Управление инцидентами и правовые последствия

Организационное и правовое обеспечение информационной безопасности Управление инцидентами и правовые последствия Непрерывность бизнеса Непрерывность бизнеса - это такое состояние бизнеса, когда операции в бизнес-среде производятся тогда и таким образом, каким считает необходимым собственник бизнеса (владелец, стейкхолдер). Непрерывность бизнеса-основная цель для построения и финансирования инфраструктуры информационной безопасности в компании. Характеризует степень готовности компании продолжить выполнение важнейших процессов в случае возникновения экстренной ситуации или нарушения работы. К таким ситуациям относятся нарушения безопасности, стихийные бедствия, отключение электроснабжения, сбои оборудования, внезапное увольнение ключевого сотрудника и т. д. Что такое инцидент в ИБ? Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ как состоянию защищенности информации. Информационная безопасность является состоянием информации и состояние это имеет бинарное разделение: защищенность информации либо есть, либо ее нет. В этом контексте, негативные события (инциденты) меняют одно из свойств информации с точки зрения ИБ (целостность, неизменность, доступность, конфиденциальность). Иными словами, если событие изменило одно из этих свойств информации-оно является инцидентом. Цели обработки инцидентов Цель инфраструктуры обеспечения информационной безопасности-осуществлять такие методики менеджмента информационных систем и ресурсов, чтобы события были: ● ● ● ● Быстро идентифицированы и обнаружены. Урегулированы или расследованы таким образом, чтобы минимизировать ущерб данным. Минимизированы последствия 9в идеале-ликвидированы полностью). Извлечена полезная информация из инцидентов с целью предотвращения событий в дальнейшем. Стадии жизненного цикла инцидента ● ● ● ● ● ● ● ● Обнаружение инцидента. Для этого на предприятии создаются системы мониторинга и отслеживания состояния важных информационных активов, ведется их учет и контроль предоставления доступа. Сбор информации об инциденте. На этом этапе выясняется масштаб последствий, затронутые активы, ресурсы и сотрудники. Все сведения об инциденте вводятся в его карточку, созданную в какой-либо информационной системе. Реагирование на инцидент. В зависимости от принятой в компании политики и сути инцидента, реагирование должно осуществляться: Немедленно. Обычно это происходит в связи с затрагиванием экстремально важных активов или серьезного воздействия на бизнес. Всеобъемлюще. Все задействованные сотрудники должны быть оповещены. Антикризисно. Первым делом должны быть минимизированы последствия для непрерывности бизнеса. Информированно. Все действия должны быть учтены и описаны. Использование результатов реагирования. Должны быть сформулированы предложения о недопущении инцидентов в будущем. Как обнаруживать инциденты? 1. 2. 3. Инцидент может заметить сотрудник компании: пользователь, администратор, стейкхолдер. Инцидент может выявить специализированная техническая система: мониторинг, брандмауэр, система контроля. Инцидент может сообщить участник программы Bug Bounty. Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр. Как реагировать на инциденты? ● ● ● ● Немедленно. Обычно это происходит в связи с затрагиванием экстремально важных активов или серьезного воздействия на бизнес. Всеобъемлюще. Все задействованные сотрудники должны быть оповещены. Антикризисно. Первым делом должны быть минимизированы последствия для непрерывности бизнеса. Информированно. Все действия должны быть учтены и описаны. Извлечение уроков При реагировании на инциденты проще ошибиться, чем сделать все правильно. Поэтому так важно иметь выстроенные процессы и процедуры, которым и надо следовать. Злоумышленники не получают Оскара или Нобелевскую премию за изобретение нового и сложного метода атаки - они будут использовать то, что проще. Особенно если вы им позволите это. Из классических шести этапов расследования инцидентов, про последний, извлечение уроков, обычно забывают чаще всего и поэтому компании часто наступают на одни и те же грабли. Извлечение уроков должно помочь сформулировать методы недопущения подобных инцидентов в будущем. Типы инцидентов ● ● ● ● ● ● ● ● Утрата услуг, оборудования или устройств, приводящая к утрате данных; Системные сбои инженерных систем или перегрузки, приводящие к недоступности информации; Ошибки пользователей, как умышленные так и неумышленные; Несоблюдение политики или рекомендаций по ИБ как сотрудниками так и посторонними; Нарушение физических (незапертые двери) или логических (простые и общеизвестные пароли) мер защиты; Неконтролируемые изменения систем, проводимые неуполномоченным персоналом; Сбои программного обеспечения и отказы технических средств; Нарушение правил доступа злоумышленниками или собственным персоналом. ГОСТ Р ИСО\МЭК 27001:2006 Стандартизация и лучшие практики Согласно ITIL \ ITSM (библиотека ИТ-инфраструктуры), «процесс управления инцидентами гарантирует скорейшее восстановление услуги и минимизирует негативное влияние на рабочие процессы». Преимущества использования стандартных структурированных процессов: ● ● ● ● ускорение разрешения инцидентов; сокращение убытков и потерь прибыли, возникающих в организации в связи с инцидентами; улучшенное информирование во время инцидентов (как внутри компании, так и вне ее); непрерывное обучение и совершенствование. Правовые последствия инцидентов Инциденты ИБ в правовых актах Необходимо показать, что: ● ● ● Документация является полной и не подвергалась подделке; Копии электронного свидетельства доказуемо идентичны оригиналу; Все системы ИТ, от которых собирались свидетельства, во время регистрации работали в штатном режиме. Основные правовые акты: КоАП РФ, УК РФ, ТК РФ. Для источника инцидента, если это человек или его действия, действует презумпция невиновности. Ответственность за допущение инцидентов Ответственность возможна только в случае доказанного и рассчитанного в денежном выражении ущерба. Основная ответственность ложится на того, кто допустил нарушение политик, норм и требований ИБ. Администратор безопасности также может быть привлечен к ответственности. Если умысел невозможно доказать - то конечный пользователь может нести ответственность только по ТК РФ. Хакерская деятельность Незаконна. Хакерская атака – это комплекс действий, направленных на поиск уязвимостей в цифровых системах, например на компьютерах, смартфонах, планшетных устройствах или даже целых компьютерных сетях. Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …». Начиная с конца XX века в массовой культуре появилось новое значение — «компьютерный взломщик», программист, намеренно обходящий системы компьютерной безопасности. Ответственность за хакерские действия Административная ответственность может возникнуть в случае нарушения Статьи 13 Кодекса РФ об административных правонарушениях РФ (Административные правонарушения в области связи и информации). Данная статья предполагает ответственность за разглашение информации с ограниченным доступом, а также нарушение установленного порядка хранения, использования или распространения информации персональных данных. В зависимости от тяжести правонарушения размер штрафа может составить от трехсот до двадцати тысяч рублей. Статьи УК: 272, 273, 274. Ответственность от штрафов до тюремного заключения. Руководители хакерских группировок также могут быть привлечены к ответственности по статье 210.1 УК РФ “Занятие высшего положения в преступной иерархии”. Хакеры в лицах: Кевин Митник В 12 лет Кевин от одноклассника узнал множество способов мошенничества с телефоном, в частности, о том, что, действуя от имени другого человека, можно выпытать нужную информацию. Кевин научился перенаправлять сигнал домашнего телефона на таксофон, веселясь от того, что владельцев домашних телефонов перед разговором просили опустить 10 центов. Впервые Кевин Митник совершил серьёзный поступок, нарушающий закон (получил несанкционированный доступ к компьютерной сети компании Digital Equipment Corporation), в 1979 году, когда ему было шестнадцать лет. В 1994 году Митник взломал домашний компьютер Цутому Симомуры, ведущего американского специалиста по компьютерной безопасности. Митник взломал компьютер Университета Лойолы в Чикаго, откуда можно было получить доступ к компьютеру Симомуры. Кевин успешно скопировал сотни засекреченных файлов. Многократно приговаривался к тюремным срокам (около 10 лет тюрьмы суммарно). В наши дни - консультант по ИБ и автор книг по защите информации. Хакеры в лицах: Lazarus group Предположительно, базируется в Северной Корее и спонсируется местным правительством. Крупнейшее киберограбление произошло в 2016 году. Хакеры сделали тридцать пять фальшивых запросов через сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Центральному банку Бангладеш. По пяти из тридцати пяти запросов был успешно переведен 101 миллион долларов США, из которых 20 миллионов долларов были отправлены в Шри-Ланку и 81 миллион долларов США — на Филиппины. Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильным написанием инструкции. Хакеры в лицах: Fancy Bear Предположительно, может быть связана с вооруженными силами РФ. Группу относят к угрозам типа «Advanced Persistent Threat 28», члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash. Взломаны ряд правительственных учреждений разных стран, похищено большое количество секретных данных, используемых позднее в политических целях. Ряд участников группировки деанонимизированы Интерполом, выданы ордеры на арест. Хакеры в лицах: Silence Группа русскоязычных хакеров. В основном атакует финансовые организации с помощью фишинговых писем с вредоносными файлами. Сотни тысяч фишинговых атак по всему миру. Суммарный ущерб оценивается в 13 млн евро с 2016 по 2020 год. Мошенники пользуются как известными почтовыми сервисами (att.net, mail.com), так и регистрируют новые домены, повторяющие с небольшими изменениями банковские адреса. Иногда инструментом в руках преступников становятся и взломанные серверы. Деятельность по защите от хакеров Эти́ чный ха́ кер или бе́ лый ха́ кер, а также на сетевом сленге бе́ лая шля́па (от англ. White hat) — специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем. В отличие от чёрных шляп (чёрных хакеров), белые хакеры ищут уязвимости на добровольной основе или за плату с целью помочь разработчикам сделать их продукт более защищённым. В отличие от чёрных хакеров, чьи действия попадают под статьи 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных программ для ЭВМ), 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) УК РФ, действия белых хакеров не наказываются. Bug bounty Программа финансирования свободного поиска уязвимостей в инфраструктуре ИБ. Существует как активность на хабах Bug Bounty: Bugcrowd, HackerOne, Vulnerability Lab, BountyFactory и Synack (зарубежные), bugbounty.ru (Россия), bugbounty.kz (Казахстан), bugbounty.by (Беларусь). Поддерживается крупными компаниями: Google, Meta, Microsoft и другими. Существуют компании, ориентированные на поиск уязвимостей и получение вознаграждений: подразделения SolarWinds, Positive Technologies, InfoWatch. Спасибо за внимание Вопросы?