2018-02-13
609
Програма безпеки, прийнята організацією, повинна передбачати набір оперативних заходів, спрямованих на виявлення та нейтралізацію порушень режиму інформаційної безпеки (інцидентів).
Важливо, щоб у подібних випадках послідовність дій була спланована заздалегідь, оскільки заходи потрібно приймати термінові і скоординовані.
Реакція на порушення режиму безпеки переслідує три головні цілі:
· локалізація інциденту і зменшення наноситься шкоди;
· виявлення порушника;
· попередження повторних порушень.
В організації повинна бути людина, доступний 24 години на добу (особисто, по телефону, пейджеру або електронною поштою), який відповідає за реакцію на порушення. Всі повинні знати координати цієї людини і звертатися до нього при перших ознаках небезпеки. Загалом, як при пожежі, потрібно знати, куди телефонувати, і що робити до приїзду пожежної команди.
Важливість швидкої та скоординованої реакції можна продемонструвати на наступному прикладі. Нехай локальна мережа підприємства складається з двох сегментів, що адмініструються різними людьми. Далі, нехай в один з сегментів був внесений вірус. Майже напевно через кілька хвилин (або, в крайньому випадку, кілька десятків хвилин) вірус пошириться і на інший сегмент. Значить, заходи потрібно прийняти негайно. "Вичищати" вірус необхідно одночасно в обох сегментах;у противному випадку сегмент, відновлений першим, заразиться від іншого, а потім вірус повернеться і в другій сегмент.
|
|
|
Нерідко вимога локалізації інциденту і зменшення наноситься шкоди вступає в конфлікт з бажанням виявити порушника. У політиці безпеки організації пріоритети повинні бути розставлені заздалегідь. Оскільки, як показує практика, виявити зловмисника дуже складно, на наш погляд, в першу чергу слід дбати про зменшення шкоди.
Щоб знайти порушника, потрібно заздалегідь з'ясувати контактні координати постачальника мережевих послуг і домовитися з ним про саму можливість і порядок виконання відповідних дій. Більш детально дана тема розглядається у статті Н. Браунлі і Е.Гатмена "Як реагувати на порушення інформаційної безпеки (RFC 2350, BCP 21)" (Jet Info, 2000, 5).
Щоб запобігти повторні порушення, необхідно аналізувати кожен інцидент, виявляти причини, накопичувати статистику. Які джерела зловмисних програм?Які користувачі мають звичай вибирати слабкі паролі? На подібні питання і повинні дати відповідь результати аналізу.
Необхідно відслідковувати появу нових уразливих місць і як можна швидше ліквідувати асоційовані з ними вікна небезпеки. Хто-то в організації повинен займатися цей процес, приймати короткотермінові заходи і коригувати програму безпеки для прийняття довгострокових заходів.
|
|
|
Планування відновлювальних робіт
Жодна організація не застрахована від серйозних аварій, викликаних природними причинами, діями зловмисника, халатністю або некомпетентністю. У той же час, у кожній організації є функції, які керівництво вважає критично важливими, вони повинні виконуватися незважаючи ні на що. Планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити збитки від них і зберегти здатність до функціонування хоча б у мінімальному обсязі.
Зазначимо, що заходи інформаційної безпеки можна розділити на три групи, залежно від того, спрямовані вони на попередження, виявлення або ліквідацію наслідків атак. Більшість заходів носить попереджувальний характер. Оперативний аналіз реєстраційної інформації та деякі аспекти реагування на порушення (так званий активний аудит) служать для виявлення і відбиття атак. Планування відновлювальних робіт, очевидно, можна віднести до останньої з трьох перерахованих груп.
Процес планування відновлювальних робіт можна розділити на наступні етапи:
· виявлення критично важливих функцій організації, встановлення пріоритетів;
· ідентифікація ресурсів, необхідних для виконання критично важливих функцій;
· визначення переліку можливих аварій;
· розробка стратегії відновлювальних робіт;
· підготовка до реалізації обраної стратегії;
· перевірка стратегії.
Плануючи відновлювальні роботи, слід віддавати собі звіт в тому, що повністю зберегти функціонування організації не завжди можливо. Необхідно виявити критично важливі функції, без яких організація втрачає своє обличчя, і навіть серед критичних функцій розставити пріоритети, щоб якомога швидше і з мінімальними витратами відновити роботу після аварії.
Ідентифікуючи ресурси, необхідні для виконання критично важливих функцій, слід пам'ятати, що багато з них мають некомп'ютерний характер. На даному етапі бажано підключати до роботи фахівців різного профілю, здатних у сукупності охопити всі аспекти проблеми. Критичні ресурси зазвичай відносяться до однієї з наступних категорій:
· персонал;
· інформаційна інфраструктура;
· фізична інфраструктура.
Складаючи списки відповідальних фахівців, слід враховувати, що деякі з них можуть безпосередньо постраждати від аварії (наприклад, від пожежі), хтось може перебувати в стані стресу, частина співробітників, можливо, буде позбавлена можливості потрапити на роботу (наприклад,у разі масових безладів).Бажано мати деякий резерв фахівців або заздалегідь визначити канали, за якими можна на час залучити додатковий персонал.
Інформаційна інфраструктура включає в себе наступні елементи:
· комп'ютери;
· програми і дані;
· інформаційні сервіси зовнішніх організацій;
· документацію.
Потрібно підготуватися до того, що на "запасному аеродромі", куди організація буде евакуйована після аварії, апаратна платформа може відрізнятися від початкової. Відповідно, слід продумати заходи підтримки сумісності за програмами і даними.
Серед зовнішніх інформаційних сервісів для комерційних організацій, ймовірно, важливіше за все отримати оперативну інформацію і зв'язок з державними службами, що займаються даний сектор економіки.
Документація важлива хоча б тому, що не вся інформація, з якою працює організація, представлена в електронному вигляді. Швидше за все, план відновлювальних робіт надрукований на папері.
До фізичної інфраструктурі відносяться будівлі, інженерні комунікації, засоби зв'язку, оргтехніка та багато іншого. Комп'ютерна техніка не може працювати в поганих умовах, без стабільного електроживлення і т.п.
|
|
|
Аналізуючи критичні ресурси, доцільно врахувати тимчасової профіль їх використання. Більшість ресурсів потрібні постійно, але в деяких потреба може виникати лише в певні періоди (наприклад, в кінці місяця чи року при складанні звіту).
При визначенні переліку можливих аварій потрібно спробувати розробити їхні сценарії. Як будуть розвиватися події?Які можуть виявитися масштаби лиха? Що станеться з критичними ресурсами? Наприклад, чи зможуть співробітники потрапити на роботу? Чи будуть виведені з ладу комп'ютери? Чи можливі випадки саботажу? Чи буде працювати зв'язок? Постраждає чи будівлю організації?Чи можна буде знайти і прочитати необхідні папери?
Стратегія відновлювальних робіт повинна базуватися на готівкових ресурсах і бути не надто витратною організації. При розробці стратегії доцільно провести аналіз ризиків, яким піддаються критичні функції, і спробувати вибрати найбільш економічне рішення.
Стратегія повинна передбачати не тільки роботу за тимчасовою схемою, а й повернення до нормального функціонування.
Підготовка до реалізації обраної стратегії полягає у виробленні плану дій в екстрених ситуаціях і після їх закінчення, а також у забезпеченні деякої надмірності критичних ресурсів. Останнє можливо і без великої витрати коштів, якщо укласти з однією чи кількома організаціями угоди про взаємну підтримку у випадку аварій - ті, хто не постраждав, надають частину своїх ресурсів у тимчасове користування менш вдалим партнерам.
Надмірність забезпечується також заходами резервного копіювання, зберіганням копій в декількох місцях, поданням інформації в різних видах (на папері та в файлах) і т.д.
Має сенс укласти угоду з постачальниками інформаційних послуг про першочерговий обслуговуванні в критичних ситуаціях або укладати угоди з кількома постачальниками. Правда, ці заходи можуть вимагати певних витрат.
Перевірка стратегії проводиться шляхом аналізу підготовленого плану, прийнятих і намічених заходів.
