Инциденты информационной безопасности


Управление инцидентами информационной безопасности | Управление инцидентами ИБ

Система защиты от утечек информации основывается в том числе на выявлении, предотвращении, регистрации и устранении последствий инцидентов информационной безопасности или событий, нарушающих регламентированные процедуры защиты ИБ. Существует ряд методик, определяющих основные параметры управления ими. Эти методики внедряются на уровне международных стандартов, устанавливающих критерии оценки качества менеджмента в компании. События или инциденты ИБ в рамках этих регламентов выявляются и регистрируются, их последствия устраняются, а на основании анализа причин их возникновения положения и методики дорабатываются.

Понятие инцидента

Международные регламенты, действующие в сфере сертификации менеджмента информационных систем, дают свое определение этому явлению. Согласно им инцидентом информационной безопасности является единичное событие нежелательного и непредсказуемого характера, которое способно повлиять на бизнес-процессы компании, скомпрометировать их или нарушить степень защиты информационной безопасности. На практике к этому понятию относятся разноплановые события, происходящие в процессе работы с информацией, существующей в электронной форме или на материальных носителях. К ним может относиться и оставление документов на рабочем столе в свободном доступе для другого персонала, и хакерская атака – оба инцидента в равной мере могут нанести ущерб интересам компании.

Среди основных типов событий присутствуют:

  • нарушение порядка взаимодействия с Интернет-провайдерами, хостингами, почтовыми сервисами, облачными сервисами и другими поставщиками телекоммуникационных услуг;
  • отказ оборудования по любым причинам, как технического, так и программного характера;
  • нарушение работы программного обеспечения;
  • нарушение любых правил обработки, хранения, передачи информации, как электронной, так и документов;
  • неавторизированный или несанкционированный доступ третьих лиц к информационным ресурсам;
  • выявление внешнего мониторинга ресурсов;
  • выявление вирусов или других вредоносных программ;
  • любая компрометация системы, например, попадание пароля от учетной записи в открытый доступ.

Все эти события должны быть классифицированы, описаны и внесены во внутренние документы компании, регламентирующие порядок обеспечения информационной безопасности. Кроме того, в регламентирующих документах необходимо установить иерархию событий, разделить их на более или менее значимые. Следует учитывать, что существенная часть инцидентов малозаметны, они происходят вне периметра внимания должностных лиц. Такие события должны быть описаны особо, и определены меры для их выявления в режиме постфактум.

При описании мер реакции следует учитывать, что изменение частоты появления и общего количества инцидентов информационной безопасности является одним из показателей качества работы систем, обеспечивающих ИБ, и само по себе классифицируется в качестве существенного события. Учащение событий может говорить о намеренной атаке на информационные системы компании, поэтому оно должно стать основанием для анализа и дальнейшего повышения уровня защиты.

Место управления инцидентами в общей системе информационной безопасности

Регламенты, определяющие порядок управления инцидентами информационной безопасности, должны стать составной частью бизнес-процессов и их регламентации. Предполагая, что инцидентом является недозволенное, несанкционированное событие, в работе нужно опираться на механизм, разделяющий события и действия на разрешенные и запрещенные, определяющий органы, имеющие права на разработку таких норм. Кроме того, регламент определяет методы и способы классификаций событий, прямо не обозначенных в документах в качестве значимых, и механизм выявления таких событий, их описания и последующего внесения в регламентирующие документы.

Например, в регламенте может быть запрещено размещение конфиденциальной информации на портативных носителях без ее кодировки или шифрования, при этом не будет прямо установлен запрет на вынос таких устройств за пределы компании. Случайная утрата компьютера в результате криминального посягательства станет инцидентом, но он не будет прямо запрещен. Соответственно, в документах должен быть установлен механизм дополнения норм и правил безопасности в ситуативном порядке без излишней бюрократии. Это позволит оперативно реагировать на новые вызовы и дорабатывать меры защиты своевременно, а не со значительным запозданием.

Система сертификации ISO 27001 в качестве одного из элементов ИБ предполагает необходимость создания отдельной процедуры управления инцидентами информационной безопасности в рамках общей системы стандартизации бизнес-процессов.

