Система управления инцидентами информационной безопасности

ОСНОВНОЙ целью обеспечения информационной безопасности (ИБ) организации является снижение рисков, действующих в отношении информационных ресурсов, и в конечном счете предотвращение или минимизация ущерба от возможных инцидентов ИБ.

 

Для достижения этой цели в большинстве крупных и средних компаний созданы подразделения информационной безопасности, которые планируют и реализуют комплекс мероприятий по защите своих информационных ресурсов. Хорошей практикой организации деятельности по защите информации является следование модели PDCA. Эта модель объединяет 4 взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие.

Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании. Однако в данной статье мы ограничимся рассмотрением механизмов управления компьютерными инцидентами, которые включаются в процесс мониторинга.

Управление компьютерными инцидентами - процесс или набор процессов, на вход которых подаются данные, полученные в результате сбора и протоколирования данных о событиях, затрагивающих информационные системы, а на выходе этих процессов получают информацию о причинах произошедшего инцидента, об ущербе, нанесенном компании, и мерах, которые необходимо принять для того, чтобы инцидент не повторился. Таким образом, управление компьютерными инцидентами направлено на совершенствование подсистемы обеспечения безопасности компании. Кроме того, получаемые на выходе данные являются, по сути, единственным объективным свидетельством в определении вероятности реализации угроз при анализе рисков.

В большинстве организаций процесс управления компьютерными инцидентами построен следующим образом:

§ получение информации о компьютерном инциденте;

§ получение дополнительной информации, связанной с выявленным нарушением;

§ анализ ситуации, локализация нарушения и оперативное применение контрмер;

§ установление причин, по которым стало возможным случившееся нарушение и, может быть, определение ответственных лиц (расследование);

§ проведение профилактических мероприятий, разработка и внедрение мер по недопущению повторного нарушения.

Используемые для выявления инцидентов процедуры сбора информации могут обеспечиваться как техническими, так и организационными мерами; например, в соответствии с требованиями политики безопасности сотрудник, обнаруживший нарушение, обязан сообщить о нем в подразделение информационной безопасности. Затем информация о выявленных инцидентах фиксируется в специальных журналах (в бумажном или электронном виде).

Результаты анализа, расследований и профилактических мероприятий обычно оформляются в виде справок, отчетов и аналитических записок и хранятся в подразделении ИБ. Однако если в компании эффективно реализована регистрация событий, а ее информационная инфраструктура характеризуется значительным размером и территориально распределена, то рано или поздно наступает момент, когда информацию, связанную с инцидентами и ходом их расследований, становится трудно обрабатывать без помощи специального инструментария. Еще проблематичнее становится подготовка и анализ статистики по компьютерным инцидентам, в то время как эта статистика является одним из ключевых показателей эффективности действующей подсистемы безопасности компании. Очевидно, что в результате этого падает эффективность процесса управления компьютерными инцидентами, что в конечном счете негативно влияет на обеспечение ИБ компании в целом.

Каким же образом можно существенно повысить эффективность процесса управления компьютерными инцидентами? Прежде всего необходимо определить показатели эффективности. Эффективность процесса управления инцидентами зависит от:

§ координации и согласованности действий всех вовлеченных в него лиц;

§ имеющихся возможностей по получению и анализу информации, связанной с инцидентом;

§ оперативности и корректности полученных результатов.

Повышение каждого из перечисленных показателей заметно поднимет эффективность всего процесса управления инцидентами и тем самым позволит подразделению информационной безопасности добиться более значительных результатов.

Радикально изменить ситуацию по управлению инцидентами можно, используя систему управления компьютерными инцидентами. Эта система позволит:

§ консолидировать всю информацию о компьютерных инцидентах в едином хранилище;

§ создать единый центр управления инцидентами ИБ с целью обеспечения контроля и координации действий по локализации и расследованиям;

§ повысить скорость реагирования и оперативность выявления причин инцидента;

§ повысить достоверность получаемых результатов по выявлению причин инцидента,ответственных лиц и определению необходимых действий, устранению последствий инцидента и применению контрмер;

§ формировать статистику по инцидентам ИБ, выявлять тенденции ее изменения и анализировать динамику этих изменений;

§ автоматизировать применение контрмер для снижения риска ИБ при выявлении типовых инцидентов.

Таким образом, система фактически будет являться системой коллективной работы, которая автоматизирует процессы по управлению инцидентами ИБ, при помощи интеграции людей и аппаратно-программного обеспечения мониторинга и защиты, а также информационной инфраструктуры организации.