Инфосистемы Джет December 3, 2008
Управление инцидентами как часть оперативного управления ИБ:
подходы и опыт Джет
Датриева Мария Руководитель направления
Security Operation Center Центр Информационной
Безопасности [email protected]
12/3/08 2 © Инфосистемы Джет
Комплексное обеспечение ИБ
Насколько можно доверять построенной СОИБ?
12/3/08 3 © Инфосистемы Джет
Центр оперативного управления ИБ (Security Operation Center, SOC) –
позволяет в режиме реального времени контролировать и оперативно
управлять информационной безопасностью, позволяет быть уверенным
в том, что требуемый уровень обеспечения ИБ достигнут и
поддерживается, позволяет достигать установленные KPI
эффективности обеспечения ИБ
Центр оперативного управления ИБ
It’s not enough to be secure, you have to prove you’re secure.TM
12/3/08 4 © Инфосистемы Джет
Центр оперативного управления ИБ
Мониторинг состояния ИБ
• Управление событиями ИБ
• Аудит действий пользователей
• Управление уязвимостями
Управление инцидентами ИБ
Контроль соответствия требованиям
• Определить внутренний стандарт
• Постоянно контролировать соблюдение стандартов
12/3/08 5 © Инфосистемы Джет
Основные заблуждения
«В Багдаде все спокойно»
● Отсутствие данных по инцидентам ИБ – скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии
● Инциденты ИБ – Фиксируется менее 20% нарушений
Процесс управления инцидентами является необязательным и покупка средства автоматизации обработки событий ИБ может решить все задачи
● Это разные задачи
● Сначала процесс, а затем его автоматизация
Инциденты ИБ – это только компьютерные инциденты
● Не путайте вопросы ответственности и исполнения
● Затопление серверной – тоже инцидент ИБ
«У нас все регламенты есть»
● Рабочие? Актуальны? Выполняются? Регулярно тестируются?
● Бумажка это не процесс
12/3/08 6 © Инфосистемы Джет
Задачи процесса
● Регистрация и учет инцидентов ИБ, сбор и обеспечение сохранности и целостности доказательств инцидентов
● Координация реагирования на инцидент
● Эффективное разрешение инцидентов
● Минимизация ущерба (финансовые потери, юридические взыскания, потеря репутации, дезорганизация рабочих процессов и т.д.)
● Обучение персонала Компании действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ
● Поддержка в актуальном состоянии планов по разрешению
● Анализ произошедших инцидентов с целью усовершенствования защитных мер для обеспечения безопасности
● Анализ разрешения инцидентов с целью усовершенствования процесса
12/3/08 7 © Инфосистемы Джет
Комплексный процессный подход, основанный на
международных стандартах и общепринятых практиках
Управление инцидентами ИБ
Подготовительный процесс /
Корректирующий
процесс
Процесс разрешения инцидентов
Процесс анализа
эффективности
разрешения инцидентов
12/3/08 8 © Инфосистемы Джет
Стандарты и практики
• ISO/IEC 27001:2005 Information security management system. Requirements
• ISO/IEC TR 18044 Information security incident management
• CMU/SEI-2004-TR-015 Defining incident management processes for CSIRT CSIRTs: A Work in Progress – Описание процесса «Управление инцидентами»
• CMU/SEI-2003-HB-002 Handbook for Computer Security Incident Response Teams (CSIRTs) – Руководство CSIRT
• CMU/SEI-2003-HB-001 Organizational Models for Computer Security Incident Response Teams (CSIRTs) – Организационная модель CSIRT
• NIST SP 800-61 Computer security incident handling guide
12/3/08 9 © Инфосистемы Джет
Подготовительный этап
• Политика Цели и задачи Область Кто является ответственным Какие подразделения участвуют …
Одобрено и подписано руководством
• Границы ответственности (Рамки компетенции)
• Структура команды по разрешению инцидентов
• Разработка и внедрение процессов
• Распределение обязанностей • Разработка и тестирование планов по разрешению
12/3/08 10 © Инфосистемы Джет
Разрешение инцидентов
