Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 6:

Политика

Процедура обработки инцидентов

Процедура обработки инцидентов (IRP - Incident Reporting Procedure) определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. IRP определяет, кто имеет право доступа и что необходимо сделать, однако не всегда содержит описание конкретных действий.

Примечание

Если речь идет о банковской организации, название этой процедуры следует изменить (например, на "процедура обработки событий"). Термин "инцидент" имеет определенное значение в банковской сфере и необходимо избегать его использования, если событие не связано напрямую с финансовыми потерями.

Цели обработки инцидентов

Процедура IRP должна определять цели организации, достигаемые при обработке инцидента. Среди целей IRP можно выделить следующие:

  • защита систем организации;
  • защита данных организации;
  • восстановление операций;
  • пресечение деятельности злоумышленника;
  • снижения уровня антирекламы или ущерба, наносимого торговой марке.

Эти цели не являются взаимоисключающими, и в организации вполне могут быть определены несколько целей. Ключевым моментом является определение целей организации до того, как возникнет инцидент.

Идентификация событий

Идентификация инцидента является, вероятно, наиболее важной и сложной частью процедуры обработки инцидента. Некоторые события очевидны (например, несанкционированное изменение содержимого веб-сайта), другие же события могут означать либо вторжение, либо просто ошибку пользователя (например, удаление файлов).

Перед объявлением конкретного инцидента сотрудники отдела безопасности и системные администраторы должны провести небольшое исследование, чтобы определить, действительно ли инцидент имел место. В этой части процедуры могут быть выявлены события, представляющие собой очевидные инциденты, а также определены действия, которые необходимо предпринять, если событие не является очевидным инцидентом.

Совет

Оказать помощь в идентификации инцидентов может служба технической поддержки. Если ее сотрудники обучены задавать конкретные вопросы обращающимся к ним пользователям, то их можно использовать для формирования первичного представления о вероятном инциденте.

Эскалация

В IRP должна быть определена процедура эскалации данных по мере поступления информации о произошедшем событии. В большинстве организаций процедура эскалации предназначена для активизации действий группы сотрудников, которым поручена обработка инцидентов. В банковских структурах предусматривается два уровня эскалации, в зависимости от того, связано ли событие с финансовыми потерями.

В каждой организации должны быть определены сотрудники, являющиеся членами группы, ответственной за обработку инцидентов. Их следует выбирать из следующих подразделений организации:

  • отдел безопасности;
  • системные администраторы;
  • юридический отдел;
  • отдел кадров;
  • рекламный отдел.

По мере необходимости в группу могут быть добавлены и другие сотрудники.

Контроль информации

При обнаружении инцидента необходимо обеспечить контроль информации об инциденте. Количество получаемой информации зависит от того, какое влияние окажет инцидент на организацию и ее клиентскую базу. Кроме того, информацию следует оглашать таким образом, чтобы она положительно сказалась на делах организации.

Примечание

Только сотрудники отдела рекламы и юридического отдела могут обсуждать информацию об инциденте с представителями прессы, и никто более.

Обработка

Обработка инцидента напрямую вытекает из целей, определенных в IRP. Например, если целью данной процедуры является защита систем и информации, имеет смысл отключить системы от сети и провести необходимые восстановительные работы. В других случаях важнее сохранить систему в рабочем режиме и подключенном состоянии для продолжения обслуживания клиентов либо позволить злоумышленнику вернуться, чтобы собрать о нем больше данных и, возможно, идентифицировать.

В любом случае метод обработки, используемый организацией, должен обсуждаться и отрабатываться заблаговременно.

Примечание

Месть злоумышленнику никогда к добру не приводит. Такие ответные действия бывают незаконными - не делайте их никогда!

Полномочия

Важной частью IRP является определение того, кто в организации и в группе обработки инцидентов имеет полномочия на выполнение определенных действий. В этой части процедуры определяется, кто имеет полномочия на отключение системы и чьей обязанностью является контакт с клиентами, прессой и органами правопорядка. Назначается официальное лицо, которое будет заниматься именно этими вопросами. Обычно это сотрудник, входящий в группу обработки инцидентов либо внештатный консультант. В любом случае этот человек определяется в процессе разработки процедуры IRP, а не после проведенной атаки и не во время обработки инцидента.

Документирование

Процедура IRP должна определять, каким образом группа обработки инцидентов будет фиксировать свои действия, включая описание данных, подлежащих сбору и сохранению. Этот момент важен по двум причинам: он помогает разобраться в последствиях инцидента и, возможно, предотвращает дальнейшие неприятности посредством привлечения органов правопорядка. Как правило, группе обработки инцидента полезно иметь набор переносных компьютеров для работы.

Тестирование процедуры

Обработка инцидентов требует тестирования. Не следует надеяться на то, что при первом запуске процедуры IRP все пройдет гладко. Сразу после разработки процедуры IRP группе обработки следует провести некоторые тесты. Необходимо проговорить ситуацию и попросить каждого члена группы обработки рассказать о действиях, которые необходимо предпринять в описанных обстоятельствах. Каждый член группы должен следовать предписаниям процедуры. С помощью этого подхода определяются очевидные недостатки процедуры с последующим их устранением.

Процедура IRP должна пройти тестирование в реальных условиях. Попросите сотрудника отдела безопасности смоделировать атаку на организацию, обработку которой произведет группа обработки инцидентов. Эти тесты могут быть как плановыми, так и внезапными.

Процедура управления конфигурацией

Процедура управления конфигурацией определяет шаги, предпринимаемые для изменения состояния компьютерных систем, сетевых устройств и программных компонентов. Целью данной процедуры является идентификация соответствующих изменений во избежание их ошибочного расценивания как инцидентов, связанных с нарушением безопасности, и для проверки новой конфигурации с точки зрения безопасности.

Вопрос эксперту

Вопрос. Действительно ли необходимо тестировать процедуру IRP?

Ответ. Да, это так. Процедура обработки инцидентов, как правило, выполняется не ежедневно и даже не еженедельно. Только имея опыт, можно безошибочно определять ту или иную ситуацию при исследовании инцидента. Ничто не может заменить регулярные упражнения.

Начальное состояние системы

Когда новая система начинает работу, это состояние следует задокументировать. Как минимум, в этой документации необходимо указывать следующие параметры:

  • операционную систему и ее версию;
  • уровень обновления;
  • работающие приложения и их версии;
  • начальные конфигурации устройств, программные компоненты и приложения.

Кроме того, может понадобиться создать криптографические проверочные суммы для всех системных файлов и любых других файлов, которые не должны изменяться в процессе функционирования системы.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Андрей Кравцов
Андрей Кравцов
Россия