Вариант упорядочения целей и приоритетов
Меры реагирования на нарушения
Данные меры направлены на обнаружение и нейтрализацию нарушений. Они преследуют две основные цели:
1) ограничение распространения угрозы и снижение ущерба;
2) недопущение повторных нарушений.
Указанная часть плана содержит следующие группы сведений: 1) основные положения; 2) оценка инцидента; 3) оповещение; 4) ответные меры; 5) правовой аспект, 6) регистрационная документация.
В основных положениях документа формулируются цели политики безопасности в вопросах реакции на нарушения. Важно заранее определить приоритеты при решении спорных вопросов. После уяснения целей и приоритетов они подлежат упорядочению по степени важности. В табл.7.1 представлен пример типовых целей и приоритетов системы безопасности АС.
Таблица 7.1
Цели | Приоритеты |
s Гарантировать целостность критически важных подсистем s Сохранить и восстановить данные s Сохранить и восстановить сервисы s Выяснить причину инцидента s Предотвратить развитие инцидента и будущие инциденты s Избежать нежелательной огласки s Найти виновников s Наказать нарушителей | s Защита жизни и здоровья людей s Защита секретных и критически важных данных s Защита прочих данных s Предотвращение повреждения системы s Минимизация урона вычислительным ресурсам |
Большинство нарушений безопасности достаточно трудно идентифицируются. Для выявления нарушений безопасности в документе могут быть определены признаки нарушений: отказы подсистем; неестественная активность и аномальные действия некоторых пользователей; новые файлы со странными именами; рассогласование в учетной информации; необычно низкая производительность; подозрительные пробы (многочисленные неудачные попытки входа); подозрительное изменение размеров и дат файлов или их удаление; появление новых пользовательских счетов; попытки записи в системные файлы; аномалии (звуковые сигналы и сообщения) и т.п.
Идентификации инцидента сопутствует определение масштаба его последствия. Здесь целесообразно выяснить: затрагивает ли нарушение несколько организаций и подсистем АС; находится ли под угрозой критически важная информация; каков источник нарушения; каковы могут быть потенциальные потери; какие материальные и временные ресурсы могут понадобиться для ликвидации нарушения и др.
В плане описывается схема оповещения конкретных лиц, указываются руководство и ответственные лица, оговариваются вопросы взаимодействия с группами быстрого реагирования, связи с общественностью (могут быть подготовлены пресс-релизы), с правоохранительными органами. Здесь же рекомендуется осветить стандартные формулировки докладов.
При выработке ответных мер определяются следующие процедуры: сдерживание распространения нарушения (как ограничить атакуемую область); ликвидация последствий; восстановление; анализ случившегося с извлечением уроков.
Очень важно, чтобы реакции на нарушения были тщательно зарегистрированы. По крайней мере, фиксируются: системные события (следует приобщить к документации регистрационный журнал системы); все действия с указанием времени; все телефонные разговоры.
После нарушения следует предпринять ряд действий по восстановлению нормального функционирования АС. Этому посвящена данная часть плана. Основными положениями документа являются: 1) оперативный пересмотр политики; 2) устранение слабостей; 3) усвоение уроков; 4) совершенствование политики и процедур.
Оперативный пересмотр политики начинается со следующих действий: переучета системных активов (как инцидент повлиял на состояние системы); пересмотра программы ОБИ с учетом извлеченных уроков; производства нового анализа риска; проведения следствия против нарушителей.
Самым ответственным пунктом является описание процесса восстановления и устранения слабостей системы. Здесь перечисляются следующие процедуры: определение механизма вторжения; оценка нанесенного ущерба; определение порядка восстановительных работ; подведение итогов с уяснением уроков после восстановления; определение порядка ведения журнала безопасности.
Затем описывается порядок “разбора полетов”. При этом рекомендуется составить отчет, в котором описывается инцидент и его ликвидация, а также дополнительные и новые методы, устройства и средства защиты информации, библиотека по ОБИ. Здесь же определяется порядок формирования группы из системных администраторов, которая станет ядром службы безопасности предприятия.
В заключении документа описывается порядок пересмотра политики ОБИ
и порядок доклада об инцидентах.