Особенности управления событиями безопасности

Несмотря на то, что стандарты прямо рекомендуют внедрять методики управления инцидентами информационной безопасности, на практике внедрение и реализация этих практик встречают множество сложностей. Отдельные процедуры управления инцидентами не внедряются. Этот показатель не говорит о том, что системы менеджмента инцидентов работают хорошо или плохо, это свидетельствует только о том, что существует определенная брешь в системе безопасности.

Управление инцидентами информационной безопасности основано на следующих действиях:

  • определение. В организации отсутствует методика выявления и классификации инцидентов, описание их основных параметров, поэтому сотрудники встают перед необходимостью или самостоятельно определять критерии события, или игнорировать его. Вход в сеть под аккаунтом другого сотрудника, согласно стандартам, является инцидентом информационной безопасности, но он не будет зафиксирован в журнале, так как сотрудники считают такое поведение стандартным и дозволенным, особенно в условиях дефицита кадровых ресурсов;
  • оповещение о возникновении. Даже если какое-либо событие может быть определено согласно принятым в организации методикам или личному мнению сотрудника как инцидент, чаще всего в организации не разработаны стандарты и маршруты оповещения о таких событиях. Даже если кем-то будет выявлен факт копирования документов, относящихся к коммерческой тайне, сотрудник встанет в тупик перед вопросом, кто именно и в какой форме должен быть оповещен об этом инциденте: его руководитель, служба безопасности или иное лицо;
  • регистрация. Эта часть стандартов является наиболее невыполнимой для российских компаний, инциденты не идентифицируются, соответственно, не фиксируются. Отсутствует практика заведения регистров учета, в которых бы фиксировались значимые события, что впоследствии давало бы материал для их анализа и прогноза возможных атак;
  • устранение причин и последствий. Любой инцидент вызывает определенные следы и последствия, которые, с одной стороны, могут мешать деятельности компании, с другой – служат материалом для проведения расследования причин его возникновения. Отсутствие регламентов устранения последствий может привести как к накоплению ошибок, так и к полному уничтожению доказательственной базы, позволяющей выявить виновника произошедшей ситуации. Любые срочные меры, предпринимаемые для восстановления стабильности, могут случайно или намеренно уничтожить следы проникновения в базу данных;
  • меры реагирования на инциденты. В ряде случаев возникновение инцидента может потребовать срочных мер реагирования, например, отключения компьютера от сети, приостановки передачи информации, установки контакта с провайдером. Должны быть определены органы и должностные лица, ответственные за разработку механизма реагирования и его оперативную реализацию;
  • расследование. Полномочия по расследованию должны быть переданы из ведения IT-службы в компетенцию служб безопасности. В рамках расследования должны быть изучены журналы учета, проанализированы действия всех пользователей и администраторов, которые имели доступ к системам в период возникновения чрезвычайной ситуации. Расследование должно стать одним из основных элементов управления инцидентами. На практике в российских компаниях от реализации этого этапа отказываются, ограничиваясь устранениями последствий произошедшего события. При необходимости расследование должно производиться с привлечением оперативно-следственных органов;
  • реализация превентивных мер. В большинстве случаев инциденты не являются единичными, их возникновение свидетельствует о том, что в системе ИБ возникла брешь и аналогичные случаи будут повторяться. Во избежание этих рисков необходимо по результатам расследования подготовить протокол или акт комиссии, в котором определить, какие именно меры должны быть применены для предотвращения аналогичных ситуаций. Кроме того, применяются определенные меры дисциплинарной ответственности, предусмотренные Трудовым кодексом и внутренними регламентами;
  • аналитика. Все события, нарушающие регламентированные процессы и могущие быть квалифицированы в качестве инцидентов информационной безопасности, должны стать основой для анализа, который поможет определить их характер, проявить системность и выработать рекомендации для совершенствования системы ИБ, действующей в компании.

