Типы компьютерных инцидентов отказ в обслуживании
от 22 августа 2017 года N 610-п
Об утверждении регламента реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения
В целях совершенствования системы защиты информации в органах исполнительной власти Оренбургской области, обеспечения информационной безопасности и организации порядка реагирования на события информационной безопасности:
1. Утвердить регламент реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения (далее - регламент), согласно приложению.
2. Органам исполнительной власти Оренбургской области и подведомственным им учреждениям назначить администраторов информационной безопасности.
3. Рекомендовать органам местного самоуправления муниципальных образований Оренбургской области руководствоваться в своей деятельности регламентом.
4. Контроль за исполнением настоящего постановления возложить на директора департамента информационных технологий Оренбургской области Засинца И.Д.
5. Постановление вступает в силу со дня его подписания.
Приложение
к постановлению
Правительства
Оренбургской области
от 22 августа 2017 года N 610-п
Регламент реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения
Решения для информационной безопасности организации
Для предотвращения инцидентов ИБ необходимо внедрить специализированные решения, способные в реальном времени выявлять и реагировать на них даже по первым признакам до непосредственного хищения или других мошеннических действий.
"Гарда Технологии"- российский разработчик систем информационной безопасности от внутренних и внешних угроз, который предлагает комплексные решения по защите от утечек информации, защите баз данных и веб-приложений, защите от DDoS-атак и анализу и расследованию сетевых инцидентов. Решения интегрируются друг с другом, образуя комплексное решение - экосистему безопасности.
Внедрение решений по информационной безопасности позволяет избежать многочисленных финансовых и репутационных рисков.
Что делать при обнаружении инцидента?
Управление аномальными событиями в сети подразумевает не только оперативное обнаружение и информирование службы информационной безопасности, но и их учет в журнале событий. В журнале автоматически указывается точное время обнаружения утечки информации, личные данные сотрудника, который обнаружил атаку, категорию события, все затронутые активы, планируемое время устранения проблемы, а также действия и работы, направленные на устранение события и его последствий.
Современным компаниям ручной способ мониторинга инцидентов уже не подходит. Так как аномалии происходят за секунды и требуется мгновенное реагирование. Для этого необходимы автоматизированные решения по информационной безопасности, которые непрерывно мониторят все, что происходит в сети организации оперативно реагируют на инциденты, позволяя принимать меры в виде блокировки доступа к данным, выявления источника события и быстрого расследования, в идеале до совершения инцидента.
После расследования, выполняя правила корреляции, которые свидетельствуют о вероятных попытках причинения вреда безопасности данных подобными способами, создается карточка данного инцидента и формируется политика безопасности. В дальнейшем подобные атаки будут подавлены и приняты меры до совершения активных действий со стороны сотрудников и внешних источников угроз.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.
3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.
Примечание - Данный процесс должен также обеспечивать восстановление бизнеса с учетом заданных очередностей и интервалов времени и дальнейшее восстановление всех функций бизнеса в рабочее состояние. Ключевые элементы этого процесса должны обеспечивать применение и тестирование необходимых планов и средств и включение в них информации, бизнес-процессов, информационных систем и сервисов, речевой связи и передачи данных, персонала и физических устройств.
3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
Примечание - Примеры инцидентов ИБ приведены в разделе 6.
3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) [Information Security Incident Response Team (ISIRT)]: Группа обученных и доверенных членов организации.
Примечание - Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда может дополняться внешними экспертами, например из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).
Классификация инцидентов
Аномалии, с которыми сталкиваются предприятия можно классифицировать по следующим признакам:
- Тип информационной угрозы;
- Уровень тяжести инцидентов для работы организации;
- Преднамеренность появления угрозы безопасности данных;
- Вероятность возникновения повторного "заражения" программного обеспечения;
- Нарушенные политики ИБ;
- Уровень системы организационных структур, обеспечивающих работу и развитие информационного пространства;
- Трудности обнаружения;
- Сложность устранения выявленной угрозы, которая может нарушить сохранность ценных данных компании.
Инциденты могут быть как умышленными, так и непреднамеренными. Если обратить внимание на первый вид инцидента, то он может быть спровоцирован разными средствами, техическим взломом или намеренным инсайдом. Оценить масштабы влияния на безопасность и последствия атаки крайне сложно. Утечки информации в виде баз данных на чёрном рынке оцениваются в миллионах рублей .
Существует категорирование инцидентов, позволяющее прописать их в политике безопасности и предотвращать их уже по первым признакам:
1. Несанкционированный доступ. Сюда стоит отнести попытки злоумышленников беспрепятственно войти в систему. Яркими примерами нарушения можно назвать поиск и извлечение различных внутренних документов, файлов, в которых содержатся пароли, а также атаки переполнения буфера, направленные на получение нелегитимного доступа к сети.
2. Угроза или разглашение конфиденциальной информации. Для этого нужно получить доступ к актуальному списку конфиденциальных данных.
3. Превышение полномочий определенными лицами. Речь идет о несанкционированном доступе работников к определенным ресурсам или офисным помещениям.
4. Кибератака, влекущая к угрозе безопасности. Если отмечается поражение вредоносным ПО большого количества ПК компании - то это не простая случайность. Во время проведения расследования важно определить источники заражения, а также причины данного события в сети организации.
1. Общие положения
1.1 Инциденты информационной безопасности — события, являющееся следствием одного или нескольких нежелательных, или неожиданных событий информационной безопасности, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы информационной безопасности.
1.2 Настоящая инструкция регламентирует порядок реагирования на инциденты информационной безопасности, происходящие в информационно-вычислительной сети организации.
1.3 Требования настоящей инструкции распространяются на специалистов Управления Информационных Технологий (УИТ), Службу Безопасности (СБ), администратора информационной безопасности (АИБ), или сотрудника ответственного за информационную безопачность.
1.4 Целью данной инструкции является реализация политики реагирования на инциденты информационной безопасности.
1.5 Нарушения этой инструкции могут привести к заражению сети вредоносным программным обеспечением и нарушению хода производственных и технологических процессов организации, материальному ущербу.
IV. Обязанности участников информационного взаимодействия
12. Обязанностями пользователя являются:
предоставление своего автоматизированного рабочего места администратору безопасности для контроля;
выполнение требований и рекомендаций администратора безопасности и системного администратора;
незамедлительное информирование администратора безопасности и системного администратора обо всех выявленных нарушениях, связанных с информационной безопасностью и обнаружением нештатного режима работы информационных систем и сетей.
13. Обязанностями системного администратора являются:
обеспечение бесперебойной работы системного программного обеспечения, серверного оборудования и автоматизированных рабочих мест пользователей;
обеспечение резервного копирования данных (восстановление данных при необходимости);
незамедлительное информирование администратора безопасности обо всех выявленных нарушениях, связанных с информационной безопасностью;
осуществление мероприятий по предотвращению несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение незаконного вмешательства в информационные ресурсы и системы в иных формах;
выполнение требований и рекомендаций администратора безопасности;
ведение журнала учета инцидентов информационной безопасности, составленного по форме согласно приложению к настоящему Регламенту;
принятие в течение 1 рабочего дня мер по восстановлению работоспособности информационных ресурсов и информационных систем, согласуемых с администратором безопасности и вышестоящим руководством (при необходимости);
14. Обязанностями администратора безопасности являются:
проведение инструктажа пользователей по вопросам информационной безопасности;
обеспечение функционирования установленных систем защиты информации;
обновление антивирусных баз;
осуществление контроля за:
резервным копированием информации;
сроками действия сертификатов соответствия средств защиты информации;
ведением журнала учета инцидентов информационной безопасности;
проведение не реже 1 раза в год внутреннего аудита информационной безопасности;
осуществление совместно с системным администратором при получении информации об инцидентах информационной безопасности мероприятий по предотвращению несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и системы;
С целью оптимизации и стандартизации любой деятельности используется классификация ( типизация ), и процесс управления инцидентами информационной безопасности ( ИБ ) не является исключением.
В данной заметке речь пойдет о существующих подходах к классификации инцидентов ИБ. Ведь в зависимости от того, к какому классу/типу относится инцидент ИБ, будет зависеть и вариант реагирования на него.
- ISO/IEC 27035:2011 «Information technology — Security techniques — Information security incident management» ( ссылка );
- ISO/IEC 27035-2:2016 «Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response» ( ссылка );
- Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах ( ссылка );
- Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236 ( ссылка ).
Он, безусловно, не претендует на абсолютную вложенность, т.к. авторы данных документов в рамках одного класса закладывали совершено различные пояснения и примеры, например: у ENISA «Information Gathering» включает в себя и «Scanning», и «Sniffing», и «Social engineering», а у NIST «Scanning» относится к «Technical attack incident», а остальные к «Compromise of information incident», в то время как у НКЦКИ «Прослушивание (захват) сетевого трафика» и «Социальная инженерия» – это отдельные типы, а «Сканирование информационного ресурса (ОКИИ)» вообще не рассматривается как класс инцидента ИБ.
Если оставить за рамками стихийные бедствия, беспорядки и т.п. глобальные инциденты, точнее инциденты, чья сущность лежит за рамками информационных технологий, то самым полным выглядит перечень от НКЦКИ:
Инструкция по реагированию на инциденты информационной безопасности.
Реагирование на утечку данных
При обнаружении нарушений в сети организации рекомендован следующий алгоритм действий со стороны службы информационной безопасности:
1. Фиксация состояния и анализ информационных ресурсов, которые были задействованы.
2. Координация работы по прекращению влияния информационных атак, проведение которых спровоцировало появление инцидента.
3. Анализ всего сетевого трафика.
4. Локализация события.
5. Сбор важных данных для установления причин происшествия.
6. Составление перечня мер, направленных на ликвидацию последствий инцидента, который нанес урон.
7. Устранение последствий.
8. Контроль устранения последствий.
9. Создание политик безопасности и подробного перечня рекомендаций, направленных на совершенствование всей нормативной документации.
II. Источники и виды инцидентов информационной безопасности
5. Источниками информации об инцидентах информационной безопасности в органах исполнительной власти области являются:
факты, выявленные сотрудниками органов исполнительной власти области;
результаты работы средств мониторинга информационной безопасности, аудита (внутреннего или внешнего);
журналы и оповещения операционных систем серверов и рабочих станций, антивирусной системы, системы резервного копирования и других систем;
обращения субъектов персональных данных с указанием инцидента информационной безопасности;
иные источники информации.
6. Основными видами инцидентов информационной безопасности в органах исполнительной власти области являются:
несанкционированный доступ к информационным ресурсам органов исполнительной власти области;
превышение полномочий - несанкционированный доступ к каким-либо ресурсам и помещениям сотрудников органов исполнительной власти области;
компрометация учетных записей или паролей;
вирусная атака или вирусное заражение;
сетевые атаки (отказ в обслуживании (DoS-атаки), атаки типа Man-in-the-Middle, сниффер пакетов, переадресация портов, IP-спуфинг, атаки на уровне приложений и другое).
Введение
Типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - возможными. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме того, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка конкретной организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к информационной безопасности, важно применять структурный и плановый подход к:
- обнаружению, оповещению об инцидентах информационной безопасности и их оценке;
- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);
- извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.
Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.
Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.
Угрозы информационной безопасности - ключевые риски
Не только крупные корпорации, но и небольшие фирмы различных организационно-правовых форм и размеров время от времени сталкиваются с кибератаками. Количество пострадавших компаний ежегодно увеличивается. Действия злоумышленников приводят к большим убыткам пострадавших организаций.
Есть несколько основных рисков внутри корпораций и фирм:
- Уязвимость программного обеспечения;
- Доступ к конфиденциальной информации через работников;
- Пренебрежение основными правилами безопасности со стороны сотрудников, что приводит к непреднамеренной утечке корпоративной информации.
Основная проблема многих организаций в том, что в активно развивающемся мире киберугроз, большинство организаций даже не задумывается об информационной безопасности до возникновения инцидента. Поэтому часто нет резервных копий, доступ к данным есть у всех сотрудников, даже если они не пользуются ими в своей работе, а сеть ничем не защищена, и внедрить туда вредоносное ПО или заблокировать работу сервера организации может фактически любой желающий.
Носители ключевой информации
Вам также может понравиться
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISО/IEC 13335-1:2004, IT Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий
ISО/IEC 17799:2000, Information technology - Code of practice for information security management (Информационная технология. Практические правила управления информационной безопасностью)
I. Общие положения
1. Настоящий Регламент устанавливает порядок действий при возникновении угроз информационной безопасности, обусловленных возможностью несанкционированного доступа к государственным информационным ресурсам сторонних лиц (третьих лиц), внедрения и распространения вредоносного программного обеспечения, проведения массированных атак типа "отказ в обслуживании", а также возможными техническими сбоями в работе.
2. В настоящем Регламенте используются следующие понятия:
инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность информационных систем или информационную безопасность;
информационное взаимодействие - процесс взаимодействия двух и более участников, целью которого является обработка информации в общих информационных системах и сетях;
участники информационного взаимодействия - пользователи информационных систем (далее - пользователи), системные администраторы, специалисты по информационной безопасности (далее - администраторы безопасности).
3. Действие положений настоящего Регламента распространяется на деятельность органов исполнительной власти Оренбургской области (далее - органы исполнительной власти области) и подведомственные им учреждения и обязательны к соблюдению всеми сотрудниками органов исполнительной власти области, участвующих в выявлении, разбирательстве и предотвращении инцидентов информационной безопасности.
4. Задачами настоящего Регламента являются:
организация деятельности сотрудников органов исполнительной власти области, осуществляющих администрирование информационных систем в органах исполнительной власти области;
определение порядка работы пользователей, системных администраторов и администраторов безопасности;
обеспечение целостности, конфиденциальности и доступности информации;
соблюдение требований правовых актов в области защиты информации.
4. Заключительные положения
4.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.
4.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.
4.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.
4.4 Инструкция вступает в силу с момента утверждения директором организации.
Пригодились документы — поставь «лайк» или поддержи сайт материально:
III. Анализ исходной информации
7. При получении информации о несанкционированном воздействии на информационную систему и сеть системный администратор совместно с администратором безопасности обязаны убедиться, что инцидент информационной безопасности не является результатом их собственной ошибки или санкционированных действий.
8. При выявлении инцидента информационной безопасности в органах исполнительной власти области системному администратору совместно с администратором безопасности необходимо:
принять меры по пресечению несанкционированного воздействия в случае, если на момент выявления оно не завершено;
принять меры по устранению причин возникновения инцидента информационной безопасности;
сохранить образ или содержание информационной системы, в том числе журналы событий (информационного ресурса) на момент обнаружения события (несанкционированного воздействия);
провести мероприятия по восстановлению работоспособности информационной системы (информационного ресурса);
провести служебную проверку с целью выявления причин, которые могли привести к произошедшему несанкционированному воздействию.
9. Администратору безопасности информационной системы, подвергшейся несанкционированному воздействию, необходимо в течение трех дней с момента обнаружения несанкционированного воздействия представить в департамент результаты служебной проверки и информацию о последствиях несанкционированного воздействия и принятых мерах по устранению причин несанкционированного воздействия.
10. Совместно с результатами служебной проверки администратор безопасности также должен представить в департамент:
наименование информационной системы (информационного ресурса), на которую произведено несанкционированное воздействие;
время несанкционированного воздействия и (или) время обнаружения несанкционированного воздействия;
место несанкционированного воздействия (площадка, на которой размещается информационный ресурс, хостинг);
краткое изложение (описание) произошедшего несанкционированного воздействия и его последствий;
контактные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты) системного администратора или администратора безопасности, ответственного за обеспечение работоспособности информационной системы (информационного ресурса);
правовой акт о создании и (или) вводе в эксплуатацию информационной системы (информационного ресурса);
паспорт информационной системы (при наличии);
договор об обслуживании или о техническом сопровождении (при наличии);
договор об оказании услуг по предоставлению вычислительных мощностей (договор о размещении на ресурсе, облаке) в случае, если информационная система (информационный ресурс) размещена на коммерческом ресурсе;
порядок работы или положение об информационной системе (информационном ресурсе) (при наличии).
11. По результатам рассмотрения полученной информации департамент в течение одного рабочего дня со дня ее получения принимает решение о необходимости совершения конкретных действий и информирования Управления Федеральной службы безопасности Российской Федерации по Оренбургской области о несанкционированном воздействии.
4.2 Этапы
Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:
1) планирование и подготовка;
Примечание - Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 [4] и ИСО 14000 [5].
Основное содержание этих этапов показано на рисунке 1.
Рисунок 1 - Этапы менеджмента инцидентов ИБ
4.2.1 Планирование и подготовка
Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке. Для обеспечения эффективности реакции на инциденты ИБ необходимо:
- разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и в особенности высшего руководства;
- разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы серьезности инцидентов должны быть отражены в документации на конкретную систему (следует отметить, что в некоторых организациях такая система может называться "Планом
реагирования на инциденты ИБ");
Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: "значительные" и "незначительные". Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.
- обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;
- создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;
- тщательно тестировать систему менеджмента инцидентов ИБ.
Этап "Планирование и подготовка" - в соответствии с разделом 7.
4.2.2 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:
- обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);
- сбор информации, связанной с событиями ИБ, и оценку этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
- реагирование на инциденты ИБ:
- немедленно, в реальном или почти реальном масштабе времени;
- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);
- если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);
- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций [что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений];
Хотя бы один раз за весь период работы большинство компаний сталкивалось с инцидентами информационной безопасности. Речь идет об одном, двух и более неожиданных и нежелательных событиях в корпоративной сети, которые приводят к серьезным финансовым и репутационным последствиям. Например, доступ третьих лиц к закрытой информации организации. К классическим примерам можно отнести значительное искажение инфоактивов, а также хищение персональных данных пользователей (клиентской базы, проектная документация).
1 Область применения
В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.
4.1 Цели
В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:
- события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ;
События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.
- идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;
- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;
- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.
Выявление причин инцидента безопасности
Анализ ситуации позволяет оценить риски и возможные последствия инцидента.
После того, как последствия события полностью устранены, обязательно проводится служебное расследование. Оно требует привлечения целой команды опытных специалистов, которые самостоятельно определяют порядок изучения фактов и особенностей произошедшего. Дополнительно используются всевозможные публичные отчеты, аналитические средства, потоки сведений обо всех угрозах, а также другие источники, которые могут пригодиться в процессе изучения конкретного кейса. Квалифицированные специалисты устраняют вредоносное программное обеспечение, закрывают возможные уязвимости и блокируют все попытки нелегитимного доступа.
По факту расследования составляют перечень мер, направленных на профилактику аналогичных кибератак. Дополнительно составляется список действий моментального реагирования в случае, если имело место проникновение вредоносного ПО в систему. Нужно провести обучение персонала фирмы для повышения киберграмотности.
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004* "Информационные технологии. Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management", IDT).
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
3. Ответственность
3.1 Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации.
2. Комплекс мер по защите
В целях обеспечения защиты ИВС организации следует руководствоваться перечисленными ниже правилами.
2.1 Любое неблагоприятное событие в области информационной безопасности может вызвать нарушение конфиденциальности, доступности или целостности информации (например, неавторизованный доступ к информации, потеря функциональности информационной системы, подмена информации и т.п.). При каждом инциденте необходимо предпринимать меры: информировать ответственных лиц; устранять возможные негативные последствия, предотвращать возникновение таких событий в будущем.
2.2 Организация должна иметь возможность реагировать на эти инциденты таким образом, чтобы защитить не только свою собственную информацию, но также информацию своих клиентов.
2.3 Для каждого инцидента безопасности должен быть заполнен отчет (Приложение 1) об инциденте, включающий всю необходимую информацию как для текущего анализа, так и для последующего анализа предпринятых действий.
2.4 Отчет должен быть оформлен АИБ в течение 5 рабочих дней с момента получения информации об инциденте.
2.5 В форме отчета должно быть указано, от кого и каким образом была получена информация об инциденте, суть инцидента (кратко), состав рабочей группы, действия рабочей группы, вывод.
2.6 Отчет должен быть размещен в папке «Отчеты по инцидентам» на файл сервере организации, а также предоставлен для ознакомления начальникам УА, СБ.
2.7 Об инциденте информационной безопасности должны быть проинформированы лица, перечень которых определяет АИБ, исходя из специфики и масштаба инцидента.
2.8 После установления факта инцидента в течение трех рабочих дней в организации должна быть сформирована рабочая группа, задача которой минимизировать возможный ущерб. За формирование группы и координацию работы её членов отвечает АИБ.
2.9 В течение пяти рабочих дней с момента разрешения инцидента должен быть составлен финальный отчет о предпринятых действиях и принятых мерах, направленных на предотвращение возможности повторения инцидента в будущем.
Специалист отдела технического обеспечения
Комиссия по информационной безопасности. Положение
ГОСТ Р ИСО/МЭК ТО 18044-2007
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология. Методы и средства обеспечения безопасности
МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security incident management
4 Общие положения
I. Общие положения
1. Настоящий Регламент устанавливает порядок действий при возникновении угроз информационной безопасности, обусловленных возможностью несанкционированного доступа к государственным информационным ресурсам сторонних лиц (третьих лиц), внедрения и распространения вредоносного программного обеспечения, проведения массированных атак типа "отказ в обслуживании", а также возможными техническими сбоями в работе.
2. В настоящем Регламенте используются следующие понятия:
инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность информационных систем или информационную безопасность;
информационное взаимодействие - процесс взаимодействия двух и более участников, целью которого является обработка информации в общих информационных системах и сетях;
участники информационного взаимодействия - пользователи информационных систем (далее - пользователи), системные администраторы, специалисты по информационной безопасности (далее - администраторы безопасности).
3. Действие положений настоящего Регламента распространяется на деятельность органов исполнительной власти Оренбургской области (далее - органы исполнительной власти области) и подведомственные им учреждения и обязательны к соблюдению всеми сотрудниками органов исполнительной власти области, участвующих в выявлении, разбирательстве и предотвращении инцидентов информационной безопасности.
4. Задачами настоящего Регламента являются:
организация деятельности сотрудников органов исполнительной власти области, осуществляющих администрирование информационных систем в органах исполнительной власти области;
определение порядка работы пользователей, системных администраторов и администраторов безопасности;
обеспечение целостности, конфиденциальности и доступности информации;
соблюдение требований правовых актов в области защиты информации.
Читайте также: