Реагирование на инциденты информационной безопасности Александр Макаревич ОАО «БПС-Банк»
Инцидент ИБ одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес операции или представляющих угрозу для ИБ * * ИСО/МЭК ТО ИТ. Методы и средства обеспечения безопасности… Но сначала нам надо с тобой договориться, как именно мы определим, о чем мы советуемся, дабы не выходило, что я разумею одно, ты же другое… Платон. Диалоги
Проявление нарушений Событие (ИБ) Инцидент (ИБ) Правонарушение
Определение нарушений событие/инцидент правонарушение или = юридическая оценка техническая терминология юридическая терминология
Схема реагирования на инциденты :) А-А-А-А-А-А-А-А!!!!
комплексмер правовых организационных технических * Закон РБ Об информации… Как защищаем*
«В настоящем стандарте НЕ рассматриваются: г) критерии оценки административных и правовых аспектов безопасности»* «В настоящем стандарте НЕ рассматриваются: г) критерии оценки административных и правовых аспектов безопасности»* * СТБ Критерии оценки безопасности ИТ… Как защищаем* «Общие критерии» (Common Criteria) ч. 1 Область применения:
Безопасность связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами* Если вы думаете, что технология может решить проблемы безопасности, то вы не понимаете ни проблем безопасности, ни технологии* Как защищаем * Bruce Schneier
источник угроз потенциал источника* человек компетенция ресурсы мотивация умысел неосторожность *СТБ Критерии оценки безопасности ИТ Анализ
технические меры мотивация ответственность мотивация неотвратимость ответственности нормативная фиксация адекватных правил, процедур регламентация ответственности за их нарушение реальная реализация мер ответственности нормативная фиксация адекватных правил, процедур регламентация ответственности за их нарушение реальная реализация мер ответственности Анализ
Что делать если правила не будут выполняться? Кто и как будет устанавливать нарушителя? Что делать с нарушителем? Кто будет что-нибудь делать с нарушителем? Если с нарушителем ничего не делать, будет ли он в дальнейшем нарушать правила? Будут ли нарушать правила другие, если к нарушителю не будут применяться адекватные меры? Что делать если правила не будут выполняться? Кто и как будет устанавливать нарушителя? Что делать с нарушителем? Кто будет что-нибудь делать с нарушителем? Если с нарушителем ничего не делать, будет ли он в дальнейшем нарушать правила? Будут ли нарушать правила другие, если к нарушителю не будут применяться адекватные меры? Вопросы
Первые инициативы: В США – в конце 80-х В Европе – в начале 90-х годов По сведениям Европейского Агентства по Сетевой и Информационной Безопасности (ENISA) таких групп в Европе в настоящее время – более сотни. Первые инициативы: В США – в конце 80-х В Европе – в начале 90-х годов По сведениям Европейского Агентства по Сетевой и Информационной Безопасности (ENISA) таких групп в Европе в настоящее время – более сотни. Ответ – ГРИИБ Группы реагирования на инциденты ИБ (Computer Security and Incident Response Team)
ПредотвращатьОбнаруживатьРеагироватьОтпугивать Функции ГРИИБ
Анализ инцидента Принятие решения о привлечении к ответственности Выработка мер по предотвращению Реагирование на инцидент ИБ Предотвращение или минимизация ущерба Расследование инцидента Обнаружение события ИБ Сбор сведений о событии Оценка события – является ли инцидентом ИБ ДОКУМЕНТИРОВАНИЕДОКУМЕНТИРОВАНИЕ Работа ГРИИБ
Процедуры* * ИСО/МЭК ТО ИТ. Методы и средства обеспечения безопасности… четкие процедуры расследования инцидентов могут обеспечить уверенность в том, что сбор данных и их обработка очевидно правильны и допустимы юридически это имеет большое значение в случае возникновения судебного преследования или дисциплинарного взыскания
Привлечение к ответственности дисциплинарная руководитель гражданская административная уголовная суд правоохр. органы Доведение до работников фактов привлечения к ответственности
безопасность удобство стоимость Принцип выбора мер защиты – компромисс
Вопросы? Александр Макаревич