Ни одна самая совершенная мера по снижению рисков информационной безопасности, будь это досконально проработанная политика или самый современный межсетевой экран, не может гарантировать от возникновения в информационной среде событий, потенциально несущих угрозу бизнесу организации. Сложность и разнообразие среды деятельности современного бизнеса предопределяют наличие остаточных рисков вне зависимости от качества подготовки и внедрения мер противодействия. Также всегда существует вероятность реализации новых, неизвестных до настоящего времени, угроз информационной безопасности. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление бизнес-процессов и потенциально усилить нанесенный ущерб.
Таким образом, любой организации, серьезно относящейся к вопросам обеспечения информационной безопасности, необходимо реализовать комплексный подход к решению следующих задач:
- обнаружение, информирование и учет инцидентов информационной безопасности;
- реагирование на инциденты информационной безопасности, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
- анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения информационной безопасности в целом.
Также следует отметить, что при эксплуатации различного рода систем менеджмента информационной безопасности процесс управления инцидентами является одним из важнейших поставщиков данных для анализа функционирования подобных систем, оценки эффективности используемых мер снижения рисков и планирования улучшений в работе системы.
Оглавление
Обзор общепризнанных практик по управлению инцидентами
К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами информационной безопасности. Необходимо отметить, что вопрос управления инцидентами возникает не только в рамках обеспечения информационной безопасности, но и при управлении ИТ-сервисами в целом. Семейство международных стандартов ISO 20000:2005 в разделе Service Delivery and Support описывает ряд требований к организации процесса управления инцидентами в ИТ-инфраструктуре. Согласно данным стандартам под инцидентом понимается «любое событие, не являющееся элементом нормального функционирования службы и при этом оказывающее или способное оказать влияние на предоставление службы путем ее прерывания или снижения качества».
Специфические вопросы управления инцидентами информационной безопасности рассматриваются в следующих документах:
- ISO/IEC 27001:2005 Information security management system. Requirements. В рамках данного стандарта выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся в том числе и к процессам управления инцидентами.
- ISO/IEC TR 18044 Information security incident management. Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.
- CMU/SEI-2004-TR-015 Defining incident management processes for CISRT. Этот документ описывает методологию планирования, внедрения, оценки и улучшения процессов управления инцидентами. Основной упор делается на организации работы CISRT (Critical Incident Stress Response Team) — группы или подразделения, обеспечивающего сервис и поддержку предотвращения, обработки и реагирования на инциденты информационной безопасности. Вводится ряд критериев, на основании которых можно оценивать эффективность данных сервисов, приводятся подробные процессные карты.
- NIST SP 800-61 Computer security incident handling guide. Здесь представлен сборник «лучших практик» по построению процессов управления инцидентами и реагирования на них. Подробно разбираются вопросы реагирования на разные типы угроз, такие как распространение вредоносного программного обеспечения, несанкционированный доступ и другие.
В рамках данного обзора невозможно рассмотреть все имеющиеся рекомендации по управлению инцидентами, и вполне вероятно, что наиболее эффективным для конкретной организации будет использование какой-либо другой методологии, в том числе и разработанной самостоятельно. Но на наш взгляд, любая используемая методология должна быть совместима с основными современными стандартами на системы управления, такими как ISO/IEC 27001 и ISO 20000.
Построение процесса управления инцидентами
Международный стандарт ISO/IEC 27001 «Информационные технологии — Методы безопасности — Системы управления информационной безопасностью — Требования» вводит следующие определения:
- событие информационной безопасности: идентифицированный случай состояния системы или сети, указывающий на возможное нарушение политики информационной безопасности или отказ средств защиты, либо ранее неизвестная ситуация, которая может быть существенной для безопасности;
- инцидент информационной безопасности: единичное событие или ряд нежелательных и непредвиденных событий информационной безопасности, из-за которых велика вероятность компрометации бизнес-информации и угрозы информационной безопасности
Для обработки событий и инцидентов информационной безопасности необходимо организовать процесс реагирования на инциденты. Основными задачами процесса реагирования на инциденты ИБ являются:
- координация реагирования на инцидент;
- подтверждение / опровержение факта возникновения инцидента ИБ;
- обеспечение сохранности и целостности доказательств возникновения инцидента, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;
- минимизация нарушений порядка работы и повреждения данных ИТ-системы, восстановление в кратчайшие сроки работоспособности компании при ее нарушении в результате инцидента;
- минимизация последствий нарушения конфиденциальности, целостности и доступности информации ИТ-систем;
- защита прав компании, установленных законом; создание условий для возбуждения гражданского или уголовного дела против злоумышленников;
- защита репутации компании и ее ресурсов;
- быстрое обнаружение и/или предупреждение подобных инцидентов в будущем;
- обучение персонала компании действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.
В рамках международного стандарта ISO/IEC 27001:2005 выдвигаются следующие требования к процессу реагирования на инциденты:
Раздел 4.2.3 Мониторинг и анализ СУИБ.
Организация должна выполнить следующее:
- своевременно идентифицировать неудавшиеся и успешные нарушения безопасности и инциденты безопасности;
- помочь в выявлении событий безопасности и, таким образом, предотвратить инциденты безопасности путем использования индикаторов.
Приложение А. Цели управления и средства управления.
А.13 Управление инцидентами информационной безопасности:
- A.13.1.1 Сообщение о событиях информационной безопасности. Эти сообщения должны отправляться по надлежащим управленческим каналам как можно быстрее.
- A.13.1.2 Сообщение о слабостях защиты. Необходимо обязать всех сотрудников, подрядчиков и пользователей из сторонних организаций, использующих информационные системы и сервисы, отмечать и сообщать обо всех наблюдаемых или предполагаемых слабостях защиты систем или сервисов.
- A.13.2.1 Ответственность и процедуры. Должна быть установлена ответственность руководства и определены процедуры для обеспечения быстрого, эффективного и правильного реагирования на инциденты информационной безопасности.
- A.13.2.2 Обучение на инцидентах информационной безопасности. Должны быть реализованы механизмы, позволяющие измерять и отслеживать типы, объемы и стоимость инцидентов информационной безопасности.
- A.13.2.3 Сбор доказательств. Если действия, которые в результате инцидента информационной безопасности предполагается предпринять относительно лица или организации, включают в себя, кроме других, и правовые (как по гражданскому, так и по уголовному кодексу), то необходимо собрать, сохранить и представить доказательства, чтобы выполнить правила доказательства, установленные в соответствующем правоохранительном органе (органах).
Документ ISO/IEC TR 18044 Information security incident management определяет формальную модель процесса реагирования на инциденты. Целями следования этой модели является уверенность в том, что:
- события и инциденты информационной безопасности выявляются и обрабатываются эффективным образом, в особенности в части классификации событий;
- выявленные инциденты информационной безопасности в организации учитываются и обрабатываются наиболее подходящим и эффективным образом;
- последствия инцидентов информационной безопасности могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов восстановления после сбоев и аварий (DRP/BCP);
- за счет анализа инцидентов и событий ИБ повышается вероятность предотвращения будущих инцидентов, улучшаются механизмы и процессы обеспечения информационной безопасности.
Процесс реагирования на инциденты состоит из следующих этапов:
- Планирование и подготовка. На данном этапе осуществляется разработка схемы реагирования на инциденты, разработка и утверждение ряда организационно-регламентирующих документов, выделение людских и материальных ресурсов, проведение необходимого обучения и апробация выбранной схемы реагирования на инциденты.
- Эксплуатация. Осуществляется обнаружение инцидента ИБ, его идентификация, предварительный анализ и начальное реагирование.
- Анализ. Проводится углубленный анализ инцидента, на его основе делаются выводы и составляются рекомендации по улучшению процесса обеспечения информационной безопасности и реагирования на инциденты. Формируется отчет об инциденте.
- Улучшение. На данном этапе реализуются рекомендации, выработанные на этапе анализа.
Рассмотрим каждый из названных этапов подробнее.
Планирование и подготовка
Данный этап является подготовительным и предназначен для организации и регламентирования деятельности по реагированию на инциденты. На этом этапе необходимо:
- выделить людские и материальные ресурсы;
- разработать схему реагирования на инциденты;
- разработать и утвердить ряд организационно-регламентирующих документов;
- провести необходимое обучение персонала и апробацию выбранной схемы реагирования на инциденты.
В соответствии с ISO/IEC TR 18044 необходимо создать группу по расследованию инцидентов ИБ. Основные цели:
- обеспечение компании квалифицированным персоналом для учета, реагирования и анализа инцидентов;
- обеспечение необходимой координации и управления процессом реагирования на инциденты;
- обеспечение должного уровня информирования руководства и заинтересованных лиц;
- обеспечение максимального снижения последствий инцидентов как в материальной сфере, так и для поддержания репутации организации.
В состав группы рекомендуется включить представителей следующих подразделений организации:
- служба информационной безопасности: обеспечение координационной, административной, экспертной и технологической деятельности;
- служба информационных технологий: обеспечение экспертной и технологической деятельности;
- служба персонала: обеспечение административной и процедурной деятельности;
- юридическая служба: обеспечение экспертной и нормативно-правой деятельности;
- бизнес-менеджеры профильных подразделений: привлекаются на временной основе для поддержки обеспечения административной, экспертной и технологической деятельности;
- внешние эксперты: обеспечение консультативной, экспертной и технологической деятельности.
Основными процессами подготовительного этапа могут быть:
- выделение людских и материальных ресурсов;
- разработка и утверждение организационно-распорядительной документации;
- обучение персонала;
- тестирование схемы реагирования на инциденты.
Эксплуатация
На данном этапе осуществляются обнаружение инцидента ИБ, его идентификация, предварительный анализ и реагирование на инцидент.
Основные процессы этапа:
- обнаружение и идентификация инцидента;
- предварительный анализ инцидента;
- начальное реагирование на инцидент;
- реагирование на инцидент.
Анализ
Группа по реагированию на инциденты проводит углубленный анализ инцидента, на основе результатов анализа делаются выводы и составляются рекомендации по улучшению процесса обеспечения ИБ и реагирования на инциденты. Формируется отчет об инциденте.
Основным процессом этапа является углубленный анализ инцидента.
Улучшение
На данном этапе осуществляется реализация рекомендаций по улучшению процессов обеспечения ИБ и реагирования на инцидент. Утвержденные уполномоченным лицом компании рекомендации передаются на исполнение ответственным лицам.
Обобщенная схема процессов управления инцидентами приведена на Рис. 1.
Рисунок 1. Схема процессов управления инцидентами
Автоматизация процессов управления инцидентами
При автоматизации процессов управления инцидентами в первую очередь необходимо уделять внимание автоматизированной обработке событий информационной безопасности — основе практически любого инцидента. События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в системе управления информационной безопасностью (СУИБ), нарушениях, рисках. На основании событий проводится корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о динамике развития СУИБ. Можно сказать, что события — основной канал обратной связи для управляющих воздействий в рамках СУИБ. Немаловажным является и то, что события легко документируемы и воспроизводимы.
Организация процесса обработки событий без использования средств автоматизации представляет собой сложную и трудоемкую задачу. Необходимо собирать и консолидировать большое количество данных в различных форматах, вести центральный архив. Для ручной обработки событий требуется большое число высококвалифицированных специалистов—аналитиков. В силу большого объема рутинной ручной работы обработка событий зачастую бывает неполной, не отражающей всю полноту текущей ситуации. При этом возможна ситуация, когда события, критичные для надежного и защищенного функционирования бизнес-систем, окажутся вне поля зрения аналитиков, и в отношении них не будут приняты соответствующие превентивные меры.