Основные проблемы, связанные с нарушением процедур, обусловлены неготовностью персонала в полной мере воспринимать, адаптировать и выполнять рекомендации. Касательно инцидентов информационной безопасности, сложности в восприятии и реакции вызывают моменты, связанные с совершением действий, которые прямо не регламентированы инструкциями или стандартами или вызывают ощущение излишних или избыточных.

Процедура управления

Как любая корпоративная процедура, организация управления инцидентами информационной безопасности должна пройти несколько этапов: от принятия решения о его необходимости до внедрения и аудита. На практике менеджмент большинства предприятий не осознает необходимости применения этой практики защиты информационного периметра, поэтому для возникновения инициативы о ее внедрении часто требуется аудит систем ИБ внешними консультантами, выработка ими рекомендаций, которые затем будут реализованы руководством предприятия. Таким образом, начальной точкой для реализации процедур управления инцидентами ИБ становится решение исполнительных органов или иногда более высоких звеньев системы управления компании, например, Совета директоров.

Общее решение обычно принимается в русле модернизации существующей системы ИБ. Система управления инцидентами является ее основной частью. На уровне принятия решения необходима его локализация в общей парадигме целей компании. Оптимально, если функционирование системы ИБ становится одной из бизнес-целей организации, а качество ее работы подкрепляется установлением ключевых показателей эффективности для ответственных сотрудников компании. После определения статуса функционирования системы необходимо перейти к разработке внутренней документации, опосредующей связанные с ней отношения в компании.

Для придания значимости методикам управления информационной безопасностью они должны быть утверждены на уровне исполнительного органа (генерального директора, правления или совета директоров). С данными документа необходимо ознакомить всех сотрудников, имеющих отношение к работе с информацией, существующей в электронных формах или на материальных носителях.

В структуре документа, оформляемого в виде положения или регламента, должны выделяться следующие подразделы:

  • определение событий, признаваемых инцидентами применительно к системе безопасности конкретной компании. Так, пользование внешней электронной почтой может быть нарушением ИБ для государственной компании и рядовым событием для частной;
  • порядок оповещения о событии. Должны быть определены формат уведомления (устный, докладная записка, электронное сообщение), перечень лиц, которые должны быть оповещены, и дублирующие их должности в случае их отсутствия, перечень лиц, до которых также доносится информация о событии (руководство компании), срок уведомления после получения информации об инциденте;
  • перечень мероприятий по устранению последствий инцидента и порядок их реализации;
  • порядок расследования, в котором определяются ответственные за него должностные лица, механизм сбора и фиксации доказательств, возможные действия по выявлению виновника;
  • порядок привлечения виновных лиц к дисциплинарной ответственности;
  • меры усиления безопасности, которые должны быть применены по итогам расследования инцидента;
  • порядок минимизации вреда и устранения последствий инцидентов.

При разработке регламентов, опосредующих систему управления событиями ИБ, желательно опираться на уже созданные и показавшие свою эффективность методики и документы, включая формы отчетов, журналы регистрации, уведомления о событии.

Устранение причин и последствий события, его расследование

Непосредственно после уведомления соответствующих должностных лиц о произошедшем инциденте и его фиксации необходимо совершить действия реагирования, а именно устранения причин и последствий события. Все этапы этих процессов должны найти свое отражение в регламентах. Там описываются перечни общих действий для отдельных наиболее значимых событий, конкретные шаги и сроки применения мер. Необходимо также предусмотреть ответственность за неприменение установленных мер или недостаточно эффективное их применение.

На этапе расследования от должностных лиц организации требуется:

  • определить причины возникновения инцидента и недостатки регламентирующих документов и методик, сделавших возможным его возникновение;
  • установить ответственных и виновных лиц;
  • собрать и зафиксировать доказательства;
  • установить мотивы совершения инцидента и круг лиц, причастных к нему помимо персонала компании, выявить заказчика.

Если предполагается в дальнейшем возбуждение судебного преследования по факту инцидента на основании совершения преступления в сфере информационной безопасности или нарушения режима коммерческой тайны, к расследованию уже на начальном этапе необходимо привлечь оперативно-следственные органы. Собранные самостоятельно факты без соблюдения процессуальных мер не будут признаны надлежащими доказательствами и приобщены к делу.

Превентивные меры, изменения стандартов и ликвидация последствий

Непосредственно после выявления инцидента предпринимаются оперативные меры по устранению его последствий. На следующем этапе необходим анализ причин его возникновения и совершение комплекса действий, направленных на предотвращение возможного повторения аналогичного события. Сегодня основным регламентирующим документом, предлагающим стандарты реакции на инциденты, стал ISO/IEC 27000:2016, это последняя версия совместной разработки ISO и Энергетической комиссии. В России на основе более ранних версий ISO/IEC разработаны ГОСТы. В рамках ISO/IEC 27000:2016 предлагается создать специальную службу поддержки, Service Desk, на которую должны быть возложены функции управления инцидентами.

Аудит соблюдения стандартов

При получении сертификата соответствия по стандарту ISO 27001, а также при проверке соблюдений требований стандарта проводится аудит выполнения методик управления инцидентами информационной безопасности. При проведении аудита часто выясняется, что даже при внедрении стандартов возникает существенное количество проблем и недопониманий, связанных с регистрацией инцидентов и расследованием событий, послуживших причиной для их возникновения. Расследования осложняются тем, что под одной учетной записью могут входить несколько операторов или администраторов, что затрудняет их аутентификацию. На контроллере серверов в большинстве случаев не заводятся и не ведутся журналы учета событий. Отсутствие контролируемой системы идентификации пользователей, характерное для большинства российских компаний, позволяет в произвольном режиме менять информацию, останавливать серверы или модифицировать их работу. ИБ, внедренные в большинстве российских компаний, не позволяют контролировать действия администраторов.

Рекомендуется проведение аудита не реже чем раз в полгода. Его результатами должны стать обновление перечня событий, признаваемых инцидентами, доработка перечня необходимых действий по их устранению, изменение программных средств, обеспечивающих защиту информационного периметра. Если в компании установлены DLP-системы и SIEM-системы, то с учетом проведенного анализа инцидентов, произошедших за определенный период, и результатов аудита они могут быть доработаны.

Аудит не должен быть единственным фактором, выявляющим недостатки работы системы. Еще на этапе ее внедрения должны быть разработаны системы контроля качества процессов, результаты работы которых должны обрабатываться в регулярном режиме.

Управление инцидентами информационной безопасности

Менеджмент инцидентов ИБ относится к управлению эккаунтингом, которое связано с процессом сбора, обработки и анализа данных о работе организации, их сравнения с исходными и плановыми показателями, с целью своевременного выявления проблем, вскрытия резервов для более полного использования имеющегося потенциала.

ГОСТ Р ИСО/МЭК 27001-2006: система менеджмента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Составной частью системы общего менеджмента ИБ является система менеджмента инцидентов ИБ, предназначенная для комплексного решения следующих задач:

  • обнаружение, информирование и учет инцидентов ИБ;
  • реагирование на инциденты ИБ, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
  • анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения ИБ в целом.

Определение и понятие инцидента информационной безопасности:

ГОСТ Р ИСО/МЭК 18044-2007: Событие информационной безопасности: Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

ГОСТ Р ИСО/МЭК 27001:2006: Инцидент информационной безопасности: любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В стандарте приводится также перечень основных видов инцидентов ИБ:

  • утрата услуг, оборудования или устройств;
  • системные сбои или перегрузки;
  • ошибки пользователей;
  • несоблюдение политики или рекомендаций по ИБ;
  • нарушение физических мер защиты;
  • неконтролируемые изменения систем;
  • сбои программного обеспечения и отказы технических средств;
  • нарушение правил доступа.

Политика обнаружения и реагирования на инциденты информационной безопасности

  • 1. Утверждаю Председатель Правления АКБ «БАНК» ___________И.О. ФамилияПОЛИТИКАобнаружения и реагирования на инцидентыинформационной безопасности АКБ «БАНК»Москва 2011 г.
2. Оглавление1Область применения ...................................................................................................32Нормативные ссылки ..................................................................................................43Термины и определения ............................................................................................54Обозначение и сокращения .......................................................................................75Жизненный цикл .........................................................................................................86Инциденты ...................................................................................................................97Обнаружение инцидентов........................................................................................108Информирование об инцидентах ............................................................................119Классификация инцидентов .....................................................................................1210Реагирование на инциденты ................................................................................1311Анализ причин и оценка результата ....................................................................15 2 3. 1 Общие положенияНастоящая политика разработана в соответствии с требованиями Стандарта БанкаРоссии «Обеспечение информационной безопасности организации банковской системыРоссийской Федерации. Общие положения» СТО БР ИББС-1.0-2010. Настоящая политика рассматривает вопросы обнаружение и реагирования наинциденты информационной безопасности в АКБ «БАНК» (далее Банк).Настоящая политика обязательна для применения во всех территориальныхподразделениях Банка.3 4. 2 Нормативные ссылкиФедеральный закон «О банках и банковской деятельности» от 01.12.1990 №395 в редакции Федерального закона от 03.02.1996 № 17 ФЗ, от 31.07.1998№ 151 ФЗ, от 05.07.1999 № 126 ФЗ, от 08.07.1999 № 136 ФЗ, от 19.06.2001 №82 ФЗ, от 07.08.2001 №121 ФЗ, от 21.03.2002 № 31 ФЗ с изменениями,внесенными постановлением Конституционного суда РФ от 23.02.1999 № 4;Федеральный закон «О Центральном банке Российской Федерации (БанкеРоссии)» от 10 июля 2002 г. № 86 ФЗ;Федеральный закон «Об информации, информационных технологиях и озащите информации» от 27 июля 2006 г. № 149 ФЗ;Стандарт Банка России «Обеспечение информационной безопасностиорганизации банковской системы Российской Федерации. Общиеположения» СТО БР ИББС-1.0-2010;ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности.системы менеджмента информационной безопасности. Требования»;ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средствабезопасности. Практические правила менеджмента информационнойбезопасности»;ГОСТ Р ИСО/МЭК 18044 «Информационная технология. Методы и средстваобеспечения безопасности. Менеджмент инцидентов информационнойбезопасности»;NIST SP 800-61 «Computer security incident handling guide». 4 5. 3 Термины и определенияДостоверность: возможность информации отражать истинные положениядел. Объективная информация всегда достоверна, но достовернаяинформация может быть как объективной, так и субъективной;Доступность: возможность получения информации и её использования.Защитная мера: сложившаяся практика, процедура или механизм, которыеиспользуются для уменьшения риска нарушения ИБ Банка;Инцидент информационной безопасности; инцидент ИБ: событие,указывающее на свершившуюся, предпринимаемую или вероятнуюреализацию угрозы ИБ;Конфиденциальность: обязательное для выполнения лицом, получившимдоступ к определенной информации, требование не передавать такуюинформацию третьим лицам без согласия ее обладателя;Надежность: комплексное свойство технического объекта, состоящее из егоспособности выполнять заданные функции, сохраняя свои основныехарактеристики (при определенных условияхэксплуатации)вустановленных пределах;Нарушитель информационной безопасности; нарушитель ИБ: Субъект,реализующий угрозы ИБ Банка, нарушая предоставленные ему полномочияпо доступу к активам Банка или по распоряжению ими;Неотказуемость: функции технологий, обеспечивающие невозможностьотрицания субъектом действия факта самого действия. Это свидетельствоможет быть верифицировано этим субъектом или другими субъектами;Угроза информационной безопасности; угроза ИБ: Угроза нарушениясвойств ИБ — доступности, целостности или конфиденциальностиинформационных активов Банка;Ущерб: утрата активов, повреждение (утрата свойств) активов и (или)инфраструктуры организации или другой вред активам и (или)инфраструктуре Банка, наступивший в результате реализации угроз ИБчерез уязвимости ИБ;Уязвимость информационной безопасности; уязвимость ИБ: Слабое место винфраструктуре Банка, которое может быть использовано для реализацииили способствовать реализации угрозы ИБ; 5 6. Целостность: состояние защищенности информации, характеризуемоеспособностьюИС обеспечить сохранностьинеизменностьконфиденциальной информации при попытках несанкционированных илислучайных воздействий на нее в процессе обработки или хранения.6 7. 