Департамент информационной безопасности
Выбери формат для чтения
Загружаем конспект в формате docx
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Департамент информационной безопасности
Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.
Его основными задачами, как правило, являются:
• организация и координация работ по обеспечению комплексной защиты информации на предприятии;
• контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;
• выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.:
• формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;
• внедрение различных средств защиты информации;
• администрирование отдельных информационных систем.
Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:
• значимость информационных ресурсов в работе предприятия и характер существующих угроз;
• отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;
• функциональность и характер используемых информационных систем, их роль в бизнес-процессах;
• организация работы и структура ИТ-службы;
• финансовое состояние предприятия.
Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.
Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя:
• консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;
• самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия;
• самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.);
• формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов;
• анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности;
• анализ и обобщение передового опыта и современных теорий в сфере управления информационной безопасностью с целью их практического применения на предприятии;
• привлечение сторонних специалистов, исследователей, консультантов (консалтинговых компаний) для разработки и совершенствования политики безопасности предприятия и внедрения развитых методов управления в этой сфере;
• управление обучением персонала компании (контроль за полнотой и правильностью материалов учебных программ, связанных с информационной безопасностью, обеспечение своевременности прохождения обучения и т.п.);
• консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия;
• контроль соответствия внутренних организационных документов предприятия (правил внутреннего распорядка, должностных инструкций, инструкций по использованию информационных систем, типовых форм договоров и т.п.) требованиям политики информационной безопасности, а также согласование таких документов при их утверждении.
Функции, связанные с внедрением средств защиты информации могут включать в себя:
• анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
• анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
• привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
• формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
• участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
• разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
• подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.
Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:
• выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
• определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
• привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
• установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
• консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
• реагирование на различные инциденты, связанные с нарушением информационной безопасности;
• принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
• генерирование паролей пользователей информационных систем и обеспечение их сохранности;
• участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.
Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:
• сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы;
• проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы);
• проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.);
• проведение комплексных аудитов информационной безопасности на предприятии;
• организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.);
• привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.
Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечения информационной безопасности имеет значение выполнение таких функций, как:
• охрана территории и имущества предприятия, а также охрана персонала;
• обеспечение соблюдения пропускного режима;
• наблюдение за территорией и помещениями (в том числе при помощи видеокамер);
• контроль за ввозом на территорию предприятия и вывозом готовой продукции, материалов, документов и другого имущества;
• организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами;
• контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка.
Организационная структура и персонал департамента информационной безопасности
На практике департамент является подразделением, либо напрямую подчиняющимся первому лицу предприятия, либо входящим в качестве структурной единицы в службу безопасности предприятия. Сотрудники департамента находятся в административном и функциональном подчинении у руководителя департаментаВ англоязычных источниках эта должность может называться Chief Information Security Officer (CISO). , который несет ответственность за обеспечение информационной безопасности на предприятии. Вывод департаментов информационной безопасности из структуры ИТ-служб на предприятиях является одной из важных современных тенденций в управлении бизнесом, информационными технологиями и информационной безопасностью, т.к., по мнению некоторых специалистов, у этих подразделений имеются некоторые частично взаимопротиворечащие интересы и потому некоторые задачи не могут быть эффективно решены в рамках одного структурного подразделения.
В составе департамента для повышения эффективности работы могут быть выделены самостоятельные группы (отделы), специализирующиеся на выполнении определенных функций (см. рис. 9.1):
• отдел (группа, бюро) нормативной (организационной) документации;
• отдел (группа, бюро) администрирования информационных систем;
• отдел (группа, бюро) аудита информационной безопасности;
• отдел (группа, бюро) внедрения информационных систем и систем защиты информации.
увеличить изображение
Рис. 9.1. Пример организационной схемы Департамента информационной безопасности предприятия
Отдел нормативной документации решает задачи, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, и должен, главным образом, включать в себя специалистов по менеджменту и бизнес-анализу, прошедших дополнительную подготовку в сфере управления информационной безопасностью. Также в состав такого отдела могут входить юристы. Аналогичный кадровый состав может быть и у Отдела внутреннего аудита информационной безопасности. При этом к квалификации сотрудников Отдела нормативной документации, как правило, должны предъявляться гораздо более высокие профессиональные требования.
Отдел администрирования информационных систем, а также Отдел внедрения информационных систем и систем защиты информации, как правило, должны включать в себя специалистов по информационным технологиям и средствам защиты информации, имеющих значительный опыт внедрения и эксплуатации корпоративных информационных систем.
Работа с персоналом предприятия
Практическая реализация всех положений сформированной политики информационной безопасности потребует от предприятия длительных практических усилий. Одним из основных и наиболее сложных направлений работы является работа с персоналом, цели которой:
• отбор и предварительная проверка персонала, принимаемого на работу (на службу);
• обучение сотрудников;
• достижение взаимопонимания руководителей и сотрудников в вопросах обеспечения информационной безопасности;
• психологическая подготовка с целью противостояния методам т.н. "социальной инженерии".
В одной из своих книг известный специалист по проблемам информационной безопасности Брюс Шнайер заметил, что в общей системе мер по защите информации "математический аппарат является безупречным, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны. Я изучил множество вопросов, связанных с обеспечением безопасности компьютеров и сетей, и могу утверждать, что не существует решения проблемы человеческого фактора". Это высказывание наиболее ярко и наглядно демонстрирует важность целенаправленных мероприятий по подбору, расстановке и работе с кадрами предприятия с той целью, чтобы в работе информационных систем не возникло "узких мест" и т.н. человеческий фактор не стал наиболее весомым источником угроз для информационной безопасности. Основной причиной, определяющей значимость человеческого фактора в общей системе защиты информации, является то, что при всей развитости современных средств автоматизации информационные системы по-прежнему представляют собой человеко-машинные комплексы и их (систем) функционирование во многом зависит от работы отдельных людей. Именно по этой причине неадекватное обращение служащих предприятия с компонентами информационной системы может нанести серьезный ущерб информационной безопасности даже при наличии детально проработанных политик безопасности и высокоэффективных программных и аппаратных средств защиты информации.
Начальная стадия работы – подбор и расстановка кадров – может иметь несколько аспектов. В первую очередь, основным критерием для назначения на определенные должности, связанные с работой со сведениями, которые составляют государственную тайну, является получение соответствующей формы допуска (эта процедура описана в предыдущем подразделе). В соответствии с требованиями действующих нормативно-правовых актов Перечень должностей, при назначении на которые необходимо оформлять специальный допуск, устанавливается руководителем предприятия и может периодически пересматриваться (для сведений, составляющих государственную тайну, — не реже одного раза в 5 лет). Это требование связано, с одной стороны, с тем, что руководитель предприятия несет ответственность за обеспечение режима секретности, а с другой — с тем, что для выполнения функциональных обязанностей сотрудникам предприятия необходимо работать с определенными сведениями и, соответственно, иметь определенный уровень допуска.
Также при подборе и расстановке кадров могут применяться и менее формализованные методы. Это могут быть различные методики психологической оценки, включающие в себя:
• анализ мотивационных аспектов личности;
• оценку психологической устойчивости личности;
• оценку уровня познавательных способностей личности (успешность приобретения новых знаний и навыков и способность к их практическому применению);
• оценку активности личности в достижении поставленной цели, умение объективно оценивать ситуацию и людей, умение вырабатывать оптимальную стратегию поведения.
Такого рода анализ может быть необходим как в отношении специалистов и руководителей, которые работают с информацией, подлежащей защите, в связи с выполнением своих должностных обязанностей по основному профилю работы предприятия, так и специалистов и руководителей, чьей основной задачей является обеспечение информационной безопасности предприятия (аудиторов ИБ, проектировщиков и администраторов информационных систем и систем защиты информации и т.п.).
Помимо тщательного подбора, одной из важных основ работы с персоналом является его обучение способам обеспечения информационной безопасности и безопасной работе с информационными системами. Обучение и последующий контроль полученных (имеющихся) знаний может быть как первичным, так и повторным. В общем случае сотрудник предприятия не может быть допущен к выполнению своих должностных обязанностей и работе с информационными системами до тех пор, пока он не пройдет обучение по вопросам информационной безопасности и не будет:
• детально ознакомлен со всеми действующими на предприятии требованиями и общими правилами;
• полностью обучен методам и приемам обеспечения информационной безопасности, необходимым для выполнения его должностных обязанностей;
• ознакомлен со всеми возможными мерами ответственности (дисциплинарной, административной, уголовной), которые могут быть к нему применены в случае нарушения требований, а также в случае нанесения ущерба по его вине.
В завершении всей предварительной работы сотрудник должен дать все необходимые обязательства о неразглашении конфиденциальных сведений, а также письменно засвидетельствовать, что он полностью ознакомлен с основными положениями политики безопасности. В процессе работы предприятие также может проводить периодический контроль знаний и навыков, связанных с обеспечением информационной безопасности с той целью, чтобы засвидетельствовать компетентность работников в этой сфере. Также одним из инструментов обучения может быть периодическое ознакомление персонала с реальными примерами недавно произошедших инцидентов, связанных с информационной безопасностью. Кроме того, дополнительное обучение персонала предприятия может производиться в случаях:
• внедрения новых автоматизированных информационных систем;
• изменения бизнес-процессов предприятия;
• изменения требований политик безопасности (например, в связи с изменением требований законодательства).
Необходимость дополнительного обучения при внедрении новых информационных систем и, в частности, интегрированных систем управления предприятием, как правило, может быть обусловлена появлением новых функциональных возможностей программного обеспечения и изменением процедур обработки информации. Также доступ к интегрированным информационным системам потенциально может дать доступ к ранее недоступной информации и предоставить ранее отсутствовавшие возможности влиять на различные информационные потоки. В связи с этим может возникнуть потребность в том, чтобы сотрудники дали дополнительные обязательства о соблюдении мер информационной безопасности. Аналогичные организационные меры по обеспечению защиты информации могут быть необходимы и при изменении бизнес-процессов предприятия, когда меняется его структура, распределение функций между подразделениями и обязанностей сотрудников, и соответственно, вносятся изменения в организационные схемы, штатные расписания и должностные инструкции персонала. Изменения требований политики безопасности могут быть связаны с появлением новых угроз, изменением законодательных требований, расширением рынков, изменением отношения руководства и собственников предприятия к вопросам информационной безопасности и другими факторами, – все эти уточнения и изменения также должны своевременно и в полном объеме доводиться до персонала.
В процессе обучения определенную значимость может иметь разъяснение рациональных причин, по которым предприятие применяет именно такую политику безопасности. Это может служить как для лучшего понимания и усвоения положений политики безопасности, так и для определенной разрядки психологической напряженности, неизбежно возникающей при принятии ограничительных мер и возложении дополнительных обязанностей, необходимость которых не всегда очевидна и понятна как рядовым сотрудникам, так и специалистам.
Отдельным направлением обучения и повышения квалификации может быть развитие у персонала компании навыков противодействия методам т.н. социальной инженерии (данный подход также иногда называют "социотехникой"). Использование для незаконного проникновения в информационные системы методов социальной инженерии связано с т.н. "человеческим фактором", который представляет собой совокупность определенных психологических склонностей и особенностей мышления и поведения, которые свойственны практически всем людям. К числу таких склонностей и особенностей можно отнести:
• неспособность адекватно оценить опасность в некоторых ситуациях;
• специфическое отношение к редко происходящим событиям (притупление внимания);
• излишнее доверие и полагание на средства автоматизации;
• подверженность манипулированию, основанная, например, на желании помочь людям (в том числе и незнакомым) или на излишнем доверии людям, одетым в специальную униформу, и т.п.
Именно с использованием некоторых психологических особенностей такого рода осуществляются многие наиболее успешные (для нападающих) проникновения в корпоративные информационные системы. Примерами таких проникновений являются ситуации, когда злоумышленник:
• совершает телефонный звонок, представляется администратором и, сославшись на определенные обстоятельства (такие как сбой в системе), просит сообщить ему пароль;
• приходит в офис в специальной униформе (например, в форме сотрудника компании, занимающейся обслуживанием и ремонтом компьютеров) и просит предоставить ему доступ к информационной системе;
• присылает сообщение по электронной почте от имени администратора информационной системы или руководства предприятия и просит сообщить пароль или совершить определенные действия.
Большую значимость в общей системе мер по преодолению влияния человеческого фактора имеет повседневная работа с персоналом. Помимо обучения персонала и применения дисциплинарных мер воздействия, одной из основных задач такой работы является постоянное напоминание всем сотрудникам о необходимости соблюдения правил информационной безопасности. Конкретные способы, при помощи которых такие напоминания могут быть сделаны, будут зависеть от предпочтений руководителей предприятия, сложившейся корпоративной культуры, специфики бизнес-процессов и других обстоятельств. Характерными способами того, как предприятие может постоянно напоминать своим сотрудникам о необходимости соблюдать осторожность, являются:
• размещение и периодическая смена (обновление дизайна и содержания) напоминаний о необходимости соблюдать требования политики информационной безопасности на предметах, постоянно находящихся в поле зрения сотрудников в течение рабочего дня: настенных и настольных календарях, кофейных кружках, обложках блокнотов, настольных экспонатах, ручках, карандашах и других канцелярских принадлежностях;
• периодическая рассылка соответствующих брошюр, бюллетеней и буклетов, а также сообщений по электронной почте;
• использование скринсэйверов, содержащих соответствующие напоминания;
• использование голосовой почты и громкой связи для периодической передачи сообщений о необходимости соблюдения правил информационной безопасности и т.п. [34]
Таким образом, комплекс всех организационных мер по работе с персоналом предприятия, включающий в себя систему обучения персонала, систему привлечения нарушителей к ответственности, и постоянное поддержание атмосферы ответственного отношения к вопросам безопасности, должен в определенной мере уменьшить негативное влияние человеческого фактора на защищенность информационных систем и состояние информационной безопасности.
Лекция 10:
Организация реагирования на чрезвычайные ситуации (инциденты)
Аннотация: В лекции описываются основные разделы регламентов реагирования на инциденты (чрезвычайные ситуации) в сфере информационной безопасности. Детально раскрываются типовые действия, которые должны выполняться персоналом предприятия при возникновении таких ситуаций.
Реагирование на возникающие чрезвычайные ситуации (инциденты), связанные с нарушением информационной безопасности, является таким же важным направлением работы, как и построение системы защиты и предотвращения нарушений. Под инцидентом, как правило, понимается какое-либо отклонение от нормального процесса использования информационных ресурсов и функционирования информационных систем, повлекшее ущерб для определенных информационных активов предприятия или непосредственно создающее угрозу нанесения такого ущерба.
Чрезвычайная ситуация (инцидент), связанная с нарушением информационной безопасности, может быть обусловлена:
• разрушительным воздействием на весь имущественный комплекс предприятия при возникновении стихийных факторов (наводнение, пожар, землетрясение и т.п.) или целенаправленном нападении (подрыв, поджог, разрушение зданий и помещений и т.п.);
• негативным воздействием исключительно на информационные ресурсы предприятия (как правило, осуществляемым удаленно, с использованием телекоммуникационных каналов).
В общем случае организационные процедуры (регламенты) реагирования на чрезвычайные ситуации должны включать в себя:
• регламенты альтернативных процессов обработки информации (в том числе, возможно, и без использования средств автоматизации) на период выхода из строя основных информационных ресурсов;
• определение групп персонала, ответственных за выполнение тех или иных функций в случае возникновения чрезвычайной ситуации, а также определение процедур взаимодействия между группами и отдельных групп с руководством предприятия;
• техническую и организационную документацию, необходимую для восстановления информационных систем и данных после чрезвычайной ситуации;
• порядок хранения архивных (резервных) копий данных и программных приложений обработки данных в местах, защищенных от механических воздействий, краж, наводнений, пожаров и т.п. (в т.ч., возможно, в местах, территориально удаленных от основных мест хранения и обработки информации);
• соглашения с поставщиками программных и аппаратных средств, входящих в информационную инфраструктуру предприятия, о срочной поставке компонент, вышедших из строя и требующих замены в случае чрезвычайной ситуации.
Далее в данном разделе наиболее подробно рассматриваются инциденты, причиной которых являются намеренно осуществляемые нападения на информационные ресурсы предприятия1Данное предположение сделано исходя из того, что на практике причинами наиболее опасных инцидентов, требующих осмысленной целенаправленной реакции, являются намеренно осуществляемые нападения. .
Процесс реагирования на такого рода инциденты включает в себя четыре основных этапа:
1. обнаружение нападения;
2. локализация нападения;
3. идентификация нападающих;
4. оценка и последующий анализ процесса нападения и его обстоятельств.
Обнаружение атак и распознавание вторжений, как правило, является инженерно-технической задачей, решаемой при помощи специальных программных и иногда аппаратных средств. В частности, обнаружение может осуществляться на основе анализа сетевого трафика и журналов (лог-файлов), в которых фиксируются различные действия. Обнаружение может осуществляться на основе т.н. сигнатур – формализованных наборов признаков определенных вирусов, типов атак и т.п. Также, очевидно, источником информации о нарушениях являются сообщения пользователей об отклонениях в работе информационных систем и появление явных негативных последствий произошедших нарушений.
Для обеспечения своевременного обнаружения нарушений предприятие должно организовать постоянную (при необходимости – круглосуточную) работу специалистов, отвечающих за разрешение инцидентов. Для этого может быть выбран один из возможных подходов.
• Организация собственной дежурной службы, состоящей из компетентных специалистов, несущих посменное дежурство и оснащенных средствами мобильной связи.
• Привлечение сторонней организации, специализирующейся на оказании подобных услуг.
При этом сотрудники предприятия должны знать номера телефонов и иные способы связи, при помощи которых они могли бы оперативно сообщать дежурным специалистам обо всех происшествиях. Важность организации как можно более оперативного информирования специалистов по безопасности и, соответственно, как можно более оперативного реагирования обусловлена тем, что обнаружение нападения и начало противодействия в то время, как само нападение еще продолжается, в большинстве случаев может быть гораздо более эффективным, чем реагирование после окончания нападения.
Выявление нарушений может быть осуществлено не только по явным признакам, таким как сообщения пользователей о прекращении функционирования отдельных элементов информационных систем, одновременное использование одной учетной записи на нескольких рабочих станциях или явное обнаружение вирусов в данных, передаваемых по локальной сети, но и по некоторым косвенным признакам (аномальным явлениям), которые в отдельных случаях могут свидетельствовать (а могут и не свидетельствовать) о нарушениях. Примерами таких косвенных свидетельств могут быть:
• использование информационных систем и определенных учетных записей в нехарактерное время (рано утром, поздно вечером и т.п.);
• резкое нехарактерное повышение нагрузки на информационные системы или их отдельные элементы (сегменты сети, хранилища данных и т.п.);
• изменение характера поведения пользователей (например, последовательности определенных действий при использовании информационной системы)
• и другие.
Для более эффективного анализа таких косвенных признаков и интерпретации различных фактов специалистам по реагированию на инциденты может понадобиться анализ функциональности информационных систем и взаимодействие аналитиков департамента информационной безопасности с пользователями (изучение особенностей их работы). Также для автоматизации такого анализа могут быть использованы специальные программные средства, автоматически осуществляющие статистический анализ сетевого трафика и других элементов информационной инфраструктуры и сигнализирующие при обнаружении аномальной активности, для того чтобы администраторы могли провести дальнейший качественный анализ выявленных отклонений и при необходимости предпринять активные ответные действия. В целом, разработка и совершенствование таких средств анализа в составе комплексных систем обнаружения вторжений является одним из перспективных направлений развития средств защиты информации.
Таким образом, основной задачей на начальном этапе реагирования является определение характера нарушений и достоверное установление того, что выявленные аномальные события, действия и характеристики являются действительно нарушениями, а, например, не проявлением особенностей работы программного обеспечения.
Одним из важнейших организационных аспектов реагирования на инциденты (и, в частности, на отдельные сигналы о некоторых происшествиях) является то обстоятельство, что может происходить более или менее частое поступление ложных сигналов (ошибочных или специально спровоцированных) о некоторых происшествиях, и реакция персонала департамента информационной безопасности со временем может постепенно ослабевать (так же как, например, может притупиться внимание при частых ложных срабатываниях охранной сигнализации). В частности, по оценке некоторых специалистов, в среднем в 90% случаев, когда пользователи сообщают о том, что, по их мнению, компьютер заражен вирусом, они ошибаются. В связи с этим при организации реагирования на инциденты необходимо уделить особое внимание психологической подготовке персонала, отвечающего за реагирование, а также по возможности анализировать причины появления таких ложных сигналов и предотвращать их в дальнейшем.
Также значимым вопросом организации работы с пользователями в ситуациях реагирования на инциденты является то, что взаимодействие между пользователями и группами реагирования, а также различных групп реагирования между собой по возможности необходимо осуществлять по специальным защищенным каналам связи.
Локализация и устранение последствий является основным этапом, в рамках которого, собственно, осуществляется реагирование на инцидент. На этом этапе происходит:
• определение конкретных параметров нарушения (нападения), его характера (конкретных сегментов сети, серверов, групп рабочих станций, приложений, затронутых нападением);
• предварительный анализ действий нарушителя и сценария произошедшего (происходящего) нападения, алгоритма работы появившегося вируса и т.п.;
• блокирование действий нарушителя (если нарушение является длящимся);
• блокирование (полное или частичное) работы информационной системы (сервера, базы данных, сегмента сети и т.п.) с целью недопущения дальнейших разрушительных действий, распространения вредоносных программ или утечки конфиденциальной информации.
Прекращение нападения и восстановление нормальной работы информационных систем может потребовать скоординированных действий не только самих сотрудников департамента информационной безопасности, но и:
• специалистов ИТ-подразделений, отвечающих за атакуемые информационные сервисы;
• пользователей атакованных информационных систем;
• предприятий-партнеров, имеющих отношение к атакованным информационным ресурсам;
• разработчиков и поставщиков атакованных информационных систем;
• поставщиков телекоммуникационных услуг, через которых осуществляется атака;
• сторонних консультантов, специализирующихся на соответствующих проблемах информационной безопасности.
Одним из наиболее важных обстоятельств работы на данном этапе является то, какими полномочиями обладает специалист (дежурный), отвечающий за реагирование на инциденты. В частности, необходимо заранее предусмотреть возможность оперативного самостоятельного отключения тех или иных информационных сервисов специалистами по реагированию на инциденты (самостоятельно, либо через соответствующее ИТ-подразделение). Особую важность имеет способность ответственных специалистов оперативно оценить ситуацию, провести ее анализ (в большинстве практических ситуаций это необходимо будет делать по неполным данным о нападающей стороне) и принять решение о приостановке работы тех или иных информационных сервисов, до выявления и устранения угроз и/или введения в действие дополнительных средств противодействия вторжениям. При принятии такого решения необходимо учитывать (как правило, на основе экспертных оценок) как возможный ущерб, который может быть вызван выявленным нарушением, так и возможный ущерб от остановки информационных сервисов, которая (остановка) может быть осуществлена с целью предотвращения ущерба от действий нападающей стороны. Характерным примером такой ситуации является нападение на систему электронной торговли, когда нападающая сторона может нанести серьезный ущерб (похитить конфиденциальную информацию участников торговых сделок, самостоятельно совершить незаконные сделки от имени участников торговой системы и т.п.), а остановка сервиса с целью предотвращения такого ущерба может привести к потерям, связанным с упущенной выгодой от несовершенных сделок и ущербом для деловой репутации. Другим примером такой ситуации является реагирование на распределенные атаки типа "отказ в обслуживании" (Distributed Deny of Service, DDoS), часто осуществляемые на серверы в сети Интернет, когда может быть необходимо на некоторое время полностью отключить сервер как в ущерб пользователям, так и в ущерб владельцам информационных ресурсов, расположенных на сервере.
Основой для принятия решений может быть заранее сформированный перечень (справочник) возможных основных инцидентов и признаков нарушений (проникновений), в котором может быть приведена оценка рисков суммарных потерь и рекомендованные действия для каждого типа нарушений (в том числе и перечень ситуаций, когда необходимо осуществить отключение сервисов во избежание утечки или нарушения целостности информации, являющейся наиболее критичной для всей деятельности предприятия).
Идентификация нападающего (или источника распространения вредоносных программ) является важным шагом в процессе реагирования, следующим непосредственно за локализацией нападения. В случае если нападение осуществлялось из локальной сети предприятия, при надлежащем соблюдении внутренних режимных правил эта задача может оказаться относительно легкой. В случае если нападение было совершено извне, задача идентификации нападающих принципиально усложняется и в некоторых ситуациях проблема становится практически неразрешимой.
Как правило, для обнаружения источника нападения необходимо:
• детально изучить все технические аспекты нападения;
• провести качественный анализ процесса нападения в контексте функционирования атакуемой системы защиты информации;
• организовать взаимодействие со сторонними организациями, которые могут содействовать в идентификации нападающего.
Одной из наиболее важных задач анализа процесса нападения является установление той информации, которая была известна нападающим до начала нападения и которой они воспользовались для осуществления этого нападения. В частности, в процессе такого анализа с определенной степенью уверенности можно установить, что до начала нападения злоумышленникам были известны:
• информация о структуре и составе атакуемой информационной системы (используемые программные и аппаратные средства, их архитектура и используемые настройки);
• сведения о режиме работы организации и функционирования отдельных элементов информационной системы. Сведения о регламенте некоторых бизнес-процессов предприятия;
• конкретные идентификационные данные (имена пользователей, пароли), необходимые для проникновения в информационную систему и/или правила (алгоритмы) их генерации.
Обобщение всех этих сведений может помочь установить, какие контакты были у нападающих с атакуемой компанией (а каких не было), и, сопоставляя факты, а также пользуясь методом исключения, постараться ограничить круг лиц, которые потенциально могли быть причастны к организации данного инцидента.
В свою очередь, проведение такого анализа будет возможно только в том случае, если все информационные системы и системы защиты информации настроены надлежащим образом (в частности, в них ведутся все необходимые системные журналы) и системные данные не были повреждены в процессе нападения.
Вторым важным направлением организационной и аналитической работы при установлении (идентификации) нападающих, совершивших нападение извне, является взаимодействие с администраторами систем (телекоммуникационных сетей, компьютеров, использовавшихся в качестве прокси-серверов, и т.п.), с использованием которых было осуществлено нападение. Подходы к такому взаимодействию в каждом конкретном случае, скорее всего, будут индивидуальными и могут зависеть от политики раскрытия информации администрации той сети или узла, через который осуществлялась атака. Также могут быть предприняты действия для того, чтобы в судебном порядке или с привлечением правоохранительных органов обязать администрации таких сетей и узлов предоставить необходимую информацию, связанную с произошедшим нападением.
Процесс идентификации должен по возможности проводиться с учетом того, что впоследствии необходимо будет использовать информацию о нападающих как доказательство в уголовном процессе. В частности, при снятии (копировании) необходимых лог-файлов с атакованных компьютеров представителями правоохранительных органов, ведущими следствие по данному делу, должны быть соблюдены все процессуальные формальности, предусмотренные уголовно-процессуальным законодательством. Одной из особенностей процедуры изъятия доказательств у потерпевшей стороны в этом случае является то, что понятые, присутствующие при изъятии, должны по возможности иметь хотя бы общее представление о смысле производимой процедурыОрганизация работы следственных органов, занимающихся расследованием подобных преступлений, в данном курсе не рассматривается. . Также на этом этапе при необходимости может быть проведена технико-криминалистическая экспертиза компьютерных систем.
Одним из заключительных шагов процесса реагирования на инцидент является оценка и анализ процесса нападения и его обстоятельств. Этот анализ необходимо проводить в контексте целей и задач функционирования всего предприятия, с учетом результатов работы по идентификации лиц, совершивших нападение. Основные задачи аналитической работы на данном этапе:
• анализ целей и мотивов нападавших;
• анализ фундаментальных (организационных и технических) причин, которые сделали нападение возможным и успешным (если оно было успешным);
• анализ последствий (в том числе и долгосрочных) нападения для всей деятельности предприятия;
• анализ и оценка работы персонала и взаимоотношений с предприятиями-партнерами (в том числе и с поставщиками информационных систем и средств защиты информации).
Результатом анализа должны быть выводы, которые могут послужить основой для организационной работы в различных направлениях:
• корректировка и уточнение политики информационной безопасности предприятия;
• проведение дополнительной работы с персоналом предприятия (наказания, поощрения, дополнительное обучение и т.п.);
• проведение дополнительной работы с персоналом департамента информационной безопасности предприятия, а также персоналом ИТ-служб;
• пересмотр взаимоотношений с контрагентами предприятия (покупателями, поставщиками, партнерами по НИОКР и т.п.), имеющими доступ к его защищаемой информации или информационным системам;
• привлечение сторонних консультантов по информационной безопасности и специалистов по средствам защиты информации;
• инициирование технического переоснащения отдельных участков информационной инфраструктуры предприятия.
Таким образом, анализ и всесторонняя оценка инцидентов является отправной точкой для реализации комплекса мер по совершенствованию системы обеспечения информационной безопасности на предприятии. Все эти меры должны в будущем снизить вероятность аналогичных инцидентов, а также уменьшить вероятность нанесения существенного ущерба в случае их повторения.
Важной составляющей анализа нападения также является оценка ущерба от произошедшего нарушения информационной безопасности. Ущерб может быть оценен одновременно с нескольких точек зрения и зависит от характера возникшей внештатной ситуации. Наиболее простым для количественной экономической оценки является прямой ущерб: затраты на восстановление утраченной информации (могут быть рассчитаны на основе трудоемкости работ по восстановлению информации и данных о средней стоимости рабочего времени соответствующих специалистов), затраты на замену скомпрометированных паролей, кодов и ключей, стоимость поврежденного оборудования, штрафные санкции за разглашение конфиденциальной информации (если такие санкции, например, были предусмотрены договорами с подрядчиками, поставщиками или заказчиками) и т.п. Также в оценке нуждается упущенная выгода, которая может быть связана как с непосредственным прекращением (приостановкой, замедлением) текущих операций предприятия, так и с долгосрочным (перспективным) негативным влиянием возникшей внештатной ситуации – потерей доверия к предприятию, приводящей к оттоку заказчиков, формированием негативного имиджа предприятия и т.п. Отдельно также может быть оценено падение рыночной стоимости предприятия – его акций (если речь идет о предприятии, акции которого котируются на биржевом рынке).
Наиболее сложным для оценки является моральный ущерб и последствия от разглашения информации личного характера (например, сведений, составляющих врачебную тайну). Конкретные суммы морального ущерба, как правило, могут быть установлены по результатам судебных разбирательств с отдельными лицами, которым такой ущерб был нанесен, либо процедур досудебного урегулирования конфликтов (на основе требований пострадавших лиц).
Заключительным этапом процесса реагирования также является устранение негативных последствий нападения – локализация ущерба, причиненного произошедшим нарушением. Эта работа может включать в себя:
• смену скомпрометированных паролей отдельных пользователей;
• переустановку поврежденных операционных систем, а также поврежденного программного обеспечения;
• восстановление нарушенной конфигурации (настроек) программного обеспечения и операционных систем;
• восстановление поврежденной информации (баз данных, файлов), как из ранее созданных резервных копий, так и другими способами.
В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные) аппаратные и программные платформы.
Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая может в себя включать:
• рассылку пользователям информации о произошедших инцидентах (в виде специальных писем и бюллетеней);
• передачу некоторых сведений о нападении в средства массовой информации;
• передачу сведений о нападении крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации;
• дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку.
С точки зрения распределения обязанностей по выполнению отдельных функций в рамках процесса реагирования на инциденты, одним из эффективных и достаточно широко используемых подходов к организации реагирования на инциденты является построение централизованной системы реагирования на инциденты, когда одна группа реагирования обслуживает несколько подразделений или предприятий. В частности, такой подход реализован в Министерстве обороны США (он был описан в одной из предыдущих лекций), где несколько централизованных групп реагирования на инциденты обслуживают множество войсковых подразделений. Централизованные группы реагирования могут создаваться для обслуживания различных предприятий и организаций. Это могут быть компании, входящие в крупный холдинг, организации, входящие в одну исследовательскую сеть, университеты и исследовательские организации одной страны, клиенты поставщика определенных продуктов или услуг и т.д. Для объединения усилий различных групп реагирования был создан специальный Форум групп реагирования на инциденты и обеспечения безопасности (Forum of Incident Response and Security Teams, FIRST), на интернетсайте которого (http://www.first.org/) можно найти полный список его участников. При этом все функции по реагированию не могут быть переданы в централизованную группу реагирования – в каждом конкретном случае необходимо детально разграничить полномочия, ответственность и функции, выполняемые предприятием самостоятельно, и функции, выполняемые централизованной группой. Договоренность между централизованной группой реагирования и группой реагирования (специалистами по безопасности) самого предприятия должна предусматривать не только разграничение функций, но и описывать основные процедуры взаимодействия в процессе реагирования на инцидент.