Для поддержания процесса обработки событий на уровне, соответствующем современным требованиям, возможно применение различных автоматизированных систем обработки событий (СОС).
СОС должны обеспечивать следующий функционал:
- позволять собирать события от всех технических средств обеспечения защищенности, используемых в рамках СУИБ;
- производить нормализацию событий, приводя их к единому формату;
- осуществлять хранение событий способом, позволяющим хранить необходимые объемы данных;
- предоставлять инструментарий для поиска в хранилище данных;
- предоставлять механизмы формирования отчетов различного рода;
- СОС должна быть расширяемой и масштабируемой;
- опционально осуществлять корреляцию собранных событий.
Процесс обработки событий автоматизированными системами включает следующие основные шаги: нормализация (приведение к единому формату) данных, агрегирование (накопление), корреляция и визуализация. На первых двух стадиях информация о событиях безопасности собирается практически со всех используемых в рамках СУИБ средств защиты: межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений различных производителей, средств контроля физического доступа, и преобразуется в единый, удобный для понимания формат. Собранные данные подвергаются корреляции и выводятся на консоль оператора системы.
Развитые средства поиска позволяют проводить оперативное и всестороннее расследование инцидентов, обеспечивать свидетельства наличия и функционирования средств защиты в рамках СУИБ при проведении различных аудитов.
В настоящий момент на рынке присутствуют автоматизированные системы, реализующие требуемый функционал. Компания «Инфосистемы Джет» использует в своих решениях программный продукт для обработки событий — netForensics nFX Open Security Platform. (Рис. 2).
Система управления информационной безопасностью netForensics предназначена для работы с гетерогенной средой продуктов обеспечения информационной безопасности и реализует непрерывный сбор, обработку и отображение событий безопасности. Система работает под управлением ОС Windows, Linux или Solaris, используя в качестве хранилища данных полнофункциональную СУБД Oracle. Описываемая СУИБ имеет широкие возможности работы в распределенном режиме, поддержку различных отказоустойчивых конфигураций. Система netForensics реализована на базе технологии Java по модульному принципу.
Основные модули системы:
- сервер приложений — реализует основную логику обработки событий, представления данных, взаимодействия с пользователями;
- база данных — обеспечивает хранение поступающей в систему информации;
- модуль корреляции — осуществляет корреляцию собранных данных;
- модуль автоматизации управления инцидентами — осуществляет автоматизацию процессов управления инцидентами;
- агенты — собирают информацию непосредственно с устройств.
В состав системы входят средства для написания агентов сбора данных с нестандартных средств защиты, средства задания пользовательских правил корреляции и создания отчетов.
Заключение
Эффективно организовав и внедрив процесс управления инцидентами, компания получит следующие бизнес-преимущества:
- снижение отрицательного влияния инцидентов на бизнес организации;
- доступность необходимой для бизнеса управленческой информации;
- превентивное определение мер по улучшению информационной защищенности.
Правильно организованный процесс управления инцидентами в подразделениях службы информационной безопасности это:
- четкое определение для всех специалистов ролей и ответственности за качественное и своевременное реагирование на инциденты;
- оперативная информация для мониторинга эффективности принимаемых защитных мер;
- прозрачность контроля за эффективностью работы сотрудников подразделения;
- повышение качества взаимодействия специалистов в смежных ИТ- и бизнес-подразделениях.
Система автоматизации процесса управления инцидентами дополнительно позволит:
- обрабатывать и хранить информацию о событиях и инцидентах информационной безопасности, а также обо всех действиях по их устранению;
- оперативно принимать решение по устранению возникшего инцидента, основываясь на анализе информации о предыдущих инцидентах;
- проводить анализ накопленных данных.
Иван Мелехин, старший инженер-проектировщик компании «Инфосистемы Джет«, 2007
Информационный бюллетень JET INFO