Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:
Статья опубликована в №8 (апрель) 2014
Разделы: Информационные технологии
Размещена 15.04.2014. Последняя правка: 15.04.2014.
Просмотров - 7364

РАЗРАБОТКА ПОЛОЖЕНИЯ О ГРУППЕ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Акиншина Галина Владимировна

канд. техн. наук

Северо-Кавказский федеральный университет

доцент

Аннотация:
В статье рассмотрены вопросы менеджмента инцидентов информационной безопасности согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 в аспекте функционирования группы реагирования на инциденты информационной безопасности. Предложены основные тезисы типового положения о группе реагирования на инциденты информационной безопасности.


Abstract:
In article questions of management of incidents of information security according to GOST P ISO/MEK TO 18044-2007 in aspect of functioning of group of response to incidents of information security are considered. The main theses of standard provision on group of response to incidents of information security are offered.


Ключевые слова:
группа реагирования на инциденты информационной безопасности, менеджмент инцидентов информационной безопасности, инцидент информационной безопасности

Keywords:
group of response to incidents of information security, management of incidents of information security, incident of information security


УДК 004.056.53

Вместе с ростом рунета увеличивается и количество совершенных в нем преступлений. В ближайшие несколько лет, по оценкам экспертов, ежегодный ущерб от интернет-мошенничеств будет как минимум удваиваться. Борьбу с компьютерными преступлениями усложняет их высокая латентность: до правоохранительных органов доходят сведения примерно об 1% случаев мошенничества. Действительно, о возникновении инцидентов в системе информационной безопасности (ИБ) компании стараются не заявлять открыто, чтобы не дискредитировать себя, нанеся урон собственному доброму имени, и не предоставлять дополнительных преимуществ конкурентам или криминальным структурам. В результате, хотя количество инцидентов ИБ постоянно растет, сведения о них, как правило, держатся в секрете, а широкая общественность узнает лишь о тех немногочисленных инцидентах, информация о которых вышла за пределы компании [1, 2].

Оборотная сторона такой информационной непрозрачности – недопонимание высшим менеджментом корпораций и руководством государственных структур серьезности проблематики реагирования на инциденты информационной безопасности, необходимости организации систем управления такими инцидентами и разработки пакета внутренних документов их регулирования.

В России до сих пор существует целый ряд серьезных проблем в области управления инцидентами информационной безопасности (ИБ). Так, отсутствует единый центр регистрации инцидентов, аналогичный основанному еще в 1988 году в сотрудничестве с Департаментом безопасности компании Internet Worm Координационному центру CERT (CERT/CC) в Карнеги Мэллон университете в Питсбурге. CERT/CC собирает информацию об инцидентах, касающихся компьютерной безопасности и, проведя исследования, определяет, нужно ли об этой проблеме широко оповещать. Несмотря на то, что методы CERT/CC рассматриваются как несколько спорные, они обеспечивают ценные услуги обществу, а учитывая определенную специфику национального законодательства РФ, создание такого национального центра было бы удачным координационным решением.

Помимо перечисленного, необходимо отметить, что новая версия ISO 17799:2005 требует наличия процесса реагирования на инциденты (раздел 13, «Information security incident management») [3].

Обработка инцидентов ИБ в ходе их жизненного цикла ведется группой реагирования на инциденты информационной безопасности  (Information Security Incident Response Team (ISIRT)), включающей обученных и доверенных членов организации, а в отдельных случаях дополняемая внешними экспертами. К настоящему времени существует целый ряд международных (NIST Special Publication 800-61 "Computer security incident handling guide", ISO/IEC TR 18044:2004, ISO/IEC 20000:2005 и пр.) и национальных (ГОСТ Р ИСО/МЭК ТО 18044-2007) стандартов, определяющих и регулирующих сферу управления информационными инцидентами. Разработан понятийный и терминологический аппарат этой области, созданы работоспособные модели управления процессами и координации действий по управлению инцидентами ИБ на протяжении всего их жизненного цикла. Тем не менее, присутствует ряд областей, разработанность которых в настоящее время недостаточна. К одной из них относится организационное обеспечение группы реагирования на инциденты информационной безопасности (ГРИИБ), относящееся к административному уровню информационной безопасности. Центральным документом при этом является положение о группе реагирования на инциденты информационной безопасности. На практике зачастую такой документ не создается вовсе, а основные положения о ГРИИБ указываются в более общих внутренних документах (например, в верхнеуровневой политике ИБ). Такое положение в корне неверно, поскольку не соответствует степени ответственности работы ГРИИБ. Отсутствие должным образом разработанного и утвержденного положения о ГРИИБ, в котором предельно полно, корректно и однозначно определяюяются роли и уровни ответственности включенных в него специалистов, может привести к смешению функций членов ГРИИБ, возникновению пробелов в ее работе и, в конечном счете, к новым инцидентам ИБ, связанных уже с деятельностью самой ГРИИБ.

Целью настоящей работы является разработка типового положения о группе реагирования на инциденты информационной безопасности (ГРИИБ).

Положение о группе реагирования на инциденты информационной безопасности (далее – Положение), является основным документом, определяющим порядок действий ГРИИБ при реагировании на инциденты информационной безопасности. Положение разрабатывается в соответствии с Гражданским кодексом РФ и действующими нормативными актами РФ, а также в соответствии с учредительными и иными внутренними документами компании-держателя ГРИИБ. Как правило, Положение, а также дополнения и изменения к нему разрабатываются юридическим отделом с последующим рассмотрением и утверждением уполномоченным лицом (лицами), к числу которых могут быть отнесены высшие управляющие лица, в т.ч. непосредственно ответственные за обеспечение информационной безопасности. Изменения и дополнения вносятся в Положение в случаях изменения законодательства, регулирующего деятельность компании-держателя, изменения ее уставных документов, а также рассматриваются по представлению руководителей структурных подразделений в случае несоответствия Положения потребностям практики.

Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для оценки, реагирования на инциденты ИБ и извлечения уроков из них, а также необходимой координации, менеджмента, обратной связи и процесса передачи информации. Члены ГРИИБ могут участвовать в снижении физического и финансового ущерба, а также ущерба для репутации организации, связанного с инцидентами ИБ.

Состав ГРИИБ зависит от численности, направленности, организационно-правовой формы и иных характеристик компании-держателя. Тем не менее, представляется, что минимальный состав ГРИИБ должен включать руководителя ГРИИБ; регистратора-оценщика, администратора БД регистрации инцидентов, специалиста по судебной компьютерной экспертизе, юриста, специалиста по системным решениям, специалиста по сетевым решениям и специалиста-эксперта по информационной безопасности.

ГРИИБ представляет собой изолированную команду, для персонала которой расследование инцидентов не является основными должностными обязанностями, за исключением Регистратора-оценщика и Администратора БД регистрации инцидентов. В зависимости от типа инцидента ИБ к участию в ГРИИБ на контрактной основе могут привлекаться специалисты по конкретным узкоспециализированным вопросам. Сотрудники ГРИИБ могут выполнять несколько функций внутри ГРИИБ, осуществляя внутреннее совмещение должностных обязанностей.

Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 [4], необходимым условием функционирования ГРИИБ является обеспечение независимости ее деятельности. Для достижения этого в положении о ГРИИБ должно быть явно указано, что при производстве действий по расследованию инцидентов ИБ Член ГРИИБ независим, он не может находиться в какой-либо зависимости от руководителей структурных подразделений или высшего руководства компании. Член ГРИИБ при расследовании руководствуется только результатами проведенных исследований. Не допускается воздействие на члена ГРИИБ с чьей-либо стороны в целях влияния на исход расследования. Лица, виновные в оказании воздействия на члена ГРИИБ, подлежат ответственности в соответствии с законодательством Российской Федерации и внутренними документами компании-держателя ГРИИБ.

Важнейшим фактором проведения расследований инцидентов ИБ является объективность и общенаучная проверяемость. Именно поэтому необходимо требовать от члена ГРИИБ проведения расследования инцидента ИБ объективно, на строго научной и практической основе, в пределах имеющихся компетенций, всесторонне и в полном объеме. Заключение Члена ГРИИБ должно основываться на положениях, дающих возможность проверить обоснованность и достоверность сделанных выводов на базе общепринятых научных и практических данных.

Представляется, что к члену ГРИИБ должны быть предъявлены и определенные требования, к которым, в частности, можно отнести требование о гражданстве РФ, поскольку именно они гарантируют ответственность члена ГРИИБ в соответствии с действующим законодательством. С необходимостью должны быть предъявлены и требования к профессиональным компетенциям и профессиональной пригодности. Вопрос об организации проведения такой проверки (собственными силами, либо с привлечением внешних специалистов) должен быть решен, по-видимому, исходя из конкретной ситуации. Разумеется, должен быть установлен разумный порог переаттестации сотрудников, не превышающий, думается, одного-двух лет.

В контексте ГОСТ Р ИСО/МЭК ТО 18044-2007 представляется, что руководителем ГРИИБ может являться начальник отдела информационной безопасности, имеющий делегированные полномочия немедленного принятия решения о том, какие меры предпринять относительно инцидента. При этом, в целях обеспечения независимости деятельности ГРИИБ, руководитель ГРИИБ не может состоять в родственных или иных внеслужебных отношениях от прочих сотрудников компании.

Примерный перечень прав и обязанностей руководителя ГРИИБ, разработанный в рамках настоящей работы, дан ниже.

Руководитель ГРИИБ обязан:

- конфиденциально оповещать высшее руководство компании об инцидентах ИБ, ведущих, по оценкам ГРИИБ, к возникновению кризисной ситуации;

- согласовывать действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, с высшим руководством;

- обеспечивать необходимый уровень знаний и мастерства для всех членов ГРИИБ, а также поддержание этого уровня;

- поручить расследование каждого инцидента наиболее компетентному в определенной области члену группы или комиссии членов группы;

- обеспечить контроль за соблюдением сроков расследования, полнотой и качеством проведенных исследований, не нарушая при этом принцип независимости члена ГРИИБ;

- обеспечить контроль за соблюдением сроков реагирования на инцидент ИБ, полнотой и качеством проведенных исследований, не нарушая при этом принцип независимости члена ГРИИБ;

- по окончании расследования ознакомить с его результатами высшее руководство компании;

- обеспечить условия, необходимые для сохранения конфиденциальности процесса и результатов расследования;

- информировать членов ГРИИБ об изменении законодательства, о решениях органов государственной власти по вопросам, относящимся к деятельности ГРИИБ, об изменениях учредительных документов компании-держателя ГРИИБ, Положения о ГРИИБ, и иных событиях, значимых для деятельности ГРИИБ;

- находиться в режиме постоянной доступности, либо на время своего отсутствия делегировать полномочия дежурному члену ГРИИБ.

Руководитель ГРИИБ обязан обеспечить условия, необходимые для штатного функционирования ГРИИБ:

-          наличие оборудования, приборов, материалов и средств информационного обеспечения;

-          соблюдение правил техники безопасности и производственной санитарии;

-          сохранность объектов и материалов исследований;

-          предоставление необходимых членам ГРИИБ услуг (экспертных, информационных, коммуникационных, консалтинговых).

Руководитель ГРИИБ вправе:

- в ходе действий по реагированию на информационный инцидент приостанавливать полномочия или отстранять полномочных должностных лиц от их обязанностей;

- ходатайствовать перед руководством компании о включении в состав комиссии по расследованию конкретного инцидента лиц, не работающих в данной компании, если их специальные знания необходимы для полноты и объективности расследования;

- передавать часть обязанностей и прав, связанных с организацией и производством расследования инцидента информационной безопасности члену ГРИИБ;

- при обоснованной необходимости уничтожения объектов исследований либо существенного изменения их свойств, т.е. при отсутствии возможностей проведения неразрушающего исследования, давать разрешение на такие действия.

Руководителю ГРИИБ запрещается прямо или косвенно использовать в своих интересах или передавать другим лицам полученную им в рамках своей деятельности конфиденциальную информацию, в том числе сведения, которые могут ограничить конституционные права граждан, а также сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну. Руководитель не вправе самостоятельно без согласования с руководством компании привлекать в состав ГРИИБ лиц, не работающих в компании-держателе ГРИИБ. Также руководитель ГРИИБ не вправе давать членам ГРИИБ указания, предрешающие результат проведения расследования по конкретному инциденту информационной безопасности.

Права и обязанности члена ГРИИБ, разработанные авторами настоящей работы в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007, перечислены ниже.

Член ГРИИБ обязан:

- принять к работе (по расследованию или принятию мер по реагированию) порученный ему руководителем ГРИИБ инцидент информационной безопасности;

- провести полное исследование представленных ему объектов и материалов, вынести обоснованное и объективное заключение по результатам расследования;

- не разглашать сведения, которые стали ему известны в связи с производством расследования и/или в ходе принятия мер по реагированию, в том числе сведения, которые могут ограничить конституционные права граждан, а также сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну;

- обеспечить сохранность представленных объектов исследований и материалов.

Член ГРИИБ также исполняет обязанности, предусмотренные его трудовым договором (контрактом).

Член ГРИИБ не вправе:

- принимать любые поручения, связанные с реагированием на инциденты информационной безопасности, от кого бы то ни было, за исключением руководителя ГРИИБ;

- вступать в личные контакты с участниками инцидента информационной безопасности, если это ставит под сомнение его незаинтересованность в исходе дела;

- сообщать кому-либо о результатах расследования инцидента информационной безопасности, за исключением руководителя ГРИИБ;

- уничтожать объекты исследований либо существенно изменять их свойства без разрешения руководителя ГРИИБ.

Член ГРИИБ вправе ходатайствовать перед руководителем ГРИИБ о привлечении к производству расследования других членов ГРИИБ, либо сторонних экспертов, если это необходимо для обеспечения объективности и эффективности расследования.Член ГРИИБ также имеет права, предусмотренные его трудовым договором (контрактом).

Применение и соблюдение общепринятых этических принципов ведения бизнеса является необходимым условием для обеспечения взаимопонимания и развития бизнеса. В свете этого представляется важным сформулировать в положении о ГРИИБ основные этические принципы функционирования ГРИИБ как набор дополнительных обязанностей членов ГРИИБ, в соответствии с которыми они должны:

- выказывать профессиональные знания и умения;

- с уважением относиться к своим коллегам и сотрудникам иных подразделений компании-держателя;

- описывать инциденты информационной безопасности честно и аккуратно;

- предпринимать все необходимые меры, предписанные и добровольные, с тем, чтобы избежать нарушения конфиденциальности и анонимности при расследовании инцидентов информационной безопасности;

- не скрывать ставшую им известной в ходе расследования инцидента информационной безопасности информацию от руководителя ГРИИБ;

- соблюдать права человека, регламентированные Конституцией РФ и иными законодательными актами и придерживаться моральных принципов, принятых в обществе;

- не быть вовлеченными, прямо или косвенно, в деятельность, наносящую вред обществу в целом и компании-держателю в частности.

Ввиду того, что ГРИИБ является структурой, постоянно работающей с конфиденциальной информацией, а ее члены обладают повышенными полномочиями, представляется разумным ввести контроль доступа в помещения ГРИИБ.

За исключением членов ГРИИБ и представителей государственных ведомств при предъявлении ими соответствующих полномочий, вход в помещения ГРИИБ должен быть категорически запрещен. Члены ГРИИБ обязаны иметь при себе соответствующие их статусу пропуска, доступные для визуального наблюдения. Каждый Член ГРИИБ получает членское удостоверение, являющееся пропуском для входа во все, без ограничения, помещения компании-держателя. Членское удостоверение должно являться именным документом, снабженным фотографией владельца, и подписанным уполномоченными лицами компании-держателя, а при реализации его в виде смарт-карты - иной аутентифицирующей информацией (электронной цифровой подписью уполномоченного лица), и не подлежит передаче другим лицам. Срок действия членских удостоверений необходимо ограничивать, при этом представляется, что этот срок в целях минимизации угрозы подделки удостоверения не должен быть велик.

Положение о ГРИИБ должно включать описание процедур взаимодействия со средствами массовой информации, внешними центрами регистрации инцидентов, представителями правоохранительных и судебных органов.

Представляется, что взаимодействие со СМИ и внешними центрами регистрации инцидентов должно осуществляться руководителем ГРИИБ либо членом ГРИИБ, им уполномоченным. По результатам расследования каждого инцидента информационной безопасности должен подготавливаться пресс-релиз (обзор), который подписывается всеми членами ГРИИБ и утверждается, в зависимости от класса серьезности инцидента ИБ, либо руководителем ГРИИБ, либо полномочным представителем высшего руководства компании. Взаимодействие с представителями правоохранительных и судебных органов осуществляется руководителем ГРИИБ и членами ГРИИБ, исходя из принципа соблюдения конфиденциальности и сохранения коммерческой тайны. 

Разработка Положения о группе реагирования на инциденты информационной безопасности с учетом положений, предложенных в настоящей работе, по нашему мнению, позволит более четко определить функционирование ГРИИБ и ее место в системе менеджмента инцидентов информационной безопасности корпорации.

Библиографический список:

1. Куканова Н.И. Управление инцидентами информационной безопасности. // Открытые системы. - №10. – 2006. – С. 5-13
2. Голов А.В. Реагирование на инциденты информационной безопасности. // Intelligent Enterprise. - № 22. - ноябрь 2005. – С.33-38
3. ISO 17799:2005. Information technology. Security techniques. Code of practice for information security man-agement. [Электронный ресурс]. - http://www.iso.org/iso/catalogue_detail?csnumber=39612
4. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности




Рецензии:

15.04.2014, 21:32 Назарова Ольга Петровна
Рецензия: Статья актуальна. Рекомендуется к печати.

16.04.2014, 20:40 Клинков Георгий Тодоров
Рецензия: Статья показывает очень сложную контекстуальность при выборе проблематики.Она имеет 3 типовые ошибки в ходе интерпретации.1."Разработка положения"...-в конструкте не дана функциональная особенность понятия "информационная безопасность"?2."Группа реагирования"-дана в декларотивном, а не в методологическом и функциональном порядке?3.Информационная безопасность,имеет международные нормы и стандарты, принятых во всех странах мира?

06.05.2014 21:21 Ответ на рецензию автора Акиншина Галина Владимировна:
Спасибо за внимание. Информационная безопасность действительно имеет международные нормы и стандарты, принятые во всех странах мира. ГОСТ Р ИСО/МЭК ТО 18044-2007 как раз таким и является. Поэтому "группа реагирования" дана в аспекте упоминания в ГОСТ, т. е. в декларативном порядке. Думаю, что функциональную особенность понятия ИБ нет смысла освещать в данной работе, поскольку это общеизвестные вещи, а в части относимости к предмету настоящей работы это уже освещено в ГОСТ Р ИСО/МЭК ТО 18044-2007.

17.05.2014, 17:41 Маслов Владимир Алексеевич
Рецензия: В статье затронута актуальная проблема. Рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх