Студенческий сайт КФУ - ex ТНУ » Учебный раздел » Учебные файлы »Экономика

Управление инцидентами информационной безопасности

Тип: реферат
Категория: Экономика
Скачать
Купить
Управление инцидентами информационной безопасностиЧастота появления и количество инцидентов, связанных с информационной безопасностью, — один из наглядных показателей того, правильно ли функционирует система управления безопасностью. Как международные стандарты управления информационной безопасностью могут способствовать снижению количества инцидентов, а их соблюдение помогает предприятию перейти на новый уровень управления информационной безопасностью? Международный стандарт ISO 27001:2005 обращает особое внимание на необходимость создания процедуры управления инцидентами информационной безопасности — очевидно, что без своевременной реакции на инциденты безопасности и устранения их последствий невозможно эффективное функционирование системы управления информационной безопасностью. К сожалению, в процессе аудита различных информационных систем приходится сталкиваться с множеством проблем регистрации и расследования инцидентов, свидетельствующих о том, что стандартам на предприятиях уделяется очень мало внимания. Например, в корпоративной сети одной из компаний появилась новая учетная запись пользователя с привилегированными полномочиями. В процессе расследования выяснилось, что пароль от единственной административной учетной записи знают несколько администраторов, а на контроллере домена не ведутся журналы регистрации событий, поэтому узнать, кто создал учетную запись, и расследовать данный инцидент оказалось невозможно. При этом пользователь, который будет заходить под новой привилегированной учетной записью, может выполнять в системе любые действия, просматривать, изменять или удалять информацию, останавливать или модифицировать работу сервисов.Сложности управления инцидентами информационной безопасности. Во многих компаниях не всегда возможно проследить за изменением количества и характера инцидентов информационной безопасности — отсутствует процедура управления инцидентами. Часто отсутствие инцидентов не указывает на то, что система управления безопасностью работает правильно, а означает только, что инциденты не фиксируются или не определяются. Как правило, основные сложности при управлении инцидентами вызывают следующие моменты.Определение инцидента. В компании отсутствует методика определения инцидентов, а сотрудники не знают, какие события являются инцидентами. Это особенно важно в случае инцидентов информационной безопасности — они не всегда мешают нормальной работе. Например, инцидентом безопасности будет оставление без присмотра на столе конфиденциальных документов, на что никто может и не обратить внимания, а злоумышленник (который может быть сотрудником компании) такие документы заметит.Оповещение о возникновении инцидента. Сотрудники компании зачастую не осведомлены о том, кого и в какой форме следует ставить в известность при возникновении инцидента, — например, не определены ни формы отчетов, ни перечень лиц, которым необходимо отправлять отчеты об инцидентах. Даже если сотрудник заметит, что его коллега уносит для работы домой конфиденциальные документы компании, он не всегда знает, какие действия следует предпринимать в данной ситуации.Регистрация инцидента. Ответственным лицам (даже если таковые назначены) часто не предоставляется методика регистрации инцидентов — не существует специальных журналов их регистрации, а также правил и сроков заполнения.Устранение последствий и причин инцидента. В компаниях, как правило, отсутствует документально зафиксированная процедура, описывающая действия, которые необходимо выполнить с целью устранения последствий и причин инцидента. В первую очередь такая процедура должна предусматривать, чтобы мероприятия по устранению последствий и причин инцидента не нарушали процедуры их расследования: устранение последствий инцидента не должно «заметать следы», чтобы невозможно было установить виновных в инциденте.Расследование инцидента. На этапе расследования инцидентов основную роль играют: ведение журналов регистрации событий, четкое разделение полномочий пользователей, ответственность за выполненные действия — важны доказательства того, кто участвовал в инциденте и какие действия он выполнял. К сожалению, про расследование инцидентов в компаниях часто просто забывают. Как только последствия инцидента устранены и бизнес-процессы восстановлены, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются.Реализация действий, предупреждающих повторное возникновение инцидента. Как правило, если компании был нанесен какой-либо ущерб, то к виновным в возникновении инцидента (которые определены без необходимых в таких случаях процедур) все же применяются различные взыскания, однако внесение дисциплинарных взысканий не всегда подчиняется утвержденным процедурам и другие действия по предотвращению повторения инцидента выполняются тоже не всегда.Управление инцидентами — одна из важнейших процедур управления информационной безопасностью. Прежде всего, важно правильно и своевременно устранить последствия инцидента, а также иметь возможность проконтролировать, какие действия были выполнены для этого. Необходимо также расследовать инцидент, что включает определение причин его возникновения, виновных лиц и конкретных дисциплинарных взысканий. Далее, как правило, следует выполнить оценку необходимости действий по устранению причин инцидента, если нужно — реализовать их, а также выполнить действия по предупреждению повторного возникновения инцидента. Кроме этого, важно сохранять все данные об инцидентах информационной безопасности, так как статистика инцидентов информационной безопасности помогает осознавать их количество и характер, а также изменение во времени. С помощью информации о статистике инцидентов можно определить наиболее актуальные угрозы для компании и, соответственно, максимально точно планировать мероприятия по повышению уровня защищенности информационной системы компании.Здесь приведены только основные причины необходимости создания отдельной документированной и утвержденной процедуры управления инцидентами информационной безопасности, но и их достаточно, чтобы осознать всю важность данной процедуры. Об этом также говорят и стандарты по управлению безопасностью ISO 27001:2005 и ISO 17799:2005.Как управлять инцидентами информационной безопасности? Какие конкретно действия необходимо выполнить для разработки процедуры управления инцидентами информационной безопасности?Для начала необходимо, чтобы процесс разработки процедуры (как и всех процедур в компании) был инициирован ее руководством. Как правило, процедура управления инцидентами разрабатывается в рамках общей системы управления информационной безопасностью, поэтому важна позиция руководства по вопросу ее создания и функционирования. На данном этапе важно, чтобы все сотрудники компании понимали, что обеспечение информационной безопасности в целом и управление инцидентами в частности являются основными бизнес-целями компании.Затем следует разработать необходимые нормативные документы по управлению инцидентами. Как правило, такие документы должны описывать:
  • определение инцидента информационной безопасности, перечень событий, являющихся инцидентами (что в компании является инцидентом);
  • порядок оповещения ответственного лица о возникновении инцидента (необходимо определить формат отчета, а также отразить контактную информацию лиц, которых следует оповещать об инциденте);
  • порядок устранения последствий и причин инцидента;
  • порядок расследования инцидента (определение причин инцидента, виновных в возникновении инцидента, порядок сбора и сохранения улик);
  • внесение дисциплинарных взысканий;
  • реализация необходимых корректирующих и превентивных мер.
    • Определение перечня событий, являющихся инцидентами, — важный этап разработки процедуры управления инцидентами. Следует понимать, что все события, которые не войдут в указанный перечень, будут рассматриваться как штатные (даже если они несут угрозу информационной безопасности). В частности, инцидентами информационной безопасности могут быть:
    Другие файлы:

    Аудит информационной безопасности
    В книге рассмотрены принципы и методы аудита информационной безопасности организаций на основе процессного подхода. Показаны методы оценивания информа...

    Правовые проблемы информационной безопасности
    Понятие и основные принципы обеспечения информационной безопасности. Важнейшие составляющие национальных интересов Российской Федерации в информационн...

    Информационная безопасность личности, общества, государства
    Информатизация общества и проблема информационной безопасности. Цели и объекты информационной безопасности страны. Источники угроз для информационной...

    Защита конфиденциальной информации
    Источники угроз информационной безопасности. Место информационной безопасности в системе национальной безопасности России. Основные проблемы информаци...

    Комплексные системы информационной безопасности
    Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкци...