8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
10) несанкционированное копирование носителей информации;
11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);
12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;
14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т. д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");
15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т. п.;
16) вскрытие шифров криптозащиты информации;
17) внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
3. Кризисные ситуации
Ситуация, возникающая в результате нежелательного воздействия на ИС, не предотвращенного средствами защиты, называется кризисной.
Кризисная ситуация может возникнуть в результате злого умысла или случайно (в результате непреднамеренных действий, аварий, стихийных бедствий и т. п.).
По степени серьезности и размерам наносимого ущерба кризисные ситуации разделяются на следующие категории:
Угрожающая - приводящая к полному выходу ИС из строя и ее неспособности выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации;
Серьезная - приводящая к выходу из строя отдельных компонентов системы (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа.
Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но тем не менее требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы) к критическим не относятся.
К угрожающим кризисным ситуациям, например, могут быть отнесены:
1) нарушение подачи электроэнергии в здание;
2) выход из строя сервера (с потерей информации);
3) выход из строя сервера (без потери информации);
4) частичная потеря информации на сервере без потери его работоспособности;
5) выход из строя локальной сети (физической среды передачи данных).
К серьезным кризисным ситуациям, например, могут быть отнесены:
1. выход из строя рабочей станции (с потерей информации);
2. выход из строя рабочей станции (без потери информации);
3. частичная потеря информации на рабочей станции без потери ее работоспособности;
К ситуациям, требующим внимания, например, могут быть отнесены:
• несанкционированные действия, заблокированные средствами защиты и зафиксированные средствами регистрации.
Источники информации о возникновении кризисной ситуации:
• пользователи, обнаружившие несоответствия Плану защиты или другие подозрительные изменения в работе или конфигурации системы или средств ее защиты в своей зоне ответственности;
• средства защиты, обнаружившие предусмотренную планом защиты кризисную ситуацию;
• системные журналы, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения кризисной ситуации.
4. Меры обеспечения непрерывной работы и восстановления работоспособности ИС
Непрерывность процесса функционирования ИС и своевременность восстановления ее работоспособности достигается:
1. проведением специальных организационных мероприятий и разработкой организационно-распорядительных документов по вопросам обеспечения НРВ вычислительного процесса;
2. строгой регламентацией процесса обработки информации с применением ЭВМ и действий персонала системы, в том числе в кризисных ситуациях;
3. назначением и подготовкой должностных лиц, отвечающих за организацию и осуществление практических мероприятий по обеспечению НРВ информации и вычислительного процесса;
4. четким знанием и строгим соблюдением всеми должностными лицами, использующими средства вычислительной техники ИС, требований руководящих документов по обеспечению НРВ;
5. применением различных способов резервирования аппаратных ресурсов, эталонного копирования программных и страхового копирования информационных ресурсов системы;
6. эффективным контролем за соблюдением требований по обеспечению НРВ должностными лицами и ответственными;
7. постоянным поддержанием необходимого уровня защищенности компонентов системы, непрерывным управлением и административной поддержкой корректного применения средств защиты;
8. проведением постоянного анализа эффективности принятых мер и применяемых способов и средств обеспечения НРВ, разработкой и реализацией предложений по их совершенствованию.
5. Общие требования
Все пользователи, работа которых может быть нарушена в результате возникновения угрожающей или серьезной кризисной ситуации, должны немедленно оповещаться. Дальнейшие действия по устранению причин нарушения работоспособности ИС, возобновлению обработки и восстановлению поврежденных (утраченных) ресурсов определяются функциональными обязанностями персонала и пользователей системы.
Каждая кризисная ситуация должна анализироваться администрацией безопасности и по результатам этого анализа должны вырабатываться предложения по изменению полномочий пользователей, атрибутов доступа к ресурсам, созданию дополнительных резервов, изменению конфигурации системы или параметров настройки средств защиты и т. п.
Серьезная и угрожающая кризисная ситуация могут требовать оперативной замены и ремонта вышедшего из строя оборудования, а также восстановления поврежденных программ и наборов данных из резервных копий.
Оперативное восстановление программ (используя эталонные копии) и данных (используя страховые копии) в случае их уничтожения или порчи в серьезной или угрожающей кризисной ситуации обеспечивается резервным (страховым) копированием и внешним (по отношению к основным компонентам системы) хранением копий.
Резервному копированию подлежат все программы и данные, обеспечивающие работоспособность системы и выполнение ею своих задач (системное и прикладное программное обеспечение, базы данных и другие наборы данных), а также архивы, журналы транзакций, системные журналы и т. д.
Все программные средства, используемые в системе должны иметь эталонные (дистрибутивные) копии. Их местонахождение и сведения об ответственных за их создание, хранение и использование должны быть указаны в формулярах на каждую ЭВМ (рабочую станцию, сервер). Там же должны быть указаны перечни наборов данных, подлежащих страховому копированию, периодичность копирования, место хранения и ответственные за создание, хранение и использование страховых копий данных.
Необходимые действия персонала по созданию, хранению и использованию резервных копий программ и данных должны быть отражены в функциональных обязанностях соответствующих категорий персонала.
