Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов
Скачать 2.64 Mb.
|
Локализация и устранение последствий является основным этапом, в рамках которого, собственно, осуществляется реагирование на инцидент. На этом этапе происходит: определение конкретных параметров нарушения (нападения), его характера (конкретных сегментов сети, серверов, групп рабочих станций, приложений, затронутых нападением); предварительный анализ действий нарушителя и сценария произошедшего (происходящего) нападения, алгоритма работы появившегося вируса и т.п.; блокирование действий нарушителя (если нарушение является длящимся); блокирование (полное или частичное) работы информационной системы (сервера, базы данных, сегмента сети и т.п.) с целью недопущения дальнейших разрушительных действий, распространения вредоносных программ или утечки конфиденциальной информации. Прекращение нападения и восстановление нормальной работы информационных систем может потребовать скоординированных действий не только самих сотрудников департамента информационной безопасности, но и: специалистов ИТ-подразделений, отвечающих за атакуемые информационные сервисы; пользователей атакованных информационных систем; предприятий-партнеров, имеющих отношение к атакованным информационным ресурсам; разработчиков и поставщиков атакованных информационных систем; поставщиков телекоммуникационных услуг, через которых осуществляется атака; сторонних консультантов, специализирующихся на соответствующих проблемах информационной безопасности. Одним из наиболее важных обстоятельств работы на данном этапе является то, какими полномочиями обладает специалист (дежурный), отвечающий за реагирование на инциденты. В частности, необходимо заранее предусмотреть возможность оперативного самостоятельного отключения тех или иных информационных сервисов специалистами по реагированию на инциденты (самостоятельно, либо через соответствующее ИТ-подразделение). Особую важность имеет способность ответственных специалистов оперативно оценить ситуацию, провести ее анализ (в большинстве практических ситуаций это необходимо будет делать по неполным данным о нападающей стороне) и принять решение о приостановке работы тех или иных информационных сервисов, до выявления и устранения угроз и/или введения в действие дополнительных средств противодействия вторжениям. При принятии такого решения необходимо учитывать (как правило, на основе экспертных оценок) как возможный ущерб, который может быть вызван выявленным нарушением, так и возможный ущерб от остановки информационных сервисов, которая (остановка) может быть осуществлена с целью предотвращения ущерба от действий нападающей стороны. Характерным примером такой ситуации является нападение на систему электронной торговли, когда нападающая сторона может нанести серьезный ущерб (похитить конфиденциальную информацию участников торговых сделок, самостоятельно совершить незаконные сделки от имени участников торговой системы и т.п.), а остановка сервиса с целью предотвращения такого ущерба может привести к потерям, связанным с упущенной выгодой от несовершенных сделок и ущербом для деловой репутации. Другим примером такой ситуации является реагирование на распределенные атаки типа "отказ в обслуживании" (Distributed Deny of Service, DDoS), часто осуществляемые на серверы в сети Интернет, когда может быть необходимо на некоторое время полностью отключить сервер как в ущерб пользователям, так и в ущерб владельцам информационных ресурсов, расположенных на сервере. Основой для принятия решений может быть заранее сформированный перечень (справочник) возможных основных инцидентов и признаков нарушений (проникновений), в котором может быть приведена оценка рисков суммарных потерь и рекомендованные действия для каждого типа нарушений (в том числе и перечень ситуаций, когда необходимо осуществить отключение сервисов во избежание утечки или нарушения целостности информации, являющейся наиболее критичной для всей деятельности предприятия). Идентификация нападающего (или источника распространения вредоносных программ) является важным шагом в процессе реагирования, следующим непосредственно за локализацией нападения. В случае если нападение осуществлялось из локальной сети предприятия, при надлежащем соблюдении внутренних режимных правил эта задача может оказаться относительно легкой. В случае если нападение было совершено извне, задача идентификации нападающих принципиально усложняется и в некоторых ситуациях проблема становится практически неразрешимой. Как правило, для обнаружения источника нападения необходимо: детально изучить все технические аспекты нападения; провести качественный анализ процесса нападения в контексте функционирования атакуемой системы защиты информации; организовать взаимодействие со сторонними организациями, которые могут содействовать в идентификации нападающего. Одной из наиболее важных задач анализа процесса нападения является установление той информации, которая была известна нападающим до начала нападения и которой они воспользовались для осуществления этого нападения. В частности, в процессе такого анализа с определенной степенью уверенности можно установить, что до начала нападения злоумышленникам были известны: информация о структуре и составе атакуемой информационной системы (используемые программные и аппаратные средства, их архитектура и используемые настройки); сведения о режиме работы организации и функционирования отдельных элементов информационной системы. Сведения о регламенте некоторых бизнес-процессов предприятия; конкретные идентификационные данные (имена пользователей, пароли), необходимые для проникновения в информационную систему и/или правила (алгоритмы) их генерации. Обобщение всех этих сведений может помочь установить, какие контакты были у нападающих с атакуемой компанией (а каких не было), и, сопоставляя факты, а также пользуясь методом исключения, постараться ограничить круг лиц, которые потенциально могли быть причастны к организации данного инцидента. В свою очередь, проведение такого анализа будет возможно только в том случае, если все информационные системы и системы защиты информации настроены надлежащим образом (в частности, в них ведутся все необходимые системные журналы) и системные данные не были повреждены в процессе нападения. Вторым важным направлением организационной и аналитической работы при установлении (идентификации) нападающих, совершивших нападение извне, является взаимодействие с администраторами систем (телекоммуникационных сетей, компьютеров, использовавшихся в качестве прокси-серверов, и т.п.), с использованием которых было осуществлено нападение. Подходы к такому взаимодействию в каждом конкретном случае, скорее всего, будут индивидуальными и могут зависеть от политики раскрытия информации администрации той сети или узла, через который осуществлялась атака. Также могут быть предприняты действия для того, чтобы в судебном порядке или с привлечением правоохранительных органов обязать администрации таких сетей и узлов предоставить необходимую информацию, связанную с произошедшим нападением. Процесс идентификации должен по возможности проводиться с учетом того, что впоследствии необходимо будет использовать информацию о нападающих как доказательство в уголовном процессе. В частности, при снятии (копировании) необходимых лог-файлов с атакованных компьютеров представителями правоохранительных органов, ведущими следствие по данному делу, должны быть соблюдены все процессуальные формальности, предусмотренные уголовно-процессуальным законодательством. Одной из особенностей процедуры изъятия доказательств у потерпевшей стороны в этом случае является то, что понятые, присутствующие при изъятии, должны по возможности иметь хотя бы общее представление о смысле производимой процедуры1). Также на этом этапе при необходимости может быть проведена технико-криминалистическая экспертиза компьютерных систем. Одним из заключительных шагов процесса реагирования на инцидент является оценка и анализ процесса нападения и его обстоятельств. Этот анализ необходимо проводить в контексте целей и задач функционирования всего предприятия, с учетом результатов работы по идентификации лиц, совершивших нападение. Основные задачи аналитической работы на данном этапе: анализ целей и мотивов нападавших; анализ фундаментальных (организационных и технических) причин, которые сделали нападение возможным и успешным (если оно было успешным); анализ последствий (в том числе и долгосрочных) нападения для всей деятельности предприятия; анализ и оценка работы персонала и взаимоотношений с предприятиями-партнерами (в том числе и с поставщиками информационных систем и средств защиты информации). Результатом анализа должны быть выводы, которые могут послужить основой для организационной работы в различных направлениях: корректировка и уточнение политики информационной безопасности предприятия; проведение дополнительной работы с персоналом предприятия (наказания, поощрения, дополнительное обучение и т.п.); проведение дополнительной работы с персоналом департамента информационной безопасности предприятия, а также персоналом ИТ-служб; пересмотр взаимоотношений с контрагентами предприятия (покупателями, поставщиками, партнерами по НИОКР и т.п.), имеющими доступ к его защищаемой информации или информационным системам; привлечение сторонних консультантов по информационной безопасности и специалистов по средствам защиты информации; инициирование технического переоснащения отдельных участков информационной инфраструктуры предприятия. Таким образом, анализ и всесторонняя оценка инцидентов является отправной точкой для реализации комплекса мер по совершенствованию системы обеспечения информационной безопасности на предприятии. Все эти меры должны в будущем снизить вероятность аналогичных инцидентов, а также уменьшить вероятность нанесения существенного ущерба в случае их повторения. Важной составляющей анализа нападения также является оценка ущерба от произошедшего нарушения информационной безопасности. Ущерб может быть оценен одновременно с нескольких точек зрения и зависит от характера возникшей внештатной ситуации. Наиболее простым для количественной экономической оценки является прямой ущерб: затраты на восстановление утраченной информации (могут быть рассчитаны на основе трудоемкости работ по восстановлению информации и данных о средней стоимости рабочего времени соответствующих специалистов), затраты на замену скомпрометированных паролей, кодов и ключей, стоимость поврежденного оборудования, штрафные санкции за разглашение конфиденциальной информации (если такие санкции, например, были предусмотрены договорами с подрядчиками, поставщиками или заказчиками) и т.п. Также в оценке нуждается упущенная выгода, которая может быть связана как с непосредственным прекращением (приостановкой, замедлением) текущих операций предприятия, так и с долгосрочным (перспективным) негативным влиянием возникшей внештатной ситуации – потерей доверия к предприятию, приводящей к оттоку заказчиков, формированием негативного имиджа предприятия и т.