Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Управление инцидентами информационной безопасности

Мелькин П.В.
выпускник группы MBA CSO-05
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Публикуемые в настоящее время аналитические отчеты  фиксируют рост количества инцидентов информационной безопасности (ИБ)  как в мире, так и в России.   Средства защиты уже не способны в полной  мере эффективно противостоять существующим  киберугрозам. Стирание границ корпоративных сетей,  повышение мобильности пользователей, увеличение количества приложений, приводят к появлению большого числа разнообразных средств защиты информации которые в свою очередь создают значительное количество информации, которую необходимо регулярно анализировать для оценки защищенности корпоративной инфраструктуры, выявлять b управлять инцидентами информационной безопасности.

В дипломной работе проводится исследование процесса управления инцидентами информационной безопасности (ИБ) на примере реализации в коммерческом банке.

Целью данной работы является повышение уровня защищенности ресурсов за счет эффективного управления инцидентами ИБ.
Задачами дипломной работы являются:

  • оценка существующих методов управления инцидентами информационной безопасности;
  • создание  оптимальной программы управления инцидентами ИБ;
  • выбор средств автоматизации процесса.

Актуальность темы дипломной работы определяется:

  • увеличением количества инцидентов ИБ имеющих как внутренний, так и внешний характер в банках и, в частности, в системах дистанционного банковского обслуживания, приводящих к высокому экономическому ущербу и негативно влияющие на деловую репутацию;
  • требованиями законодательных и нормативных актов.

В первом разделе рассмотрены основные стандарты и практики управления инцидентами ИБ: Международный и национальный стандарты ISO/TEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001:2006, ГОСТ Р ИСО/МЭК 18044:2007, Рекомендации в области стандартизации Банка России. РС БР ИББС 2.5 2014, ISO/IEС 27035:2011,  NIST SP 80061 и другие.

В зависимости от задач и структуры организации не все требовании и рекомендации могут быть реализованы на практике, организация должна тщательно подойти к построению системы управления процессами ИБ.

Во втором разделе  рассмотрены понятия событие ИБ и инцидент ИБ, подробно рассмотрен процесс управления инцидентами информационной безопасности, определены цели и задачи.
Этапы процесса управления инцидентами ИБ:

  • подготовка;
  • обнаружение событий и инцидентов ИБ и оповещения о них;
  •  обработка и систематизация событий и инцидентов ИБ;
  •  реагирования на инциденты ИБ.

Рассматривается применение цикла Деминга  и основанная на нем модель непрерывного улучшения процессов PDCA.

Результаты, получаемые в процессе управления инцидентами ИБ, являются необходимыми для работы других процессов управления ИБ, в том числе проведения оценки рисков ИБ, аудита, управления изменениями, доступом и непрерывностью бизнеса, оценки эффективности существующих защитных мер.

Ключевые задачами управления инцидентами:

  • установить способ проникновения в систему;
  • выяснить мотивацию и цели злоумышленника;
  • установить личность злоумышленника;
  • реализовать меры, исключающие повторение инцидента;
  • обеспечить возмещение нанесенного ущерба;
  • устранить уязвимостей, ставшие причиной инцидента.

Разработка и реализация процесса управления инцидентами ИБ в соответствии с лучшими практиками обеспечивает следующее:

  • четкое определение ролей и ответственности всех специалистов за качественное и своевременное реагирование на инциденты ИБ;
  • предоставление оперативной информации для мониторинга эффективности принимаемых защитных мер;
  • предоставление необходимой информации для корректного проведения анализа рисков ИБ;

В практической части  подробно рассмотрена политика и программа управления инцидентами ИБ.

Программа управления инцидентами ИБ или план реагирования на инциденты ИБ, предназначена для создания подробной документации, описывающей процессы и процедуры обработки инцидентов и оповещения о них. Эта программа приводится в действие при обнаружении события ИБ и используется в качестве руководства при следующих действиях:

  • реагировании на события ИБ;
  • определении того, являются ли события ИБ инцидентами ИБ;
  • управлении инцидентами ИБ до их разрешения;
  • извлечении уроков при обработке инцидентов ИБ, а также выработке необходимых улучшений системы и/или ИБ в целом;
  • реализации идентифицированных улучшений.

Описывается деятельность группы реагирования на инциденты ИБ (ГРИИБ). Члены ГРИИБ участвуют в снижении физического и финансового ущерба, а также ущерба репутации для организации, связанного с инцидентами ИБ.

Особое внимание уделено проведению расследований и сохранению доказательств инцидента ИБ.

Подробно рассмотрены действия для управления инцидентами в системах дистанционного банковского обслуживания (ДБО) которые являются наиболее критичными с точки зрения возможного ущерба и привлекательными для злоумышленников.

Ежедневно средства защиты могут регистрировать множество событий ИБ, имеющих разные происхождение и последствия. Анализировать данный поток  выявлять и обрабатывать события для получения информации об инцидентах ИБ, может оказаться затруднительным. Для решения задачи управления потоком событий ИБ, получаемых от средств защиты, и для автоматизации ряда процессов управления инцидентами ИБ используются автоматизированные средства управления событиями ИБ системы класса SIEM (Security Information and Event Management). Эти системы позволяют достичь следующих целей при управлении ИБ:

  • получить информацию о реальном состоянии уровня защищенности активов организации;
  • провести обоснованный анализ и управление рисками ИБ организации;
  • обнаружить расхождения и привести активы, бизнес-процессы в соответствии с внутренними политиками ИБ, требованиями регуляторов и аудиторов;
  • формализовать и осуществить эффективное принятие решений в области ИБ;
  • своевременно устранить или снизить риски ИБ.

При этом обязательно учитывается организация и документирование процесса идентификации, обработки, закрытия, хранения и удаления инцидентов ИБ.  Для банков также актуально наличие средств, для формирования отчетов об инцидентах ИБ предназначенное помогать как техническим специалистам, так и руководству осуществлять контроль над выполнением политик и требований по обеспечению ИБ. Для этого в системе должны быть предустановленны правила и механизмы контроля соблюдения отраслевых стандартов и требований законодательства. В данной работе рассматривается продукт R-Vision, каждый из модулей которого обеспечивает автоматизацию определенного процесса: управление инцидентами информационной безопасности, управление рисками информационной безопасности, аудит ИБ на соответствие требований по информационной безопасности.

Теоретическая ценность работы состоит в развитии и совершенствовании методологии управления инцидентами информационной безопасности в банке.

Практическая ценность состоит в том, что ее результаты позволяют повысить уровень защищенности ресурсов банка за счет эффективного управления инцидентами ИБ.

Рубрика: 
Информационная безопасность
Ваша оценка: Пусто Средняя: 10 (4 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009