Любые изменения, возникающие в результате анализа реагирований на инциденты ИБ, должны подвергаться строгой проверке и тестированию перед введением измененной схемы в действие.
После завершения этой фазы организация должна быть полностью готова к надлежащей обработке инцидентов ИБ.
2 фаза – обнаружение и оповещение
Оперативный процесс схемы управления инцидентами ИБ состоит из 3-х фаз:
– обнаружение и оповещение;
– оценка и принятие решения;
– реагирования.
Первая фаза оперативного процесса включает обнаружение, сбор сведений и оповещение как о возникновении событий ИБ, так и о существовании уязвимости ИБ, которая еще не вызвала событие ИБ и потенциальный инцидент ИБ.
Любое сообщение персонала как об уязвимости ИБ, так и о нарушении неинформационной безопасности, должно быть оценено и обработано уполномоченным техническим персоналом. Информация об уязвимостях и их устранении должна быть внесена в базу данных событий / инцидентов / уязвимостей ИБ, управляемую ГРИИБ.
Для этой фазы организация должна выполнить следующие действия:
1) обнаружение и оповещение о событии или уязвимости ИБ, что включает в себя:
– предупреждение системы мониторинга безопасности, таких как системы обнаружения и предотвращения атак на приложения (Intrusion Detection System / Intrusion Prevention System, IDS/IPS), «приманки» для хакеров в виде виртуальных ресурсов, например, вэб-сервер (honeypot), имитации открытого порта в системе для введения хакеров в заблуждение (tarpits), антивирусная программа, СУИБ, системы мониторинга и корреляции логов событий и другие,
– предупреждение систем сетевого контроля, таких как брандмауэры, сканеры сетевого трафика, вэб-фильтры и другие,
– предупреждение партнеров, продавцов или групп совместного использования информации об известных и появляющихся векторах атаки,
– результат анализа информации логов устройств, сервисов, хостов и других систем,
– результат деятельности систем технической поддержки (help desk),
– сообщения пользователей,
– уведомления внешних организаций, таких как другие ГРИИБ, Интернет-провайдеры, поставщики телекоммуникационных услуг, аутсорсинговые компании или национальная ГРИИБ;
2) сбор сведений о событии ИБ или уязвимости;
3) регистрация всех действий, результатов и соответствующих решений для дальнейшего анализа группой поддержки;
4) регистрация в системе мониторинга инцидентов.
2.1. Обнаружение события
События ИБ могут быть обнаружены непосредственно лицом или лицами, заметившими что-либо, вызывающее беспокойство и имеющее технический, физический или процедурный характер. Обнаружение может осуществляться, например, датчиками охранно-пожарной сигнализации путем передачи сигналов тревоги в заранее определенные места для осуществления человеком определенных действий.
Технические события ИБ могут обнаруживаться автоматически, например, это могут быть сигналы тревоги, производимые устройствами анализа записей аудита, межсетевыми экранами, системами обнаружения вторжений, антивирусным ПО, в каждом случае стимулируемые заранее установленными параметрами этих устройств.
Возможными источниками обнаружения события ИБ могут быть:
– пользователи,
– линейные менеджеры и руководители службы безопасности,
– клиенты,
– ИС технической поддержки (help desk – поддержка 1-го уровня),
– подразделение ИТ, в том числе Центр сетевых операций и Центр безопасных операций (поддержка 2-го уровня),
– поставщики услуг (в том числе интернет-провайдеры),
– ГРИИБ,
– другие сотрудники и персонал, которые могут обнаружить аномалии в течение их ежедневной работы,
– СМИ (газеты, радио, телевидение и т.п.),
– веб-сайты (публичные веб-сайты ИБ, веб-сайты специалистов по ИБ, веб-сайты служб ИБ и т.п.).