Цель – локализовать инцидент, т.е. не допустить усугубление наступивших негативных последствий либо не допустить наступление предполагаемых негативных последствий, затем устранить уязвимости, связанные с инцидентом, и вернуть систему к изначальному состоянию
• регистрация (Detection)
• реагирование (Containment)
• устранение (Eradication)
• восстановление (Recovery)
12/3/08 11 © Инфосистемы Джет
Анализ и корректировка
Анализ эффективности разрешения
Анализ и тестирование планов разрешения
Выявление несоответствий
Корректирующие и предупреждающие действия:
Устранение несоответствий
Недопущение будущих несоответствий
Повторение имеющихся несоответствий
Подготовительный этап:
Принятые решения недостаточны
Применяемые планы неэффективны
12/3/08 12 © Инфосистемы Джет
● В каждой организации процесс управления инцидентами уникален
● Удобство разработанного процесса для всех его участников
Любое «неудобство» процесса может оказаться катастрофическим
Особенность процессов управления инцидентами
● Поддержка руководством
В процесс вовлечено несколько подразделений
12/3/08 13 © Инфосистемы Джет
Наши проекты
По управлению инцидентами ИБ, в том числе в рамках СУИБ, PSI DSS: • МТТ • РОСНО • ЦБИ • КОКК (Компания объединенных кредитных карточек) • Владивостокский морской торговый порт
По построению Центра оперативного управления ИБ • Вымпелком • Мэрия Москвы (Система мониторинга событий ИБ информационных систем и ресурсов города Москвы, СМ СоИБ )
12/3/08 14 © Инфосистемы Джет
● Комплексный сбор и анализ событий безопасности
● Накапливание и применение опыта противодействия
угрозам в масштабах города
● Контроль выполнения требований ИБ,
предъявляемых к объектам информатизации города
● Организация отлаженного взаимодействия при
обеспечении ИБ
Задачи СМ СоИБ
12/3/08 15 © Инфосистемы Джет
1 Сбор информации с объектов мониторинга
2 Передача информации в ЦМ СоИБ
3 Анализ собранной информации (агрегация, корреляция, выявление новых угроз и уязвимостей)
4 Обнаружение и реагирование на СоИБ
Процесс функционирования СМ СоИБ
5 Сбор статистики СоИБ / накопление опыта
12/3/08 16 © Инфосистемы Джет
Типовой сценарий реагирования
0 • Обнаружение событий информационной безопасности
1 • Оповещение руководителя группы администраторов Оператора СМ СоИБ
2 • Оповещение администраторов ИСиР
3 • Оповещение руководителя ИСиР
4 • Принятие решения по реагированию на СоИБ
5 • Выполнение конкретных мер по реагированию на СоИБ
6 • Составление отчета по реагированию
12/3/08 17 © Инфосистемы Джет
Центр оперативного управления ИБ
Мониторинг состояния ИБ
• Управление событиями ИБ
• Аудит действий пользователей
• Управление уязвимостями
Управление инцидентами ИБ
Контроль соответствия требованиям
• Определить внутренний стандарт
• Постоянно контролировать соблюдение стандартов
12/3/08 18 © Инфосистемы Джет
Получаемые выгоды при внедрении Центра оперативного управления ИБ
● Гарантии обеспечения ИБ
● Инструмент оперативного и проактивного управления ИБ
● Эффективное управление инцидентами ИБ
● Отсутствие конфликтов с Законом и отраслевыми регуляторами
● Управление операционными рисками
● Обоснование затрат на ИБ
12/3/08 19 © Инфосистемы Джет
Преимущества работы с Джет
● Бизнес-ориентированный подход
● Передовые процессно-ориентированные методологии
● Наличие квалифицированных и обученных специалистов, имеющих опыт подобных проектов
● Проектирование, внедрение и техническая поддержка
● Гибкость в построении Центра оперативного управления ИБ: разбиение на этапы как по
компонентам, так и по области
12/3/08 20 © Инфосистемы Джет
Ваши вопросы?
Спасибо за внимание!
Датриева Мария Руководитель направления
Security Operation Center Центр Информационной
Безопасности [email protected]
Управление инцидентами как часть оперативного управления ИБ: подходы и опыт Джет