Каждый носитель, содержащий резервную копию, должен иметь метку, содержащую данные о классе, ценности, назначении хранимой информации, ответственном за создание, хранение и использование, дату последнего копирования, место хранения и др.
Дублирующие аппаратные ресурсы предназначены для обеспечения работоспособности системы в случае выхода из строя всех или отдельных аппаратных компонентов в результате угрожающей кризисной ситуации.
Количество и характеристики дублирующих ресурсов должны обеспечивать выполнение основных задач системой в любой из предусмотренной планом ОНРВ кризисной ситуации.
Ликвидация последствий угрожающей или серьезной кризисной ситуации подразумевает, возможно, более полное восстановление программных, аппаратных, информационных и других поврежденных компонентов системы.
В случае возникновения любой кризисной ситуации должно производиться расследование причин ее возникновения, оценка причиненного ущерба, определение виновных и принятие соответствующих мер.
Расследование кризисной ситуации производится группой, назначаемой руководством учреждения. Возглавляет группу администратор безопасности. Выводы группы докладываются непосредственно руководству организации.
Если причиной угрожающей или серьезной кризисной ситуации явились недостаточно жесткие меры защиты и контроля, а ущерб превысил установленный уровень, то такая ситуация является основанием для полного пересмотра Плана защиты и Плана обеспечения непрерывной работы и восстановления.
6. Управление инцидентами информационной безопасности
Под инцидентом информационной безопасности (далее - инцидент) понимается любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое действие, которое совершается в информационной системе.
В целях обеспечения гарантированного уведомления службы ИБ и всех заинтересованных сторон об инциденте и слабости ИБ по отношению к информационным системам, должны быть реализованы формальные процедуры по уведомлению об инциденте и появлении угроз. Для трансляции уведомлений должен быть избран способ, гарантированно позволяющий своевременно принять корректирующие меры.
Персонал организации, в том числе и пользователи третьей стороны, должны знать процедуры уведомления, а также располагать сведениями о различных типах событий или слабых местах, которые могут влиять на безопасность ресурсов организации и о наступлении которых или предпосылках к таковому необходимо отправить уведомление.
Персонал обязан как можно быстрее сообщать о любых событиях в сфере информационной безопасности в соответствующее подразделение или непосредственно в службу ИБ.
7. Общий сценарий действий по факту уведомления об инциденте
Реагирование на инцидент
После регистрации уведомления служба ИБ должна инициировать процесс реагирования на инцидент в виде последовательного выполнения ряда действий для достижения следующих целей:
1. Предупредить нескоординированные действия и в кратчайшие сроки восстановить работоспособность системы при возникновении инцидента.
2. В случае выявления фактов несанкционированного доступа к информации и к аппаратно-программным средствам ЕСЭДО, деструктивного воздействия на ресурсы и компоненты ЕСЭДО или инцидентов создающих угрозу информационной безопасности, работники службы информационной безопасности в обязательном порядке должны информировать соответствующее подразделение органов национальной безопасности Республики Казахстан.
3. Подтвердить или опровергнуть факт инцидента ИБ.
4. Представить детализированный отчет о произошедшем инциденте и полезные рекомендации.
5. Создать условия для накопления и хранения точной информации о компьютерных инцидентах.
6. Обеспечить быстрое обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа "прошедших уроков", изменения политики ИБ, модернизации системы ИБ и др.).
7. Обеспечить сохранность и целостность доказательств произошедшего инцидента.
8. Применить предусмотренные ПИБ (уставом, иным документом) дисциплинарные меры к нарушителям, адекватные событию. Создать условия для возможного возбуждения гражданского или уголовного дела против выявленного нарушителя, если есть предпосылки отнесения его к разряду злоумышленника.
9. Защитить частные права, установленные законом.
10. Минимизировать нарушение порядка работы и повреждения данных ИТ-системы.
11. Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ-системы.
12. Защитить репутацию организации и ее ресурсы.
13. Провести дополнительное обучение персонала в процессе реагирования на инцидент, а также по его результатам.
Состав участников процесса реагирования на инцидент
Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений организации: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др.
Должна быть создана комиссия по расследованию инцидента ИБ. Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.
Основные этапы процесса реагирования на инцидент
Инцидент компьютерной безопасности часто оказывается проявлением комплексной и многосторонней проблемы. Правильный подход к решению этой проблемы - в первую очередь ее декомпозиция на структурные компоненты и изучение входных и выходных данных каждого компонента.
Основные этапы процесса реагирования на инцидент следующие.
1. Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании).
2. Формирование комиссии по расследованию инцидентов. Этот этап является одним из самых важных, от него зависит успех в проведении расследования потенциального инцидента.
3. Обнаружение инцидента - идентификация инцидента ИБ.
4. Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте.
5. Пресечение незаконных действий.
6. Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Подтверждается руководством. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента.
7. Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.
8. Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.
9. Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".
Расследование инцидента
Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера. Оно может быть разделено на два этапа:
1. сбор данных;
2. криминалистический анализ собранных данных.
Информация, собранная в ходе выполнения первого этапа расследования, служит в дальнейшем для выработки стратегии реагирования на инцидент.