2.2. Оповещение о событии
Вся собранная информация, касающаяся событий или инцидентов ИБ, должна храниться в базе данных событий / инцидентов ИБ, управляемой ГРИИБ. Информация, сообщаемая в течение каждого процесса, должна быть как можно более полной, чтобы обеспечить наиболее прочную базу для оценок и принятия решений, а также для предпринимаемых действий.
Независимо от причины обнаружения события ИБ, лицо, непосредственно обратившее внимание на нечто необычное или оповещенное автоматическими средствами, несет ответственность за инициирование процесса обнаружения и оповещения. Этим лицом может быть любой представитель персонала организации, работающий постоянно или по контракту.
Персонал должен следовать процедурам и использовать форму отчета о событии ИБ, определенную схемой управления инцидентами ИБ, с целью привлечения внимания группы поддержки. Следовательно, важно, чтобы весь персонал был ознакомлен с рекомендациями, относящимися к вопросу оповещения о возможных событиях ИБ, включая формы отчета, имел доступ к ним и знал сотрудников, которых необходимо оповещать о каждом случае появления события ИБ. Необходимо, чтобы весь персонал организации был осведомлен о форме отчета, что способствовало бы его пониманию системы управления инцидентами ИБ.
В форме отчета о событии регистрируется такая первоначальная информация:
– время / дата обнаружения,
– результаты наблюдения,
– контактная информация.
Заполненная форма (бумажная или электронная) должна быть использована персоналом ГРИИБ только при регистрации события (потенциального инцидента) ИБ в системе мониторинга инцидентов. После обработки события форма будет содержать более полную информацию после получения отчетов о расследованном событии ИБ.
Мониторинг событий ИБ (потенциальных инцидентов) должен обеспечиваться, как правило, автоматическими средствами. Использование информационной системы играет существенную роль для того, чтобы заставить персонал следовать установленным процедурам и процессам. Также очень полезно сохранить записи о том, кто сделал, что и когда, детали которых могут указать на ошибки в процессе обработки события ИБ (потенциального инцидента).
Обработка конкретного события ИБ зависит оттого, что оно собой представляет, а также от последствий и воздействий, к которым это событие может привести. Для многих людей принятие решения о способе обработки события выходит за пределы их компетентности. Поэтому сотрудник, информирующий о событии ИБ, должен заполнить форму отчета так, чтобы в ней было как можно больше информации, доступной ему на тот момент, при необходимости поддерживая связь со своим руководителем.
Форму отчета о событии ИБ нужно передать безопасным способом в группу поддержки, а копию – руководителю ГРИИБ. Группа поддержки должна работать, по возможности, круглосуточно (24ч/7д).
Руководитель ГРИИБ должен назначить одного члена группы или сотрудника, ответственного за все входящие сообщения (по электронной почте, телефону, факсу, другим автоматическим средствам коммуникаций), заполнение формы учета и ведение переговоров. Эта ответственность может еженедельно передаваться от одного члена ГРИИБ другому. Назначенный член ГРИИБ делает оценку и принимает надлежащие меры для оповещения заинтересованых сторон в обработке инцидента ИБ.
Следует подчеркнуть, что при заполнении формы отчета важна не только точность содержания, но и своевременность заполнения. Не следует задерживать предоставление формы учета события ИБ по причине уточнения ее содержания. Если сообщающий сотрудник не уверен в данных какого-либо поля в форме учета, то это поле должно быть помечено, а уточнение – предоставлено позже.
Также следует признать, что некоторые механизмы оповещения (например, электронная почта) сами являются вероятными целями атаки. При наличии или прогнозировании проблем оповещения должны использоваться альтернативные средства связи. Это необходимо, когда возможны атаки на систему и перехваты форм учета несанкционированными лицами. Альтернативными средствами связи могут быть нарочные, телефон, текстовые сообщения. Такие альтернативные средства должны использоваться на ранних стадиях расследования, когда становится очевидным, что событие ИБ будет переведено в категорию инцидента, особенно, если он может считаться значительным.