в возникновении инцидента.

Превентивными мерами могут быть как организационные мероприятия (например, обучение работников или разработка соответствующих регламентов), так и технические меры (установка средств защиты, модернизация или замена компонентов информационных систем и т.д.). Конкретные меры каждая организация разрабатывает и реализует самостоятельно.

Выявление нарушителя — задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации виновника (виновников) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца — в целях компенсации нанесенного материального ущерба).

Опишите возможные к применению метрики информационной безопасности и как вы будете их измерять (кейсы).

С помощью метрик можно продемонстрировать, каким образом деятельность по обеспечению информационной безопасности влияет на достижение целей бизнеса предприятия. В сущности, метрики – это индикаторы, позволяющие на регулярной основе выявлять недостатки в системе защиты информации и принимать своевременные меры для улучшения процессов и мер защиты, а также устранять причины, вследствие которых могли возникнуть сбои в работе. Дополнительной функцией метрик информационной безопасности является возможность принятия взвешенных и объективных управленческих решений, связанных с мерами и процессами защиты информации.

Возможные метрики:

инцидент, произошедший из-за некорректной настройки системы контроля доступа – измеряем количество за квартал, единица измерения – инцидент;

стоимость СЗИ в расчете на одного сотрудника –за 6 месяцев, рубли (доллары) на сотрудника;

время между обнаружением уязвимости и ее устранением – за квартал, ед. изм. – час;

число неудачных попыток входа в систему в неделю на одного сотрудника;

удачная/неудачная аутентификация – за квартал, ед.изм. – секунда.

План мероприятий по защите информации на год.

Основными целями планирования мероприятий по защите информации являются:

· организация проведения комплекса мероприятий по защите конфиденциальной информации, направленных на исключение возможных каналов утечки этой информации;

· установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия;

· определение сроков (времени, периода) проведения конкретных мероприятий по защите информации;

· систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации;

· установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении конкретных мероприятий;

· уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия.

В начале года составляется план на год с мероприятиями по ЗИ. Они делятся на:

Постоянные (проводятся постоянно): поддержка СЗИ в рабочем состоянии (в т.ч. замена сломанных комплектующих); совершенствование ЗИ; резервное копирование; обновление (пример: базы антивирусов);

Переменные (проводятся с периодом): Совершенствование нормативно-правовой базы; подготовка персонала по вопросам ЗИ; проверка наличия носителей ЗИ; аудит

 

 

37. Сформулируйте перечень знаний и навыков специалистов отдела ЗИ и составьте план обучения (кейсы)

Специалист по ЗИ должен знать:

- Законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации.
- Специализацию предприятия и особенности его деятельности.
- Технологию производства в отрасли.
- Оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации.
- Систему организации комплексной защиты информации, действующей в отрасли.
- Методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки.
- Методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны.
- Технические средства контроля и защиты информации, перспективы и направления их совершенствования.
- Методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации.
- Порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации.
- Достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации.
- Методы и средства выполнения расчетов и вычислительных работ.
- Основы экономики, организации производства, труда и управления.
- Основы трудового законодательства.
- Правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.санитарии и противопожарной защиты.

Примерный план обучения:

Тема 1Руководство и управление информационной безопасностью. Цель: Внедрение и поддержка общей среды руководства и управления ИБ, соответствующих процессов для обеспечения соответствия стратегии ИБ целям организации, а также управления рисками и ресурсами

- Разработка стратегии ИБ в соответствие с целями организации

- Внедрение общей среды руководства и управления ИБ и ее интеграция в корпоративное управление

- Разработка, поддержка и распространение политик ИБ

- Разработка бизнес-кейсов (ТЭО) для обоснования инвестиций в ИБ

- Получение поддержки со стороны высшего руководства для успешного внедрения стратегии ИБ

- Роли и ответственность в области ИБ

- Метрики ИБ (KGI, KPI, KRI)

Тема 2 Управление информационными рисками и соблюдение нормативных требований. кол-во часов 6

Цель: Управление информационными рисками на приемлемом уровне для обеспечения выполнения требований бизнеса и законодательства

- Классификация информационных активов

- Идентификация законодательных и других применимых требований

- Оценка рисков, уязвимостей и угроз

- Обработка рисков

- Анализ контрольных мер в области ИБ

- Анализ разрывов между существующим и приемлемым уровнями риска

- Интеграция управления информационными рисками в бизнес и ИТ-процессы

- Мониторинг существующих рисков с учетом изменяющейся среды

- Отчетность по управлению информационными рисками для руководства

 



123




Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.