Управление инцидентами

Обзор общепризнанных практик по управлению инцидентами

К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами информационной безопасности. Необходимо отметить, что вопрос управления инцидентами возникает не только в рамках обеспечения информационной безопасности, но и при управлении ИТ-сервисами в целом. Семейство международных стандартов ISO 20000:2005 в разделе Service Delivery and Support описывает ряд требований к организации процесса управления инцидентами в ИТ-инфраструктуре. Согласно данным стандартам под инцидентом понимается "любое событие, не являющееся элементом нормального функционирования службы и при этом оказывающее или способное оказать влияние на предоставление службы путем ее прерывания или снижения качества".

Специфические вопросы управления инцидентами информационной безопасности рассматриваются в следующих документах:

• ISO/IEC 27001:2005 Information security management system. Requirements. В рамках данного стандарта выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся в том числе и к процессам управления инцидентами.
• ISO/IEC TR 18044 Information security incident management. Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.
• CMU/SEI-2004-TR-015 Defining incident management processes for CISRT. Этот документ описывает методологию планирования, внедрения, оценки и улучшения процессов управления инцидентами. Основной упор делается на организации работы CISRT (Critical Incident Stress Response Team) — группы или подразделения, обеспечивающего сервис и поддержку предотвращения, обработки и реагирования на инциденты информационной безопасности. Вводится ряд критериев, на основании которых можно оценивать эффективность данных сервисов, приводятся подробные процессные карты.
• NIST SP 800-61 Computer security incident handling guide. Здесь представлен сборник "лучших практик" по построению процессов управления инцидентами и реагирования на них. Подробно разбираются вопросы реагирования на разные типы угроз, такие как распространение вредоносного программного обеспечения, несанкционированный доступ и другие.

В рамках данного обзора невозможно рассмотреть все имеющиеся рекомендации по управлению инцидентами, и вполне вероятно, что наиболее эффективным для конкретной организации будет использование какой-либо другой методологии, в том числе и разработанной самостоятельно. Но на наш взгляд, любая используемая методология должна быть совместима с основными современными стандартами на системы управления, такими как ISO/IEC 27001 и ISO 20000.

Построение процесса управления инцидентами

Международный стандарт ISO/IEC 27001 "Информационные технологии — Методы безопасности — Системы управления информационной безопасностью — Требования" вводит следующие определения:

• событие информационной безопасности: идентифицированный случай состояния системы или сети, указывающий на возможное нарушение политики информационной безопасности или отказ средств защиты, либо ранее неизвестная ситуация, которая может быть существенной для безопасности;
• инцидент информационной безопасности: единичное событие или ряд нежелательных и непредвиденных событий информационной безопасности, из-за которых велика вероятность компрометации бизнес-информации и угрозы информационной безопасности

Для обработки событий и инцидентов информационной безопасности необходимо организовать процесс реагирования на инциденты. Основными задачами процесса реагирования на инциденты ИБ являются:

• координация реагирования на инцидент;
• подтверждение / опровержение факта возникновения инцидента ИБ;
• обеспечение сохранности и целостности доказательств возникновения инцидента, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;
• минимизация нарушений порядка работы и повреждения данных ИТ-системы, восстановление в кратчайшие сроки работоспособности компании при ее нарушении в результате инцидента;
• минимизация последствий нарушения конфиденциальности, целостности и доступности информации ИТ-систем;
• защита прав компании, установленных законом; создание условий для возбуждения гражданского или уголовного дела против злоумышленников;
• защита репутации компании и ее ресурсов;
• быстрое обнаружение и/или предупреждение подобных инцидентов в будущем;
• обучение персонала компании действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.

В рамках международного стандарта ISO/IEC 27001:2005 выдвигаются следующие требования к процессу реагирования на инциденты:

Раздел 4.2.3 Мониторинг и анализ СУИБ.

Организация должна выполнить следующее:

• своевременно идентифицировать неудавшиеся и успешные нарушения безопасности и инциденты безопасности;
• помочь в выявлении событий безопасности и, таким образом, предотвратить инциденты безопасности путем использования индикаторов.

Приложение А. Цели управления и средства управления.

А.13 Управление инцидентами информационной безопасности:

• A.13.1.1 Сообщение о событиях информационной безопасности. Эти сообщения должны отправляться по надлежащим управленческим каналам как можно быстрее.
• A.13.1.2 Сообщение о слабостях защиты. Необходимо обязать всех сотрудников, подрядчиков и пользователей из сторонних организаций, использующих информационные системы и сервисы, отмечать и сообщать обо всех наблюдаемых или предполагаемых слабостях защиты систем или сервисов.
• A.13.2.1 Ответственность и процедуры. Должна быть установлена ответственность руководства и определены процедуры для обеспечения быстрого, эффективного и правильного реагирования на инциденты информационной безопасности.
• A.13.2.2 Обучение на инцидентах информационной безопасности. Должны быть реализованы механизмы, позволяющие измерять и отслеживать типы, объемы и стоимость инцидентов информационной безопасности.
• A.13.2.3 Сбор доказательств. Если действия, которые в результате инцидента информационной безопасности предполагается предпринять относительно лица или организации, включают в себя, кроме других, и правовые (как по гражданскому, так и по уголовному кодексу), то необходимо собрать, сохранить и представить доказательства, чтобы выполнить правила доказательства, установленные в соответствующем правоохранительном органе (органах).

Документ ISO/IEC TR 18044 Information security incident management определяет формальную модель процесса реагирования на инциденты. Целями следования этой модели является уверенность в том, что:

• события и инциденты информационной безопасности выявляются и обрабатываются эффективным образом, в особенности в части классификации событий;
• выявленные инциденты информационной безопасности в организации учитываются и обрабатываются наиболее подходящим и эффективным образом;
• последствия инцидентов информационной безопасности могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов восстановления после сбоев и аварий (DRP/BCP);
• за счет анализа инцидентов и событий ИБ повышается вероятность предотвращения будущих инцидентов, улучшаются механизмы и процессы обеспечения информационной безопасности.

Процесс реагирования на инциденты состоит из следующих этапов:

• Планирование и подготовка. На данном этапе осуществляется разработка схемы реагирования на инциденты, разработка и утверждение ряда организационно-регламентирующих документов, выделение людских и материальных ресурсов, проведение необходимого обучения и апробация выбранной схемы реагирования на инциденты.
• Эксплуатация. Осуществляется обнаружение инцидента ИБ, его идентификация, предварительный анализ и начальное реагирование.
• Анализ. Проводится углубленный анализ инцидента, на его основе делаются выводы и составляются рекомендации по улучшению процесса обеспечения информационной безопасности и реагирования на инциденты. Формируется отчет об инциденте.
• Улучшение. На данном этапе реализуются рекомендации, выработанные на этапе анализа.

Рассмотрим каждый из названных этапов подробнее.

Планирование и подготовка

Данный этап является подготовительным и предназначен для организации и регламентирования деятельности по реагированию на инциденты. На этом этапе необходимо:

• выделить людские и материальные ресурсы;
• разработать схему реагирования на инциденты;
• разработать и утвердить ряд организационно-регламентирующих документов;
• провести необходимое обучение персонала и апробацию выбранной схемы реагирования на инциденты.

В соответствии с ISO/IEC TR 18044 необходимо создать группу по расследованию инцидентов ИБ. Основные цели:

• обеспечение компании квалифицированным персоналом для учета, реагирования и анализа инцидентов;
• обеспечение необходимой координации и управления процессом реагирования на инциденты;
• обеспечение должного уровня информирования руководства и заинтересованных лиц;
• обеспечение максимального снижения последствий инцидентов как в материальной сфере, так и для поддержания репутации организации.

В состав группы рекомендуется включить представителей следующих подразделений организации:

• служба информационной безопасности: обеспечение координационной, административной, экспертной и технологической деятельности;
• служба информационных технологий: обеспечение экспертной и технологической деятельности;
• служба персонала: обеспечение административной и процедурной деятельности;
• юридическая служба: обеспечение экспертной и нормативно-правой деятельности;
• бизнес-менеджеры профильных подразделений: привлекаются на временной основе для поддержки обеспечения административной, экспертной и технологической деятельности;
• внешние эксперты: обеспечение консультативной, экспертной и технологической деятельности.

Основными процессами подготовительного этапа могут быть:

• выделение людских и материальных ресурсов;
• разработка и утверждение организационно-распорядительной документации;
• обучение персонала;
• тестирование схемы реагирования на инциденты.

Эксплуатация

На данном этапе осуществляются обнаружение инцидента ИБ, его идентификация, предварительный анализ и реагирование на инцидент.

Основные процессы этапа:

• обнаружение и идентификация инцидента;
• предварительный анализ инцидента;
• начальное реагирование на инцидент;
• реагирование на инцидент.

Анализ

Группа по реагированию на инциденты проводит углубленный анализ инцидента, на основе результатов анализа делаются выводы и составляются рекомендации по улучшению процесса обеспечения ИБ и реагирования на инциденты. Формируется отчет об инциденте.

Основным процессом этапа является углубленный анализ инцидента.

Улучшение

На данном этапе осуществляется реализация рекомендаций по улучшению процессов обеспечения ИБ и реагирования на инцидент. Утвержденные уполномоченным лицом компании рекомендации передаются на исполнение ответственным лицам.

Обобщенная схема процессов управления инцидентами приведена на Рис. 1