Конференция Персональные данные 2012: проблемы и решения

Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Управление инцидентами Система управления инцидентами информационной безопасности

Вход Регистрация

Форум
перейти на форум
RSS

Блоги

Защита персональных данных
Статьи по защите персональных данных
Видео о защите персональных данных
Федеральный закон N 152-ФЗ "О персональных данных"
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Постановление Правительства РФ № 781 от 17 ноября 2007
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687
See the entire folder …
СОФТ
Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей
Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов
Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)
See the entire folder …

Система управления инцидентами информационной безопасности
Send this page to somebody Print this page

ОСНОВНОЙ целью обеспечения информационной безопасности (ИБ) организации является снижение рисков, действующих в отношении информационных ресурсов, и в конечном счете предотвращение или минимизация ущерба от возможных инцидентов ИБ.

С.B. Заречнев
эксперт

Для достижения этой цели в большинстве крупных и средних компаний созданы подразделения информационной безопасности, которые планируют и реализуют комплекс мероприятий по защите своих информационных ресурсов. Хорошей практикой организации деятельности по защите информации является следование модели PDCA. Эта модель объединяет 4 взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие.

Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании. Однако в данной статье мы ограничимся рассмотрением механизмов управления компьютерными инцидентами, которые включаются в процесс мониторинга.

Управление компьютерными инцидентами - процесс или набор процессов, на вход которых подаются данные, полученные в результате сбора и протоколирования данных о событиях, затрагивающих информационные системы, а на выходе этих процессов получают информацию о причинах произошедшего инцидента, об ущербе, нанесенном компании, и мерах, которые необходимо принять для того, чтобы инцидент не повторился. Таким образом, управление компьютерными инцидентами направлено на совершенствование подсистемы обеспечения безопасности компании. Кроме того, получаемые на выходе данные являются, по сути, единственным объективным свидетельством в определении вероятности реализации угроз при анализе рисков.

В большинстве организаций процесс управления компьютерными инцидентами построен следующим образом:

  • получение информации о компьютерном инциденте;
  • получение дополнительной информации, связанной с выявленным нарушением;
  • анализ ситуации, локализация нарушения и оперативное применение контрмер;
  • установление причин, по которым стало возможным случившееся нарушение и, может быть, определение ответственных лиц (расследование);
  • проведение профилактических мероприятий, разработка и внедрение мер по недопущению повторного нарушения.

Используемые для выявления инцидентов процедуры сбора информации могут обеспечиваться как техническими, так и организационными мерами; например, в соответствии с требованиями политики безопасности сотрудник, обнаруживший нарушение, обязан сообщить о нем в подразделение информационной безопасности. Затем информация о выявленных инцидентах фиксируется в специальных журналах (в бумажном или электронном виде).

Результаты анализа, расследований и профилактических мероприятий обычно оформляются в виде справок, отчетов и аналитических записок и хранятся в подразделении ИБ. Однако если в компании эффективно реализована регистрация событий, а ее информационная инфраструктура характеризуется значительным размером и территориально распределена, то рано или поздно наступает момент, когда информацию, связанную с инцидентами и ходом их расследований, становится трудно обрабатывать без помощи специального инструментария. Еще проблематичнее становится подготовка и анализ статистики по компьютерным инцидентам, в то время как эта статистика является одним из ключевых показателей эффективности действующей подсистемы безопасности компании. Очевидно, что в результате этого падает эффективность процесса управления компьютерными инцидентами, что в конечном счете негативно влияет на обеспечение ИБ компании в целом.

Каким же образом можно существенно повысить эффективность процесса управления компьютерными инцидентами? Прежде всего необходимо определить показатели эффективности. Эффективность процесса управления инцидентами зависит от:

  • координации и согласованности действий всех вовлеченных в него лиц;
  • имеющихся возможностей по получению и анализу информации, связанной с инцидентом;
  • оперативности и корректности полученных результатов.

Повышение каждого из перечисленных показателей заметно поднимет эффективность всего процесса управления инцидентами и тем самым позволит подразделению информационной безопасности добиться более значительных результатов.

Радикально изменить ситуацию по управлению инцидентами можно, используя систему управления компьютерными инцидентами. Эта система позволит:

  • консолидировать всю информацию о компьютерных инцидентах в едином хранилище;
  • создать единый центр управления инцидентами ИБ с целью обеспечения контроля и координации действий по локализации и расследованиям;
  • повысить скорость реагирования и оперативность выявления причин инцидента;
  • повысить достоверность получаемых результатов по выявлению причин инцидента,ответственных лиц и определению необходимых действий, устранению последствий инцидента и применению контрмер;
  • формировать статистику по инцидентам ИБ, выявлять тенденции ее изменения и анализировать динамику этих изменений;
  • автоматизировать применение контрмер для снижения риска ИБ при выявлении типовых инцидентов.