п. Отдельно также может быть оценено падение рыночной стоимости предприятия – его акций (если речь идет о предприятии, акции которого котируются на биржевом рынке). Наиболее сложным для оценки является моральный ущерб и последствия от разглашения информации личного характера (например, сведений, составляющих врачебную тайну). Конкретные суммы морального ущерба, как правило, могут быть установлены по результатам судебных разбирательств с отдельными лицами, которым такой ущерб был нанесен, либо процедур досудебного урегулирования конфликтов (на основе требований пострадавших лиц). Заключительным этапом процесса реагирования также является устранение негативных последствий нападения – локализация ущерба, причиненного произошедшим нарушением. Эта работа может включать в себя: смену скомпрометированных паролей отдельных пользователей; переустановку поврежденных операционных систем, а также поврежденного программного обеспечения; восстановление нарушенной конфигурации (настроек) программного обеспечения и операционных систем; восстановление поврежденной информации (баз данных, файлов), как из ранее созданных резервных копий, так и другими способами. В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные) аппаратные и программные платформы. Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая может в себя включать: рассылку пользователям информации о произошедших инцидентах (в виде специальных писем и бюллетеней); передачу некоторых сведений о нападении в средства массовой информации; передачу сведений о нападении крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации; дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку. С точки зрения распределения обязанностей по выполнению отдельных функций в рамках процесса реагирования на инциденты, одним из эффективных и достаточно широко используемых подходов к организации реагирования на инциденты является построение централизованной системы реагирования на инциденты, когда одна группа реагирования обслуживает несколько подразделений или предприятий. В частности, такой подход реализован в Министерстве обороны США (он был описан в одной из предыдущих лекций), где несколько централизованных групп реагирования на инциденты обслуживают множество войсковых подразделений. Централизованные группы реагирования могут создаваться для обслуживания различных предприятий и организаций. Это могут быть компании, входящие в крупный холдинг, организации, входящие в одну исследовательскую сеть, университеты и исследовательские организации одной страны, клиенты поставщика определенных продуктов или услуг и т.д. Для объединения усилий различных групп реагирования был создан специальный Форум групп реагирования на инциденты и обеспечения безопасности (Forum of Incident Response and Security Teams, FIRST), на интернетсайте которого (http://www.first.org/) можно найти полный список его участников. При этом все функции по реагированию не могут быть переданы в централизованную группу реагирования – в каждом конкретном случае необходимо детально разграничить полномочия, ответственность и функции, выполняемые предприятием самостоятельно, и функции, выполняемые централизованной группой. Договоренность между централизованной группой реагирования и группой реагирования (специалистами по безопасности) самого предприятия должна предусматривать не только разграничение функций, но и описывать основные процедуры взаимодействия в процессе реагирования на инцидент. 11. Лекция: Аудит состояния информационной безопасности на предприятии Аудит состояния информационной безопасности на предприятии представляет собой экспертное обследование основных аспектов информационной безопасности, их проверку на соответствие определенным требованиям. В некоторых случаях под аудитом информационной безопасности подразумевается проверка защищенности отдельных элементов информационной инфраструктуры предприятия (сегментов его сети, отдельных серверов, баз данных, Интернет-сайтов и т.п.) и надежности средств защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.). Однако мы в дальнейшем исходим из того, что аудит информационной безопасности является комплексным (по возможности, исчерпывающим) исследованием всех аспектов информационной безопасности (как технических, так и организационных) в контексте всей хозяйственной деятельности предприятия с учетом действующей политики информационной безопасности, объективных потребностей предприятия и требований, предъявляемых третьими лицами (государством, контрагентами и т.п.). Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников предприятия) и внешний (осуществляемый сторонними организациями). Целями аудита могут быть: установление степени защищенности информационных ресурсов предприятия, выявление недостатков и определение направлений дальнейшего развития системы защиты информации; проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в сфере информационной безопасности, выполнения требований политики безопасности; контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению информационной безопасности; сертификация на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в частности, на соответствие национальным и международным стандартам). Одной из стратегических задач, решаемых при проведении аудита информационной безопасности и получении соответствующего сертификата, является демонстрация надежности предприятия, его способности выступать в качестве устойчивого партнера, способного обеспечить комплексную защиту информационных ресурсов, что может быть особенно важно при осуществлении сделок, предполагающих обмен конфиденциальной информацией, имеющей большую стоимость (финансовыми сведениями, конструкторско-технологической документацией, результатами НИОКР и т.п.). В том случае, если аудит является внутренним, группу аудиторов необходимо сформировать из числа таких специалистов, которые сами не являются разработчиками и администраторами используемых информационных систем и средств защиты информации и не имели отношения к их внедрению на данном предприятии. Как правило, предприятие может прибегать к помощи внешних аудиторов с целью: повышения объективности, независимости и профессионального уровня проверки; получения заключений о состоянии информационной безопасности и соответствии международным стандартам от независимых аудиторов. Компании, специализирующиеся на проведении аудитов, могут осуществлять проверки состояния информационной безопасности на соответствие таким общепризнанным стандартам и требованиям, как: ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий); ISO 17799 (BS 7799): Code of Practice for Information Security Management (Практические правила управления информационной безопасностью); BSI\IT: Baseline Protection Manual (Руководство базового уровня по защите информационных технологий Агентства информационной безопасности Германии); COBIT: Control Objectives for Information and related Technology (Основные цели для информационных и связанных с ними технологий); Требованиям Руководящих документов ФСТЭК РФ, ФСБ или других государственных органов и других документов (таких как SAC, COSO, SAS 55/78). При этом организация, осуществляющая внешний аудит, должна отвечать определенным требованиям: иметь право (лицензию) на выдачу заключений о соответствии определенным требованиям (например, аккредитацию UKAS – United Kingdom Accreditation Service); сотрудники должны иметь право доступа к информации, составляющей государственную и военную тайну (если такая информация имеется на проверяемом предприятии); обладать необходимыми программными и аппаратными средствами для исчерпывающей проверки имеющегося у предприятия программного и аппаратного обеспечения. Основными этапами проведения аудита являются: инициирование проведения аудита; непосредственно осуществление сбора информации и проведение обследования аудиторами; анализ собранных данных и выработка рекомендаций; подготовка аудиторского отчета и аттестационного заключения. Аудит должен быть инициирован руководством предприятия с достаточно четко сформулированной целью на определенном этапе развития информационной системы или системы обеспечения информационной безопасности предприятия (например, после завершения одного из этапов внедрения). В случае если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы: перечень обследуемых информационных ресурсов и информационных систем (подсистем); перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит; основные угрозы, средства защиты от которых необходимо подвергнуть аудиту; элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки (организационное, правовое, программно-техническое, аппаратное обеспечение); Основная стадия – проведение аудиторского обследования и сбор информации – как правило, должно включать в себя: анализ имеющейся политики информационной безопасности и другой организационной документации; проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия; проверку состояния физической безопасности информационной инфраструктуры предприятия; техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности). Прежде чем приступить собственно к аудиту информационной безопасности, аудиторам (в частности, если проводится внешний аудит) необходимо ознакомиться со структурой предприятия, его функциями, задачами и основными бизнес-процессами, а также с имеющимися информационными системами (их составом, функциональностью, процедурами использования и ролью на предприятии). На начальном этапе аудиторы принимают решения о том, насколько глубоко и детально будут исследованы отдельные элементы информационной системы и системы защиты информации. Также необходимо заранее скоординировать с пользователями информационных систем процедуры проверки и тестирования, требующие ограничения доступа пользователей (такие процедуры по возможности должны проводиться в нерабочее время или в периоды наименьшей загрузки информационной системы). Качественный анализ действующей на предприятии политики безопасности является отправной точкой для проведения аудита. Одна из первых задач комплексного аудита — установление того, в какой степени действующая политика соответствует объективным потребностям данного предприятия в безопасности, могут ли действия в рамках данной политики обеспечить необходимый уровень защищенности информации и средств ее обработки, хранения и передачи. Это, в свою очередь, может потребовать проведения дополнительной оценки значимости основных информационных активов предприятия, их уязвимости, а также существующих рисков и угроз. Анализ политики также может включать оценку таких ее характеристик, как: полнота и глубина охвата всех вопросов, а также соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня; понятность текста политики для людей, не являющихся техническими специалистами, а также четкость формулировок и невозможность их двойного толкования; актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в информационных системах и бизнес-процессах. После проверки основных положений политики безопасности в процессе аудита могут быть изучены (проверены) действующие классификации информационных ресурсов по степени критичности и конфиденциальности, а также другие документы, имеющие отношение к обеспечению информационной безопасности: организационные документы подразделений предприятия (положения об отделах, должностные инструкции); инструкции (положения, методики), касающиеся отдельных бизнес-процессов предприятии; кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации, аттестации и ознакомлении с действующими правилами; техническая документация и пользовательские инструкции для различных используемых программных и аппаратных средств (как разработанных самим предприятием, так и приобретенных у сторонних поставщиков): межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п. Основная работа аудиторов в процессе сбора информации заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия, таких как: организация процесса обучения пользователей приемам и правилам безопасного использования информационных систем; организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации (правильность использования программных и аппаратных средств администрирования, своевременность создания и удаления учетных записей пользователей, а также настройки их прав в информационных системах, своевременность замены паролей и обеспечение их соответствия требованиям безопасности, осуществление резервного копирования данных, ведение протоколов всех производимых в процессе администрирования операций, принятие мер при выявлении неисправностей и т.п.); организация процессов повышения квалификации администраторов информационных систем и систем защиты информации; обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей информационных систем и фактически имеющихся; организация назначения и использования специальных ("суперпользовательских") прав в информационных системах предприятия; организация работ и координации действий при выявлении нарушений информационной безопасности и восстановлении работы информационных систем после сбоев и нападений (практическое выполнение "аварийного плана"); предпринимаемые меры антивирусной защиты (надлежащее использование антивирусных программ, учет всех случаев заражения, организация работы по устранению последствий заражений и т.п.); обеспечение безопасности приобретаемых программных и аппаратных средств (наличие сертификатов и гарантийных обязательств, поддержка со стороны поставщика при устранении выявленных недостатков и т.п.); обеспечение безопасности самостоятельно разрабатываемого программного обеспечения (наличие необходимых требований в проектной документации информационных систем, качество программной реализации механизмов защиты и т.п.); организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО; предпринимаемые меры по обеспечению учета и сохранности носителей информации (дисков, дискет, магнитных лент и т.п.), а также по их безопасному уничтожению после окончания использования; эффективность организации взаимодействия сотрудников предприятия – пользователей информационных систем – со службой информационной безопасности (в частности, по вопросам реагирования на инциденты и устранения их последствий). Одним из важных направлений аудиторской проверки является контроль того, насколько своевременно и полно положения и требования политики безопасности и других организационных документов доводятся до персонала предприятия. В том числе, необходимо оценить, насколько систематически и целенаправленно осуществляется обучение персонала (как при занятии должностей, так и в процессе работы), и, соответственно, дать оценку тому, в какой мере персонал понимает все предъявляемые к нему требования, осознает свои обязанности, связанные с обеспечением безопасности, а также возможную ответственность, которая может наступить при нарушении установленных требований. В процесс проведения интервью, совещаний и бесед с персоналом необходимо включить как можно больше сотрудников предприятия, имеющих хотя бы какое-то отношение к информационным системам и процедурам обработки информации: администраторов и разработчиков информационных систем, операторов и других пользователей, вспомогательный персонал и т.п. При непосредственной работе с персоналом аудиторам необходимо выяснить особенности протекания отдельных бизнес-процессов, роли отдельных сотрудников в этих процессах и их потенциальные возможности влиять на информационную безопасность. Также необходимо оценить, в какой мере сотрудники фактически выполняют свои обязанности в отношении обеспечения информационной безопасности. Одной из важных задач аудита может быть установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотрудников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы: процедуры отбора и принятия новых сотрудников на работу, а также их предварительной проверки; процедуры контроля за деятельностью сотрудников (отслеживания их действий); процедуры регистрации пользователей и назначения им прав в информационных системах; распределение функций между различными сотрудниками и минимизация их привилегий, а также возможное наличие избыточных прав у некоторых пользователей и администраторов. |
Похожие:
 | Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,... |  | В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... |
| В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | | Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... |
| Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | | Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,... |
| Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е.... | | ... |
| Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под... | | Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические... |