Стандарты информационной безопасности

       

Реагирование на нарушения безопасности (процедурный уровень)


Традиционная информационная безопасность, как правило, концентрируется вокруг защиты от атак и, до некоторой степени, вокруг их обнаружения. Обычно почти не уделяют внимания мерам, предпринимаемым во время уже начавшейся атаки. В результате поспешных, непродуманных действий могут быть затруднены выявление причины инцидента, сбор улик для расследования, подготовка к восстановлению системы и защита ценной информации.

Враждебные акции, будь то нападение внешних злоумышленников или месть обиженного сотрудника, необходимо предусмотреть заранее. Ничто не может заменить предварительно составленного плана восстановительных работ.

В разделах политики безопасности, касающихся реакции на инциденты, должны быть освещены следующие темы:

  • обзор (цели, преследуемые политикой безопасности в плане реакции на инциденты);
  • оценка (насколько серьезно произошедшее событие);

  • извещение (кого следует известить о нем);

  • ответные меры (что следует предпринять в ответ);

  • правовой аспект (каковы правовые последствия случившегося);
  • регистрационная документация (что следует фиксировать до, во время и после инцидента).

Важно заранее определить приоритеты действий, совершаемых во время инцидента. Шкала приоритетов может выглядеть следующим образом:

  • защита жизни и здоровья людей;
  • защита секретных и/или критически важных данных;
  • защита прочих данных, включая частную, научную и управленческую информацию;
  • предотвращение повреждения систем; минимизация урона, нанесенного вычислительным ресурсам.

Идентификации инцидента сопутствует выяснение его масштабов и возможных последствий, а для эффективного противодействия важно правильно определить его границы. Кроме того, оценка возможных последствий позволит установить приоритеты при выделении ресурсов для принятия ответных мер.

Когда есть уверенность, что нарушение режима безопасности действительно имеет место, следует известить соответствующий персонал. Чтобы удержать события под контролем и с технической, и с эмоциональной точек зрения, очень важно, кто и как будет извещен.

Любое сообщение об инциденте должно быть внятным, любая фраза - ясной, точной и полной. Попытки скрыть отдельные моменты, сообщая ложную или неполную информацию, способны не только помешать принятию эффективных ответных мер, но и привести к ухудшению ситуации.

Меры, предпринимаемые для борьбы с нарушением, можно подразделить на основные категории:

  • сдерживание;

  • ликвидация;

  • восстановление;

  • анализ.

Цель сдерживания - ограничить атакуемую область. Например, как можно быстрее приостановить распространение червя в сети.

Когда задача сдерживания решена, можно приступать к ликвидации. В этом поможет программный инструментарий (в частности, антивирусные пакеты).

После ликвидации атаки наступает время восстановления, т. е. приведения системы в нормальное состояние.

Следует предпринять по крайней мере следующие действия:

  • произвести переучет системных активов, т. е. тщательно проверить состояние систем;
  • отразить уроки, извлеченные из инцидента, в пересмотренной программе обеспечения безопасности, чтобы не допустить повторения аналогичного нарушения;
  • произвести новый анализ риска с учетом полученной информации;
  • начать следствие против виновников инцидента, если это признано необходимым.

Устранить все уязвимые места, сделавшие возможным нарушение режима безопасности, непросто, но необходимо. Ключевым моментом здесь является понимание механизма вторжения.

При восстановлении, возможно, придется вернуться к начальному состоянию системы с последующей ее настройкой. Чтобы облегчить действия даже в таком, наихудшем, случае, целесообразно хранить записи о начальных установках и обо всех внесенных изменениях.

Анализ - одна из самых важных стадий реакции на инциденты, о которой, тем не менее, почти всегда забывают. Она важна потому, что позволяет всем причастным лицам извлечь поучительные уроки, чтобы в будущем в аналогичных ситуациях действовать эффективнее.

Требуется получить ответы по крайней мере на следующие вопросы:

  • Что именно и когда произошло?
  • Насколько хорошо сработал персонал?
  • Какая срочная информация понадобилась в первую очередь, и что способствовало ее скорейшему получению?
  • Что в следующий раз нужно делать по-другому?

После восстановления системы в ней нередко остаются уязвимости или даже ловушки. На фазе анализа система должна быть тщательно обследована, чтобы выявить проблемы, упущенные при восстановлении. В качестве отправной точки разумно воспользоваться программными средствами контроля защищенности.

Целесообразно документировать все детали, связанные с инцидентом: способы его обнаружения, процедуры исправления ситуации, процедуры мониторинга и усвоенные уроки. Детальное документирование в конечном итоге ведет к экономии времени, позволяет оценить размер нанесенного ущерба.

<

Содержание раздела