Информационная безопасность: управление инцидентами
Операции с документом
Автор: Зосимовская Наталья
Опубликовано 05 марта 2009 года
Существует много примеров, когда после тех или иных действий злоумышленников компании теряли ценную информацию, тратили большие суммы на устранение последствий инцидентов безопасности, и потом долгое время вынуждены были восстанавливать репутационный ущерб и налаживать взаимоотношения с партнерами и клиентами. Естественно, все эти факторы крайне негативно сказывались на бизнес-деятельности. Поэтому заранее нужно быть готовым к тому, что инцидент безопасности может затронуть и вашу организацию. Чтобы своевременно его идентифицировать, правильно и по возможности быстро среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь структурированный, хорошо спланированный и главное работающий процесс управления инцидентами ИБ.
Немного статистики
Институт компьютерной безопасности США – CSI в течение нескольких последних лет проводит ежегодное исследование, посвященное безопасности и компьютерным инцидентам. Хотелось бы представить некоторые результаты, которые были получены по 2008 году.
Итак, почти половина опрошенных респондентов (43%) признались в том, что в прошедшем году они пострадали от инцидентов ИБ. Стоит отметить, что к данной цифре стоит относиться с некоторой долей скепсиса по причине того, что зачастую отсутствие данных по инцидентам ИБ, скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии. Поэтому можно предположить, что от инцидентов пострадал больший процент опрошенных.
Далее в исследовании задавался вопрос по типам зафиксированных инцидентов ИБ, от которых пострадали компании. Первую позицию заняли вирусы (50%), которые вернули себе лидерство по сравнению с прошлогодним исследованием, когда на первое место вышли инсайдерские злоупотребления. Следом в списке расположились, соответственно, инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти цифры говорят о том, что человеческий фактор является одной из основных причин возникновения инцидентов, и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.
В 2007 году CSI ввел новый вопрос в свое исследование, касающийся количества направленных атак, которое организация испытала за год. Под направленными атаками подразумеваются атаки, которые совершались целенаправленно на заранее выбранную организацию. В результате опроса 2008 года 27% опрошенных признались в том, что испытали хотя бы одну направленную атаку за прошедший год. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.
Также в рамках исследования респонденты оценили ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на 1 респондента составили $288,618. Сумма достаточно впечатляющая. Поэтому нужно быть готовым заранее к тому, что инцидент безопасности может затронуть и вашу организацию. И чтобы своевременно идентифицировать инцидент, правильно и по возможности быстро на него среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь комплексный процессный подход к работе с инцидентами ИБ.
Система управления инцидентами
Система управления инцидентами информационной безопасности является основополагающей частью общей системы управления информационной безопасностью в компании. Она позволяет обнаруживать, учитывать, реагировать и анализировать события и инциденты информационной безопасности. На сегодняшний день существует большое количество различных стандартов и лучших практик в этой области. В качестве примера можно привести наиболее известные стандарты ISO: ISO\IEC 27001-2005, ISO/IEC TR 18044.
Так в рамках стандарта ISO\IEC 27001-2005 выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся, в том числе и к процессам управления инцидентами. Стандарт ISO/IEC TR 18044 в свою очередь описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA. В стандарте даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам. Также по тематике управления инцидентами существуют стандарты серии ITU-T для операторов связи, набор документов CERT, NIST и ряд других стандартов.
Таким образом, на сегодняшний день существует достаточно большой объем материалов, дающих рекомендации по построению системы управления инцидентами в рамках организации, которыми стоит воспользоваться как основой при планировании и построении системы управления инцидентами ИБ.
Стоит отметить, что построение процесса управления инцидентами своими силами задача довольно непростая, т.к. требует больших временных и человеческих затрат, а также определенных компетенций. Поэтому зачастую компании, которые приняли решение о том, что управление инцидентами должно быть внедрено, обращаются за помощью к сторонней компании-консультанту, в штате которой имеются специалисты-практики в данной области, способные выстроить процесс для организации с учетом её специфики.
Если говорить в общих чертах о создании системы управления инцидентами, то она может быть внедрена в несколько основных этапов. На первом этапе проводиться предпроектное обследование. В его рамках осуществляется сбор и анализ информации об имеющихся и используемых на данный момент регламентах, процедурах и средствах обеспечения информационной безопасности и управления инцидентами. Если какие-то наработки в направлении структурирования работы с инцидентами уже есть, то их следует проанализировать и по возможности использовать в дальнейшем проектировании. Также должны быть собраны сведения об используемых информационных системах и технологиях обработки информации, а также выявлены источники событий информационной безопасности (активы). Активам должны быть назначены владельцы, а также определена степень важности (критичности) каждого из них непосредственно для бизнес-деятельности организации. По завершении этапа определяется скоуп, т.е. область действия системы управления инцидентами информационной безопасности.
На следующем этапе осуществляется разработка процессов системы управления инцидентами информационной безопасности и написание соответствующих документов. Под процессами подразумеваются те основные виды деятельности, которые должны осуществляться в рамках всего жизненного цикла обработки инцидента, это: мониторинг и выявление инцидентов, их обработка (регистрация инцидента, реагирование и расследование инцидента), разработка и принятие корректирующих или превентивных мер для того, чтобы подобный инцидент не возникал в будущем. Помимо разработки процессов системы на данном этапе должен быть создан необходимый пакет нормативно-распорядительной и организационной документации. При его создании можно руководствоваться требованиями к документированию, выдвигаемыми международным стандартом ISO/IEC 27001-2005. В завершение этапа осуществляется выбор средств автоматизации и аппаратная платформа, которые будут служить основой системы управления инцидентами и осуществляется эскизное проектирование автоматизированной системы.
Следующий этап это уже непосредственно интеграция разработанных процессов управления инцидентами в существующую систему управления безопасностью компании. На этом этапе распределяются роли, т.е. помимо определения задействованных в процессе сотрудников осуществляется распределение ролей и функциональных обязанностей. Также необходимо провести обучение задействованного в процессе управлении инцидентами персонала и провести тестирование и отработку всех процессов. Это делается для того, чтобы быть уверенным, что каждый правильно понял и усвоил свои обязанности в рамках отведенной роли, а также отработать механизмы взаимодействия в рамках процесса. Также на данном этапе осуществляется технорабочее проектирование автоматизированной системы.
На последнем этапе осуществляется уже непосредственно внедрение автоматизированной системы мониторинга и управления инцидентами информационной безопасности, а именно: поставка компонент системы мониторинга и управления инцидентами, их установка и настройка, обучение персонала работе с системой, проведение опытной эксплуатации, устранение выявленных ошибок и сдача в промышленную эксплуатацию.
Заключение
В заключение хотелось бы обозначить те основные проблемы, которые сможет решить внедрение и автоматизация процесса управления инцидентами ИБ. Во-первых, грамотно спроектированная и настроенная под нужды компании система управления инцидентами позволит не только адекватно и оперативно выявлять инциденты безопасности, но и своевременно на них реагировать, тем самым, сокращая возможный ущерб, который мог быть нанесен. Также следует отметить, что собранная статистика и результаты анализа инцидентов позволят в будущем принимать обоснованные решения по обеспечению безопасности в организации.
Наталья Зосимовская, ведущий специалист компании «Информзащита».
Источник: cio-world.ru