2015-05-10
901
Занесение информации о событии ИБ в реестр (журнал) информационной безопасности осуществляется в соответствии с регламентом и предполагает хранение информации об инциденте, позволяющей осуществить расследование его причин. На основе сведений об инциденте осуществляется его категоризация, а также инциденту присваивается уровень приоритета, соответствующий значимости события и его возможному влиянию на бизнес-процессы. В случае, если инцидент является повторным, либо если для категории событий, к которой он относится, определен список мер, осуществляемых при наступлении инцидента, возможен автоматический запуск сценария защиты от негативных последствий инцидента. Для эффективной обработки разнородных событий ИБ при добавлении инцидента в журнал необходимо осуществить так называемую «нормализацию», то есть, привести информацию к виду, с которым работает система. Еще одним звеном в обработке данных является фильтрация поступающего потока данных, с целью исключить дублирующие события, ошибочную и избыточную информацию. Некоторые системы позволяют осуществлять объединение взаимосвязанных событий, поступающих от различных источников, на основе их анализа и/или заложенных признаков. Это весьма полезный инструмент как для снижения нагрузки, связанной с дальнейшей обработкой событий, так и для облегчения задач расследования инцидентов и аудита ИБ.
|
|
|
Приоритезация, то есть, определение значимости инцидента, пропорциональной его степени угрозы, происходит на основании заложенных либо определяемых администратором системы ИБ признаков. От значения приоритета, присвоенного событию, зависит то, насколько оперативно будет производиться его обработка, расследование и какие ресурсы будут задействованы.
После того, как инцидент был зафиксирован и помещен в базу данных, он оказывается подвергнут процедуре обработки инцидентов, принятой в организации. Конкретные действия могут быть самыми разными, в зависимости от сути, значимости и масштабов события – от автоматического блокирования отдельной учетной записи и до остановки бизнес-процессов с уведомлением об инциденте высшего руководства компании и правоохранительных органов.
Существующие стандарты для процедуры обработки инцидентов базируются на классической модели непрерывного улучшения процессов – PDCA (Планируй, Plan — Выполняй, Do — Проверяй, Check — Действуй, Act).
Вопрос 24
Система защиты информации
1. Действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации от всех выявленных угроз и возможных каналов утечки.
2. Комплекс организационных и технических мероприятий по защите информации, проведенный на объекте с применением необходимых технических средств и способов в соответствии с концепцией, целью и замыслом защиты [109].
3. Совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации [47].
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
1. Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, "перекрывающих" потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
4. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяженным последовательным линиям, от утечки.
Понятие "шифрование" часто употребляется в связи с более общим понятием криптографии. Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации.
|
|
|
Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника
