Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Управление инцидентами информационной безопасности на предприятии.

Поиск

1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.

 

Основной нормативный документ - ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»

Менеджмент инцидентов ИБ можно отнести к управлению эккаунтингом, которое связано с процессами сбора, обработки и анализа данных о работе организации, их сравнении с исходными и плановыми показателями, результатами деятельности других организаций с целью своевременного выявления проблем и вскрытия резервов для более полного использования имеющегося потенциала. Таким образом, основным направлением менеджмента инцидентов ИБ является сбор, обработка, анализ информации об инцидентах, которые происходят в организации. Менеджмент инцидентов ИБ является составной частью менеджмента ИБ вцелом.

Из 27001 - СМИБ - часть общей системы менеджмента организации, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения ИБ. Система менеджмента ИБ включает в себя организационную структуру, политики, планирование, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Задачи:

  1. Обнаружение инцидентов ИБ, информирование о них и учет ИИБ.
  2. Реагирование на инциденты ИБ;
  3. Анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения ИБ вцелом.

Основа менеджмента строится на основе процессной модели Гемминга-Шухарда.

  1. Планирование и подготовка
  2. Использование
  3. Анализ
  4. Улучшение.

В целом, все по этому вопросу написано в ГОСТ 18044.

 

Организация расследования инцидентов информационной безопасности на предприятии. Перечень решаемых задач и анализ типовых ситуаций, возникающих при расследовании инцидентов информационной безопасности. Алгоритм действий при возникновении инцидента. Основные этапы процесса реагирования на инцидент.

Расследование - комплекс мероприятий, которые направлены на выявление виновного в совершении ИИБ и установлении причин, которые ему способствовали.

Расследование ИИБ включает в себя определение виновных в его возникновении, сбор доказательств и улик инциндента, а так же определение соответствующих рекоммендаций по применению ответственности. Фаза расследования призвана определить: кто, что, когда, как, почему были вовлечены в инциндент. Условно, расследования делятся на 2 этапа:

  1. Сбор данных/свидетельств/улик
  2. Их криминалистический анализ.

Информация, собранная в ходе первого этапа служит для выработки стратегии реагирования на ИИБ, а на этапе анализа определяется кто,что,как...были вовлеченф в инцидент, т.е. устанавливается виновный и обстоятельства совершения инциндента.

Целью расследования является установление виновных лиц, причин и обстоятельств ИИБ.

Как правило, расследование ИИБ призвано решить задачи:

  1. Установить способ вторжения в систему
  2. Выяснить цели, которые преследовал злоумышленник
  3. Установить личность злоумышленника и принчть меры, исключающие им применение противоправных действий.
  4. Установить мотивацию и его возможных соучастников, в т.ч. внутри организации
  5. Возместить нанесенный ущерб
  6. Принять меры по устранению уязвимостей, которыми воспользовался злоумышленник.

Варианты проведения расследования ИИБ, кто:

  1. Своя СБ
  2. Правоохранительные органы
  3. Коммерческие организации
  4. Использование "друзей" и случайных лиц.

Примерный алгоритм расследования ИИБ.

  1. Четко определить руководителя расследования и в дальнейшем выполнять его распоряжения. На это лицо замыкаются все контакты с правоохранительными органами и привлеченными организациями.
  2. Обеспечить полную конфиденциальность расследования. Всей полнотой инфы владеют только руководитель СБ и расследования. Руководству организации докладываются окончательные выводы - результаты. Всем остальным или доводится по необходимости.
  3. Получить подобное письменное объяснение от сотрудника организации, который первый сообщил об инциденте:
    1. Что произошло
    2. Каким образом работник узнал об этом(случайно, в рамках служебных обязанностей, от посторонних.....)
    3. Что могло стать причиной инцидента по его мнению
    4. Кто в это время находился поблизости
    5. Кто приходил на место выявления инциденте
    6. Видел ли работник посторонних лиц
    7. Происходили ли подобные инциденты раньше, если да - почему
    8. Кому и когда работник об этом сообщил и принимались ли меры
    9. Какие последствия может иметь инцидент, можно ли его немедленно устранить и каков может быть материальный ущерб
  1. Аналогичное объяснение от всех работников, которые присутствовали в помещении где произошел инцидента(применительно к компетенции)
  2. Совместно с ответственным от айтишников локализовать инцидент ИБ
  3. Установи, кто персонально отвечает за данный участок, регламентирована ли его деятельность инструкций, и насколько точно эта инструкция соблюдалась
  4. Установить возможные последствия инцидента, наличие материального ущерба
  5. Что являлось причиной инцидента(умысел,халатность,случайность, сбой оборудования, др.)
  6. В случае выявления умысла, решить вопрос о целесообразности обращения в правоохранительные органы или коммерческую организацию, проводящую расследования и составить план взаимодействия
  7. Совместно с начальником айти-отдела (правоохранительными органами или коммерческими организациями) произвести осмотр места инцидента, составить об этом соответствующий протокол. При необходимости, произвести осмотр других предметов или помещений, которые могут иметь отношение к данному инциденту.
  8. Только после получения разрешения от руководителя расследования и представителя правоохранительных органов в полном объеме восстановить работоспособность поврежденного участка
  9. В процессе расследования четко исполнять требования руководителя расследования
  10. После выявления злоумышленника установить мотивацию его действий, возможных соучастников, использованные им уязвимости. Получить от него письменное объяснение
  11. Принять меры к возмещению нанесенного организации материального ущерба (по возможности)
  12. Принять меры, исключающие повторение подобных инцидентов в будущем.

 

Правовые основы изъятия и исследования компьютерной техники. Методика изъятия компьютерной техники и носителей информации. Обеспечение юридической значимости изъятых материалов. Порядок исследования компьютерной техники. Содержание выводов эксперта и экспертного заключения.

 

В ходе доследственной проверки или следствия по уголовному делу уполномоченные сотрудники органов дознания и следствия, в соответствии с УПК имеют право изымать любые предметы, находящиеся в жилище подозреваемых или иных лиц, имеющих отношение к уголовному делу.

Практика показывает, что на стадии изъятия оборудования могут допускаться ошибки, существенно затрудняющие исследование изъятого оборудования,либо лишают результаты исследования доказательного значения:

  1. Отсутствие специалиста при следственных действиях
  2. Некомпетентность понятых
  3. Ненадлежащее опечатывание
  4. Процессуальные нарушения
  5. Тактические ошибки

При изъятии оборудования необходимо обеспечить исключение несанкционированного доступа к нему. Основное - опечатывание.

Процессуальные ошибки:

  1. Обыск или выемка проводятся без постановления следователя или санкции суда. После - должен быть протокол. Подписи всех и присутствующих и их список. Подписывается каждый лист. Указание времени начала и окончания следственных действий. Копия протокола должна вручался тому, у кого проводился обыск. Описано конкретно все то, что изъято.

Тактические ошибки:

  1. Преступник узнает заранее о обыске.
  2. Нарушен порядок следственных действий.
  3. Все люди участвующие должны находиться в одном месте.
  4. Нельзя ничего включать.

Изъятие компьютерной техники может производиться в соответствии со статьями 182, 183 УПК путем обыска и выемки, либо в соответствии со ст.176,177 путем осмотра места происшествия.

Важнейшим условием дальнейшего использование изъятой техники в качестве доказательственной базы является строгое соблюдение требований УПК.



Поделиться:


Последнее изменение этой страницы: 2017-02-05; просмотров: 517; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.129.210.36 (0.01 с.)