Таким образом, система фактически будет являться системой коллективной работы, которая автоматизирует процессы по управлению инцидентами ИБ, при помощи интеграции людей и аппаратно-программного обеспечения мониторинга и защиты, а также информационной инфраструктуры организации.

Концепция и структура построения системы управления инцидентами ИБ

Архитектура системы управления инцидентами ИБ включает себя следующие основные компоненты:

  • интеграционную платформу;
  • аппаратно-программные средства мониторинга и аудита;
  • аппаратно-программные средства защиты информации;
  • хранилище информации об инцидентах ИБ;
  • аналитические инструменты и средства генерации отчетов;
  • средства управления и настраиваемые интерфейсы с пользователями.

Рассмотрим каждый компонент системы в отдельности.

Интеграционная платформа платформа является ядром системы. Она реализует функции по интеграции и взаимодействию всех компонент, составляющих систему. Интеграционная платформа предоставляет:

  • интерфейсы для интеграции средств мониторинга и аудита, обеспечивая сбор данных;
  • интерфейсы к средствам защиты информации для оперативного изменения их конфигурации в целях локализации последствий инцидентов ИБ;
  • интерфейс к хранилищу данных;
  • сервисы по использованию аналитических функций и средств генерации отчетов.

Основная цель интеграционной платформы состоит в обеспечении четкой и оперативной координации и взаимодействия лиц, отвечающих за реагирование на события, связанные с компьютерными инцидентами. Такими лицами могут быть:

  • пользователи информационных систем организации - оповещение о компьютерных инцидентах;
  • администраторы и персонал подразделений автоматизации - оповещение, реагирование, локализация, разбор инцидентов и т.п.;
  • сотрудники подразделений безопасности - реагирование,контроль, координация действий по устранению, расследование причин, выработка предложений по недопущению повторения инцидентов.

Аппаратно-программные средства мониторинга и аудита - средства, реализующие функции по протоколированию, сбору, накоплению и обработке информации о функционировании информационных систем организации. К таким средствам относятся как встроенные (штатные средства операционных систем, приложений, сетевых устройств, средств защиты и автоматизированных систем), так и специализированные средства (разработанные по техническим заданиям подразделения информационной безопасности, а также специализированные средства аудита -сканеры безопасности, программные агенты, сенсоры, собирающие информацию и пр.). Результатом работы всех перечисленных средств являются данные, на основе которых системой автоматически или после их анализа экспертом принимается решение о наступлении компьютерного инцидента. Данные средства составляют подсистему сбора информации о компьютерных инцидентах. На деятельности этой подсистемы и основан контроль за обеспечением безопасности ИТ в организации.

Аппаратно-программные средства защиты в контексте системы управдения инцидентами ИБ - средства, которые обеспечивают локализацию инцидентов или снижение ущерба. Эти средства имеют механизмы, позволяющие проводить быстрое и дистанционное изменение своей конфигурации или иметь в своем составе заранее разработанные автоматизированные сценарии действий по минимизации возможного ущерба от компьютерных инцидентов.

Современные тенденции развития средств защиты демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим комплекс задач по защите информации, и это отлично сочетается с концепцией системы управления информационной безопасностью. Именно такие решения проще объединить с этой системой и получить положительный результат.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2006

Предстоящие события
30-05-2012
Positive Hack Days 2012
Москва, Дмитровское ш., д. 27 к. 1, Клуб "Молодая гвардия"
30-05-2012
VIII-й Специализированный форум «Современные системы безопасности — Антитеррор»
Россия, Красноярск, ул. Авиаторов, 19, МВДЦ «Сибирь».
31-05-2012
Информационная безопасность: новые потребности рынка
07-06-2012
IT & Security Forum 2012 Kazan
Казань, отель Корстон, ул. Николая Ершова 1А
07-06-2012
8-й Евразийский форум информационной безопасности и электронного взаимодействия «ИНФОФОРУМ-Евразия»
Москва, здание Правительства Москвы (ул. Новый Арбат, 36)

< Май 2012 >
Пн Вт Ср Чт Пт Сб Вс
12 3456
78910111213
1415 16 17 18 19 20
21222324252627
282930 31
Новости
21-05-2012 18-05-2012 17-05-2012 16-05-2012 16-05-2012
Пресс-релизы
21-05-2012 18-05-2012 17-05-2012 17-05-2012 17-05-2012
Антивирусный вестник
18-05-2012 13-05-2012 04-05-2012 03-05-2012 02-05-2012
Рассылка

Пресс-релизы компаний
Новости портала
Антивирусный вестник



©2003 - 2012 GlobalTrust
Разработка сайта: Maximaster 		Рейтинг@Mail.ru Rambler's Top100 Yandex