4 Обозначение и сокращенияБД: база данных;ДИБ: Департамент информационной безопасности;ДИТ: Департамент информационных технологий;ИБ: информационная безопасность;ИР: информационный ресурс;ИС: информационная система;ИТ: информационные технологии;КИС: Корпоративная информационная система «Название».7 8. 5 Жизненный циклЖизненный цикл мероприятий по расследованию инцидентов ИБ состоит из 4стадий, которые следуют одна за другой и все вместе составляют непрерывный цикл.Обнаружение инцидента, регистрация инцидента Реализация корректирующихУстранение причин имероприятийпоследствий инцидента Расследование инцидентаРисунок 1 Жизненный цикл системы менеджмента инцидентами ИБ Настоящая политика должна пересматриваться (актуализироваться) не реже, чемраз в три года. Настоящая политика должна пересматриваться (актуализироваться) после каждогоинцидента ИБ, при необходимости.Все положения настоящей политики должны проверяться на регулярной основе.Положения процедур и правил реагирования на инциденты ИБ должны регулярнотестироваться, согласно утвержденному ДИБ плану. В Банке документально определены роли по обнаружению, классификации,реагированию, анализу и расследованию инцидентов ИБ, а также назначеныответственные за выполнение этих ролей лица.8 9. 6 ИнцидентыПо всем направлениям защиты, по всем технологическим процессам, по всемиспользуемым ИТ в Банке должны разрабатываться соответствующие политики ИБ. Инцидентом ИБ называется нежелательное или неожиданное событие в системезащиты информации, которое имеет определенный шанс подвергнуть рискуинформационные активы, деловые операции, репутацию Банка, а также поставить подугрозу саму систему защиту информации. Инцидентом ИБ, в общем случае, называетсялюбое нарушение политик ИБ Банка.Инциденты ИБ преследуют нарушениеодного или сразу несколькихосновополагающих свойств информации:нарушение конфиденциальности;нарушение целостности;нарушение доступности.Инциденты ИБ могут преследовать нарушение дополнительных (производных)свойств информации:нарушение надежности;нарушение достоверности;нарушение принципа неотказуемости.Инциденты ИБ возникают в процессе противоборства собственника излоумышленника над получением контроля над информационными активами Банка.Инциденты ИБ могут возникать, как при наличии уязвимостей в информационно-технологическом обеспечении информационных процессов, так и при помощи методовсоциальной инженерии. Для учета и последующего анализа ДИБ должен вести специализированную БД«Инциденты ИБ». ДИБ разрабатывает регламент ведения БД «Инциденты ИБ».9 10. 7 Обнаружение инцидентовИнформация об инцидентах ИБ может поступать по следующим каналам:журналы регистрации сетевого и межсетевого оборудования;журналы регистрации общесистемного программного обеспечения;журналы регистрации инфраструктурного программного обеспечения;журналы регистрации прикладного программного обеспечения;оповещения антивирусных подсистем;оповещения подсистем обнаружения атак;оповещения подсистем мониторинга о событиях ИБ;оповещения подсистем корреляции о событиях ИБ;оповещения подсистем предотвращения (контроля) утечек ИБ;оповещения других подсистем Банка;информация, получаемая от сотрудников Банка по любым каналам связи(телефон, электронная почта, КИС, речевой канал, др.).Все процессы обнаружения инцидентов ИБ должны подлежать обязательномудокументированию. Все процедуры с необходимой степенью детализации описываются всоответствующих регламентах и инструкциях.10 11. 8 Информирование об инцидентах ДИБ Банка отвечает за все процессы по обнаружению и реагированию наинциденты ИБ. ДИБ получает информацию о случившихся инцидентах и принимает мерыпо их устранению.Сотрудники ДИТ, осуществляющие техническую поддержку ИС обязаны приполучении информации обо всех нетипичных событиях ИБ незамедлительно сообщить опроисходящем в ДИБ.Сотрудники ДИТ, осуществляющие техническую поддержку ИС ДИБ обязаны приполучении информации обо всех нетипичных событиях ИБ незамедлительно сообщить опроисходящем в ДИБ. Сотрудники всех профильных Департаментов Банка, отвечающие засоответствующие технологические процессы обязаны при получении информации обовсех нетипичных событиях незамедлительно сообщить о происходящем в ДИБ.Сотрудники Банка, работающие в ИС Банка при получении информации обо всехнетипичных событиях обязаны незамедлительно сообщить о происходящем в ДИБ. Для оперативного получения информации об инцидентах ДИБ имеет специальновыделенные каналы получения информации:телефон для обращений в рабочие часы с 9 ч. до 18 ч. по московскомувремени: (код) 123-45-67;телефон для обращений в нерабочие часы: (код) 123-45-67;адрес электронной почты [email protected];внутренний информационный портал Банка (раздел «Название). Все сотрудники Банка при получении информации о возможных инцидентах имеютвозможность для анонимной передачи информации в ДИБ. Правила действия сотрудников при инцидентах ИБ включаются в общие правиласоблюдения ИБ персоналом Банка.Каждый сотрудник Банка, перед установлением с ним трудовых отношений обязанознакомиться, подписать и в процессе работы в Банке неукоснительно следоватьположениям трудового распорядка Банка, правилам ИБ Банка, другим обязательным длявыполнения документам.11 12. 