Управление инцидентами информационной безопасности на предприятии.

1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.

 

Основной нормативный документ - ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»

Менеджмент инцидентов ИБ можно отнести к управлению эккаунтингом, которое связано с процессами сбора, обработки и анализа данных о работе организации, их сравнении с исходными и плановыми показателями, результатами деятельности других организаций с целью своевременного выявления проблем и вскрытия резервов для более полного использования имеющегося потенциала. Таким образом, основным направлением менеджмента инцидентов ИБ является сбор, обработка, анализ информации об инцидентах, которые происходят в организации. Менеджмент инцидентов ИБ является составной частью менеджмента ИБ вцелом.

Из 27001 - СМИБ - часть общей системы менеджмента организации, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения ИБ. Система менеджмента ИБ включает в себя организационную структуру, политики, планирование, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Задачи:

1. Обнаружение инцидентов ИБ, информирование о них и учет ИИБ.
2. Реагирование на инциденты ИБ;
3. Анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения ИБ вцелом.

Основа менеджмента строится на основе процессной модели Гемминга-Шухарда.

1. Планирование и подготовка
2. Использование
3. Анализ
4. Улучшение.

В целом, все по этому вопросу написано в ГОСТ 18044.

 

Организация расследования инцидентов информационной безопасности на предприятии. Перечень решаемых задач и анализ типовых ситуаций, возникающих при расследовании инцидентов информационной безопасности. Алгоритм действий при возникновении инцидента. Основные этапы процесса реагирования на инцидент.

Расследование - комплекс мероприятий, которые направлены на выявление виновного в совершении ИИБ и установлении причин, которые ему способствовали.

Расследование ИИБ включает в себя определение виновных в его возникновении, сбор доказательств и улик инциндента, а так же определение соответствующих рекоммендаций по применению ответственности. Фаза расследования призвана определить: кто, что, когда, как, почему были вовлечены в инциндент. Условно, расследования делятся на 2 этапа:

1. Сбор данных/свидетельств/улик
2. Их криминалистический анализ.

Информация, собранная в ходе первого этапа служит для выработки стратегии реагирования на ИИБ, а на этапе анализа определяется кто,что,как...были вовлеченф в инцидент, т.е. устанавливается виновный и обстоятельства совершения инциндента.

Целью расследования является установление виновных лиц, причин и обстоятельств ИИБ.

Как правило, расследование ИИБ призвано решить задачи:

1. Установить способ вторжения в систему
2. Выяснить цели, которые преследовал злоумышленник
3. Установить личность злоумышленника и принчть меры, исключающие им применение противоправных действий.
4. Установить мотивацию и его возможных соучастников, в т.ч. внутри организации
5. Возместить нанесенный ущерб
6. Принять меры по устранению уязвимостей, которыми воспользовался злоумышленник.

Варианты проведения расследования ИИБ, кто:

1. Своя СБ
2. Правоохранительные органы
3. Коммерческие организации
4. Использование "друзей" и случайных лиц.

Примерный алгоритм расследования ИИБ.

1. Четко определить руководителя расследования и в дальнейшем выполнять его распоряжения. На это лицо замыкаются все контакты с правоохранительными органами и привлеченными организациями.
2. Обеспечить полную конфиденциальность расследования. Всей полнотой инфы владеют только руководитель СБ и расследования. Руководству организации докладываются окончательные выводы - результаты. Всем остальным или доводится по необходимости.
3. Получить подобное письменное объяснение от сотрудника организации, который первый сообщил об инциденте:

1. Что произошло
2. Каким образом работник узнал об этом(случайно, в рамках служебных обязанностей, от посторонних.....)
3. Что могло стать причиной инцидента по его мнению
4. Кто в это время находился поблизости
5. Кто приходил на место выявления инциденте
6. Видел ли работник посторонних лиц
7. Происходили ли подобные инциденты раньше, если да - почему
8. Кому и когда работник об этом сообщил и принимались ли меры
9. Какие последствия может иметь инцидент, можно ли его немедленно устранить и каков может быть материальный ущерб
1. Аналогичное объяснение от всех работников, которые присутствовали в помещении где произошел инцидента(применительно к компетенции)
2. Совместно с ответственным от айтишников локализовать инцидент ИБ
3. Установи, кто персонально отвечает за данный участок, регламентирована ли его деятельность инструкций, и насколько точно эта инструкция соблюдалась
4. Установить возможные последствия инцидента, наличие материального ущерба
5. Что являлось причиной инцидента(умысел,халатность,случайность, сбой оборудования, др.)
6. В случае выявления умысла, решить вопрос о целесообразности обращения в правоохранительные органы или коммерческую организацию, проводящую расследования и составить план взаимодействия
7. Совместно с начальником айти-отдела (правоохранительными органами или коммерческими организациями) произвести осмотр места инцидента, составить об этом соответствующий протокол. При необходимости, произвести осмотр других предметов или помещений, которые могут иметь отношение к данному инциденту.
8. Только после получения разрешения от руководителя расследования и представителя правоохранительных органов в полном объеме восстановить работоспособность поврежденного участка
9. В процессе расследования четко исполнять требования руководителя расследования
10. После выявления злоумышленника установить мотивацию его действий, возможных соучастников, использованные им уязвимости. Получить от него письменное объяснение
11. Принять меры к возмещению нанесенного организации материального ущерба (по возможности)
12. Принять меры, исключающие повторение подобных инцидентов в будущем.

 

Правовые основы изъятия и исследования компьютерной техники. Методика изъятия компьютерной техники и носителей информации. Обеспечение юридической значимости изъятых материалов. Порядок исследования компьютерной техники. Содержание выводов эксперта и экспертного заключения.

 

В ходе доследственной проверки или следствия по уголовному делу уполномоченные сотрудники органов дознания и следствия, в соответствии с УПК имеют право изымать любые предметы, находящиеся в жилище подозреваемых или иных лиц, имеющих отношение к уголовному делу.

Практика показывает, что на стадии изъятия оборудования могут допускаться ошибки, существенно затрудняющие исследование изъятого оборудования,либо лишают результаты исследования доказательного значения:

1. Отсутствие специалиста при следственных действиях
2. Некомпетентность понятых
3. Ненадлежащее опечатывание
4. Процессуальные нарушения
5. Тактические ошибки

При изъятии оборудования необходимо обеспечить исключение несанкционированного доступа к нему. Основное - опечатывание.

Процессуальные ошибки:

1. Обыск или выемка проводятся без постановления следователя или санкции суда. После - должен быть протокол. Подписи всех и присутствующих и их список. Подписывается каждый лист. Указание времени начала и окончания следственных действий. Копия протокола должна вручался тому, у кого проводился обыск. Описано конкретно все то, что изъято.

Тактические ошибки:

1. Преступник узнает заранее о обыске.
2. Нарушен порядок следственных действий.
3. Все люди участвующие должны находиться в одном месте.
4. Нельзя ничего включать.

Изъятие компьютерной техники может производиться в соответствии со статьями 182, 183 УПК путем обыска и выемки, либо в соответствии со ст.176,177 путем осмотра места происшествия.

Важнейшим условием дальнейшего использование изъятой техники в качестве доказательственной базы является строгое соблюдение требований УПК.