На этапе анализа, собственно, и определяется, кто, что, как, когда, где и почему были вовлечены в инцидент.
Анализ собранных данных включает анализ системных журналов, файлов протоколов работы, конфигурационных файлов, истории приложений для доступа в интернет (включая cookies), сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и прочего.
Необходимо провести анализ ПО, поиск по ключевым словам, проверить дату и время инцидента. Криминалистический анализ может также включать анализ на "низком" уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
8. Процедуры управления инцидентами информационной безопасности
Уведомление о событии информационной безопасности
Сведения о событиях информационной безопасности должны передаваться через соответствующие каналы управления настолько быстро, насколько это возможно.
Должна быть реализована формальная процедура уведомления о событиях информационной безопасности, используемая вместе с процедурой реагирования на инцидент и мобилизации системы безопасности, в которой описаны действия, предпринимаемые после получения сообщения о событии информационной безопасности.
Для сообщения о событиях информационной безопасности должно быть определено подразделение, с которым необходимо связаться в такой ситуации. В рамках этого подразделения должен быть организован постоянно доступный пункт приема и обработки уведомлений, в особых случаях - постоянно действующий пост ИБ. Дежурный персонал пункта (поста) должен иметь достаточный уровень знаний по вопросам ИБ с учетом всех особенностей организации, обеспечить адекватный и своевременный ответ.
Должно быть приняты меры по доведению до всего персонала сведений о механизме передачи уведомлений (номер телефона, другие способы). Для физической передачи уведомлений не следует полагаться только на возможности общей сети IT-структуры, поскольку она в этот момент может быть выведена из строя. При использовании телефонной связи для номера пункта рекомендуется использовать сокращенный набор, а также многоканальную линию. Настоятельно рекомендуется внести номер пункта (поста) ИБ в список телефонов аварийных служб организации.
В должностные инструкции или иные документы равной силы всех категорий служащих организации, контрагентов и пользователей третьей стороны в качестве одной из обязанностей должна быть указана обязанность как можно быстрее сообщать о любых событиях информационной безопасности по указанному телефону (месту) и процедура ее выполнения.
Процедуры уведомления должны включать:
1. соответствующие цепи обратной информационной связи, гарантирующие, что источник уведомления будет в обязательном порядке ознакомлен с результатами реагирования на инцидент или решения проблемы;
2. формы представления уведомления (например, в виде документа типа «донесение» с шаблоном типового текста) о событиях информационной безопасности, а также инструкции в виде памятки минимально необходимого объема (один лист текста с легко читаемым шрифтом), перечисляющей действия по передаче уведомления в их логической последовательности (5-9 пунктов);
3. порядок личного поведения и действий персонала в случае наступления события информационной безопасности в виде инструкции, например, с таким текстом:
4. зафиксировать все возможные детали внешнего проявления события (например, изменение интерфейса, проблемы отображения, странные режимы работы, неизвестные сообщения, самопроизвольные попытки установления внешнего соединения…);
5. изолировать компьютер от общей сети, отсоединить провод от сетевой карты или коммуникационной розетки
6. сформировать и отправить уведомление в пункт (на пост) ИБ
7. не предпринимать никаких действий по своей инициативе и ожидать прибытия сотрудника ИБ или сообщения из пункта (поста) ИБ;
8. в случае возникновения угрозы личной безопасности действовать по обстановке
Действия в условиях высоких рисков с возможным нахождением персонала под принуждением должны быть указаны в специальной инструкции, составленной с участием представителей службы общей безопасности или внешних компетентных органов.
9. Изучение инцидентов информационной безопасности
При изучении инцидентов должны проводиться количественная оценка и мониторинг типов, объемов и стоимостей нанесенных ущербов.
Информация, полученная при оценке инцидентов информационной безопасности, должна использоваться для определения возможности их повторения или возникновения инцидентов с более тяжкими последствиями.
Результативность и эффективность изучения инцидентов ИБ и разработки мер по их профилактике, обнаружению, ликвидации и недопущению в последующем существенно возрастает при использовании базы данных, формируемой по результатам проведенных расследований.
В состав такой базы должны входить основные составляющие инцидента: кто, что, когда, где, как и почему.
Сбор доказательств
Все доказательства, собираемые в процессе расследования инцидентов в ЕСЭДО, независимо от того, будут ли они использованы при дисциплинарных мерах, или в процессе судебного разбирательства, должны быть собраны и сохранены в соответствие с общими правилами, обеспечивающими:
1. допустимость доказательства: действительно ли доказательство может быть использовано в суде;
2. весомость доказательства: качество и полнота доказательства.
Определения «допустимость доказательства» и «весомость доказательства» раскрываются компетентными структурами организации.
Любая работа в интересах судебного разбирательства должна выполняться только с копиями материалов доказательств.
Должна быть защищена целостность всего материала доказательств.
Копирование материалов доказательств должно контролироваться заслуживающим доверие персоналом, должен быть создан отчет со следующей информацией: где и когда был выполнен процесс копирования, кто выполнил операции копирования, какие инструментальные средства и программы использовались, данные о носителе (поставщик/изготовитель, тип, заводской номер носителя).
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