9 Классификация инцидентовПосле получения информации об инциденте ИБ ДИБ должно классифицироватьинцидент по категории критичности. В Банке используются 4 категории классификациикритичности инцидентов:1 категория. Инцидент может привести к значительным негативнымпоследствиям (ущербу) для информационных активов или репутации Банка;2 категория. Инцидент может привести к негативным последствиям(ущербу) для информационных активов или репутации Банка.3 категория. Инцидент может привести к незначительным негативнымпоследствиям (ущербу) для информационных активов или репутации Банка;4 категория. Инцидент не может привести к негативным последствиям(ущербу) для информационных активов или репутации Банка.Для классификации инцидентов ИБ ДИБ может привлекать специалистов ДИТ,других профильных Департаментов Банка.В зависимости от присвоенной категории критичности происходит определениеприоритета и времени реагирования по каждому типу инциденту ИБ. Сопоставлениеприоритетов и категорий инцидентов ИБ определяется следующим образом:очень высокий. Соответствует 1-й категории критичности. Времяреагирование не более 1 часа;высокий. Соответствует 2-й категории критичности. Время реагирование неболее 4 часов;средний. Соответствует 3-й категории критичности. Время реагирование неболее 8 часов;низкий. Соответствует 4-й категории критичности. Время реагирование неопределено.В зависимости от приоритета инцидента ИБ, происходит выделение необходимыхресурсов для расследования. 12 13. 10 Реагирование на инцидентыДля реагирования на инциденты ИБ в Банке должна быть создана специальнаягруппа реагирования на инциденты ИБ (ГРИ), состоящая из следующих специалистов:менеджеры и специалисты ДИБ;менеджеры и специалисты ДИТ;менеджеры и специалисты юридического Департамента;менеджеры и специалисты Департамента кадрового учета;менеджеры и специалисты Службы внутреннего контроля;менеджеры и специалисты Службы содействия бизнесу;менеджеры и специалисты других необходимых Департаментов;внешние эксперты.ГРИ должны формироваться в зависимости от вида инцидента и необходимойстепени участия каждой стороны. В случае явной необходимости ДИБ может привлекать к процессу реагирования наинциденты ИБ внешних экспертов. В случае привлечения внешних экспертов ДИБ обязан:обосновать принятие такого решения;проинформировать ТОП-менеджера Банка курирующего деятельность ДИБ;заручиться письменным соглашением о конфиденциальности междуБанком и внешней стороной.Все процессы реагирования на инциденты, типизированные по признакупринадлежности нарушения какой-либо политики ИБ, должны обязательнодокументироваться. Документирование сценариев реагирования на каждый возможныйинцидент ИБ проводится экспертным путем и оформляется в виде наборасоответствующих регламентов и правил.Первостепенной задачей ДИБ является сдерживание инцидента ИБ, то естьпринятия всех необходимых мер для локализации инцидента ИБ и препятствующих егораспространению.Взаимодействие ГРИ в процессе реагирования должно осуществляться при условииобеспечения конфиденциальности, например, путем шифрования сообщенийэлектронной почты или сообщений в КИС. 13 14. ГРИ должна иметь выделенное защищенное помещение для переговоров, вкотором проводятся встречи, проводится анализ материалов, координируются действияпо расследованию инцидентов ИБ. В Банке принята корпоративная модель ГРИ, которая реализована по принципуединого центра компетенции в Москве. ГРИ консолидирует и обрабатываетконсолидированную информацию, также координирует деятельность своих дочернихструктур, принимающих участие в расследовании инцидента ИБ. В процессе реагирования на инцидент ИБ ДИБ собирает всю относящуюсяинформацию и проводит расследования.Целью расследования инцидента ИБ является раскрытие всех причинно-следственных связей и получение следующей информации:источники инцидента ИБ (нарушители);цели инцидента ИБ (активы, репутация, др.);способы осуществления инцидента ИБ.В случае инцидента ИБ настоящая политика ЗАПРЕЩАЕТ уведомление партнеровБанка, средств массовой информации, а также третьих лиц, не участвующих в бизнеспроцессах Банка.В процессе реагирования на инциденты ИБ Банк должен неукоснительноследовать законодательству РФ.В качестве превентивной меры по ликвидации последствий инцидентов ИБ, вБанке должен разрабатываться план по восстановлению работоспособности ИТ и ИБсервисов, необходимых для функционирования бизнеса.14 15. 11 Анализ причин и оценка результатаПосле проведения расследования инцидента ИБ ДИБ проводит:переоценку рисков, повлекших возникновение инцидента ИБ;готовит перечень защитных мер для минимизации выявленных рисков, вслучае повторения инцидента ИБ;актуализирует необходимые политики, регламенты, правила ИБ, включаянастоящий документ;по необходимости, проводит обучение персонала Банка, включаясотрудников ДИТ, для повышения его осведомленности в части ИБ.Раз в три месяца, а также по необходимости, ДИБ готовит и предоставляет ТОП-менеджеру, курирующему деятельность ДИБ отчеты о проведенной работе порасследованию инцидентов ИБ с указанием своей экспертной оценки и проводимыми(предлагаемыми) корректирующимии компенсирующими мероприятиями,направленными на снижение ущерба от подобных инцидентов ИБ. 15

инцидент информационной безопасности - это... Что такое инцидент информационной безопасности?

  • Инцидент информационной безопасности — (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность... Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ . МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ… …   Официальная терминология

  • инцидент информационной безопасности — 2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Примечание Инцидентами информационной безопасности… …   Словарь-справочник терминов нормативно-технической документации

  • ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ — Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность Примечание. Инцидентами информационной безопасности являются: а) утрата услуг, оборудования или устройств; б) системные сбои или… …   Комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений

  • Инцидент информационной безопасности организации банковской системы РФ — 3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. Примечания. 1. Реализация угрозы ИБ реализация нарушения свойств ИБ информационных активов… …   Официальная терминология

  • инцидент информационной безопасности организации банковской системы Российской Федерации — 3.11. инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской… …   Словарь-справочник терминов нормативно-технической документации

  • осознание информационной безопасности — 3.9. осознание информационной безопасности : понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от… …   Словарь-справочник терминов нормативно-технической документации

  • СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения — Терминология СТО БР ИББС 1.0 2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: 3.3. автоматизированная банковская система : автоматизированная система, реализующая банковский… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р ИСО/МЭК ТО 18044-2007: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности — Терминология ГОСТ Р ИСО/МЭК ТО 18044 2007: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности: 3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ)… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации


Смотрите также