Фиксация и документирование инцидентов ИБ и действий: третий уровень организационно-распорядительной документации СИБ
Введение
Поддержание СИБ организации в состоянии, соответствующем актуальным угрозам информационной безопасности (ИБ), невозможно без четко выстроенных и функционирующих процессов обнаружения и реагирования на инциденты ИБ, а также без проведения периодического анализа, оценки эффективности и совершенствования этих процессов. Для своевременного получения достоверной информации о функционировании и результативности процессов обнаружения и реагирования на инциденты ИБ в организации должна вестись соответствующая отчетность. В общем случае к такой отчетности могут быть отнесены свидетельства деятельности по обнаружению и реагированию на инциденты ИБ. Такие свидетельства возникают при ведении реестра событий ИБ и инцидентов ИБ, в процессе сбора и фиксации информации, относящейся к инцидентам ИБ, а также при накоплении и использовании базы знаний по этим инцидентам. Отчетность, возникающая при функционировании процессов обнаружения и реагирования на инциденты ИБ, может использоваться в различных целях. Прежде всего – для повышения эффективности СИБ и ее развития. Во-вторых, отчетность может использоваться для обеспечения оперативности дисциплинарного процесса в организации и корректности результатов его функционирования. Также отчетность будет востребована правоохранительными органами, уполномоченными расследовать преступления в области компьютерной информации и безопасности критической информационной инфраструктуры, в рамках проводимых оперативно-розыскных мероприятий.Повышение эффективности функционирования и развития СИБ организации
Анализ эффективности действующей СИБ организации
Для повышения эффективности процессов обнаружения и реагирования на инциденты ИБ необходимо внимательно анализировать то, как именно СИБ реагирует на инциденты ИБ. В процессе этого анализа должны быть выявлены и зафиксированы в отчетах:- результаты контроля выполнения процессов обнаружения и реагирования на инциденты ИБ;
- подробные сведения об инцидентах ИБ и затронутых инцидентами информационных ресурсах, фактических и потенциальных последствиях инцидентов ИБ.
- корректировки действующих процессов обнаружения инцидентов ИБ и реагирования на них;
- корректировки состава участников (сотрудников, подразделений), привлекаемых к обнаружению и реагированию на инциденты ИБ;
- актуализации требований к профессиональной квалификации сотрудников, привлекаемых к обнаружению и реагированию на инциденты ИБ;
- актуализации действующего порядка взаимодействия участников процесса обнаружения и реагирования на инциденты ИБ;
- корректировки процессов эксплуатации и обеспечения функционирования информационных систем [1].
Отчетность по инцидентам ИБ в рамках действующей СИБ
Отчет об инциденте ИБ обеспечивает информацией о данном инциденте ответственных лиц в организации. В связи с этим отчет должен содержать максимальное количество доступной и достоверной информации о произошедшем инциденте ИБ, что означает в том числе фиксацию информации обо всех действиях лиц, участвующих в выявлении инцидентов ИБ и ликвидации их последствий [2]. Отчет об инциденте ИБ [3] должен содержать информацию, которая позволит ответить на следующие вопросы:- Когда, кем и с помощью каких средств был обнаружен инцидент ИБ (какие элементы СИБ были вовлечены в процесс реагирования на инцидент ИБ).
- Каков состав технических параметров инцидента ИБ.
- Какие мероприятия проводились при реагировании на инцидент ИБ.
- Какие действия по реагированию на инциденты ИБ оказались наиболее эффективными.
- Какие действия по реагированию на инциденты ИБ были наименее эффективными.
Отчет об инциденте ИБ |
|||
1. № | |||
2. Наименование ИС: | |||
3. Дата и время заполнения: | |||
4. Должность и ФИО лица, ответственного за регистрацию инцидента ИБ | |||
5. Основные сведения об инциденте ИБ | |||
Дата и время и место возникновения инцидента | Нарушение конфиденциальности, целостности, доступности | Полное/частичное/ отсутствует | |
Описание нарушения функционирования ИС | Связанные события/инциденты | ||
Характеристика инцидента (кратко, тип инцидента, использованная уязвимость) | Класс инцидента (выбрать один) | НСД к ИС/ блокирование доступности элементов ИС/ непреднамеренное нарушение | |
6. Контактные данные работника, выявившего инцидент ИБ | |||
ФИО | Адрес | ||
Организация | Подразделение | ||
Телефон | |||
7. Контактные данные работника, обрабатывающего инцидент ИБ | |||
ФИО | Адрес | ||
Организация | Подразделение | ||
Телефон | |||
8. Общее описание инцидента ИБ | |||
Что произошло | |||
Как произошло | |||
Почему произошло | |||
9. Дополнительные сведения | |||
Выявленные уязвимости | |||
Сведения о средстве/способе выявления инцидента ИБ | |||
Хронология принятых мер | |||
Результат принятых мер | |||
Последствия инцидента ИБ (выбрать один вариант) | |||
10. Технические параметры (заполняются в зависимости от типа инцидента ИБ) | |||
11. Дополнительная информация |
Таблица 1. Пример формы отчета об инциденте ИБ
При заполнении формы рекомендуется указывать следующие типы инцидентов ИБ:
- Заражение вредоносным программным обеспечением
- Внедрение вредоносного программного обеспечения
- Распространение вредоносного программного обеспечения
- Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
- Попытки внедрения модулей вредоносного программного обеспечения
- Нарушение или замедление работы контролируемого информационного ресурса
- Компьютерная атака типа «отказ в обслуживании»
- Распределенная компьютерная атака типа «отказ в обслуживании»
- Несанкционированный вывод информационной системы из строя
- Непреднамеренное отключение системы
- Несанкционированный доступ (НСД) в систему
- Успешная эксплуатация уязвимости
- Компрометация учетной записи
- Попытки НСД в систему или к информации
- Попытки эксплуатации уязвимости в информационном ресурсе
- Попытки авторизации в информационном ресурсе
- Сбор сведений с использованием информационно-коммуникационных технологий
- Сканирование информационного ресурса
- Прослушивание (захват) сетевого трафика
- Социальная инженерия
- Нарушение безопасности информации
- Несанкционированное разглашение информации
- Несанкционированное изменение информации
- Распространение информации с неприемлемым содержимым
- Рассылка незапрашиваемых электронных сообщений
- Публикация запрещенной законодательством РФ информации
- Мошенничество с использованием информационно-коммуникационных технологий
- Злоупотребление при использовании информационного ресурса
- Публикация мошеннической информации
- Наличие уязвимости или недостатка конфигурации в информационном ресурсе
0. |
Регистрационный номер НКЦКИ Дата и время регистрации в НКЦКИ |
1. |
Тип уведомления:
|
2. |
Тип события ИБ |
3. |
Статус события ИБ |
4. |
Необходимость содействия НКЦКИ |
5. |
Краткое описание события ИБ |
6. |
Дата и время выявления |
7. |
Дата и время завершения |
8. |
Общие сведения о контролируемом ресурсе
|
9. |
Ограничительный маркер TLP |
10. |
Оценка последствий инцидента
|
11. |
Местоположение контролируемого ресурса
|
12. |
Владелец информационного ресурса |
13. |
Заявитель |
14. |
Технические сведения о контролируемом ресурсе
|
15. |
Технические сведения о вредоносной системе
|
16. |
Средство или способ выявления |
17. |
Описание предпринятых действий |
18. |
Контакт для связи
|
Таблица 2. Сведения, предоставляемые субъектами КИИ в НКЦКИ
Обеспечение дисциплинарного процесса
Государственными российскими стандартами по методам обеспечения ИБ отдельная роль отводится дисциплинарному процессу, призванному обеспечить уверенность в корректном и справедливом рассмотрении действий сотрудников, подозреваемых в нарушении требований ИБ. Реализация дисциплинарного процесса позволяет обеспечить дифференцированное реагирование на должностной проступок сотрудника, связанный с нарушением требований ИБ, в зависимости от типа, тяжести нарушения и его негативного влияния на деятельность организации. Также могут учитываться такие факторы, как кратность совершения нарушения (впервые или повторно), наличие предварительной подготовки, отдельные положения применимого законодательства и др. В необходимых случаях дисциплинарный процесс должен обеспечивать возможность безотлагательного аннулирования прав доступа сотрудников к информационным ресурсам и отстранение сотрудника от выполнения должностных обязанностей. Дисциплинарный процесс можно использовать и как сдерживающее средство для предотвращения совершения сотрудниками, подрядчиками и представителями третьих лиц нарушений требований ИБ, принятых в организации. Отдельно необходимо отметить, что дисциплинарный процесс инициируется только после проверки достоверности информации об инциденте ИБ [4]. И, конечно, при сборе и представлении доказательств вины сотрудника для целей дисциплинарных воздействий необходимо соблюдать требования трудового законодательства Российской Федерации. Правила, применяемые в отношении сбора доказательств, предусматривают допустимость доказательств (то есть может ли доказательство использоваться в суде при разрешении трудовых конфликтов) и весомость доказательств (то есть их качество и полнота). Способы первичного документирования информации об инцидентах ИБ должны обеспечивать придание юридической значимости собираемой информации, для чего рекомендуется руководствоваться следующими принципами:- хранение собранной информации об инцидентах ИБ должно осуществляться безопасным образом на машинных носителях «только для чтения»;
- при сборе информации об инцидентах ИБ должны присутствовать не менее двух лиц, действия которых должны протоколироваться;
- необходимо документировать и хранить вместе с собранной информацией описания сервисных команд, использованных для выполнения сбора информации об инцидентах ИБ;
- целесообразно осуществлять сбор и анализ данных смежных ИС, сервисов и (или) сетей;
- для бумажных документов: оригинал должен храниться безопасным способом, сведения о лице, нашедшем документ, месте и времени нахождения документа, свидетелях находки должны быть зафиксированы;
- для информации на машинных носителях: «зеркальное отображение» или копирование (в зависимости от применимых требований) любых съемных носителей, информации на жестких дисках или основной памяти компьютера следует выполнять таким образом, чтобы обеспечить доступность. Необходимо сохранить журнал регистрации всех действий в течение процесса копирования, а сам процесс копирования должен быть формализован. При хранении оригиналов носителей информации и журналов регистрации (если это не представляется возможным, то, по крайней мере, один зеркальный образ или копию) должна обеспечиваться их целостность, само хранение должно осуществляться безопасным способом.
Состав и сроки хранения отчетности по процессам обнаружения и реагирования на инциденты ИБ
Как было сказано выше, наличие отчетности по процессам обнаружения и реагирования на инциденты ИБ позволяет корректно определить причины произошедшего инцидента ИБ и причастных лиц. Однако для формирования статистики по инцидентам ИБ, проведения ретроспективного анализа, определения путей развития СИБ организации, необходимо наличие отчетности за определенный, иногда довольно значительный, период. Соответственно, в организации должны быть определены сроки хранения отчетности по обнаружения и реагирования на инциденты ИБ. Требования по фиксации и документированию сведений о событиях и инцидентах ИБ устанавливаются приказами ФСТЭК России, касающимися операторов информационных систем персональных данных [5] и государственных информационных систем [6], а также субъектов критической информационной инфраструктуры в отношении значимых объектов критической информационной инфраструктуры [7], [8]. А вот состав и содержание информации о событиях безопасности, подлежащих обязательной регистрации, отражен в методических документах ФСТЭК России и ФСБ России [9], [10]. Так, субъекты критической информационной инфраструктуры обязаны предоставлять в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации перечень информации, приведенный в таблице 3. [10]№ |
Информация о: |
1. |
дате и времени компьютерного инцидента |
2. |
месте нахождения или географическом местоположении объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент |
3. |
наличии причинно-следственной связи между компьютерным инцидентом и компьютерной атакой |
4. |
связи с другими компьютерными инцидентами (при наличии) |
5. |
составе технических параметров компьютерного инцидента |
6. |
последствиях компьютерного инцидента |
Таблица 3. Перечень информации о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры
Сведения о регистрируемых событиях безопасности в журналах регистрации должны при необходимости содержать:
- идентификаторы пользователей;
- даты, время и детали ключевых событий, например, начало сеанса и завершение сеанса;
- идентичность и местоположение терминала, если это возможно;
- успешные/неуспешные попытки доступа к системе;
- успешные/неуспешные попытки доступа к данным или другим ресурсам;
- изменения конфигурации системы;
- использование привилегий;
- использование системных утилит и прикладных программ;
- файлы, к которым был осуществлен доступ, и вид доступа;
- сетевые адреса и протоколы;
- сигналы тревоги, подаваемые системой управления доступом;
- сведения об активации и деактивации систем/средств защиты (например, антивирусных систем и систем обнаружения вторжения).
Мировой опыт
В зарубежных практиках обеспечения ИБ также содержатся требования к процессу управления записями, а документирование свидетельств функционирования СИБ считается неотъемлемой частью системы управления ИБ организации. В корректно функционирующей СИБ организации свидетельства функционирования СИБ (записи) ведутся по всем важным с точки зрения ИБ действиям и событиям по каждому из процессов, входящих в состав системы управления ИБ. В общем случае к свидетельствам функционирования СИБ (записям) относятся:- заявки на предоставление доступа к информационным ресурсам, например, к ресурсам сети Интернет;
- перечень пользователей, подключенных к сети Интернет, с указанием профиля доступа;
- журналы прокси-сервера о доступе пользователей к ресурсам сети Интернет;
- журналы системы обнаружения вторжений (IDS) в сегменте сети, расположенном в демилитаризованной зоне (DMZ);
- отчеты о вторжениях в DMZ, обнаруженных IDS;
- акты проведения проверки конфигурации межсетевого экрана;
- записи в системных журналах операционных систем, СУБД и ИС;
- реестры информационных активов;
- записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т. п. [12].
Отчетная документация при использовании СКЗИ
При расследовании инцидентов ИБ очень важна дисциплина ведения и хранения учетных и отчетных документов, возникающих в процессе использования средств криптографической защиты информации (СКЗИ). К учетным документам, образующимся в процессе функционирования СКЗИ, относятся:- журнал поэкземплярного учета используемых СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
- лицевые счета пользователей СКЗИ и ведомости учета обслуживаемых обладателей конфиденциальной информации, а также лиц, непосредственно допущенных к работе с СКЗИ;
- журнал учета машинных носителей персональных данных с указанием регистрационных (заводских) номеров;
- реестр заявок на изготовление ключевых документов или исходной ключевой информации и т. д. [13, 14].
- заключения о возможности эксплуатации СКЗИ;
- протоколы обучения лиц, использующих СКЗИ;
- акты расследований и заключения по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации;
- акты уничтожения ключевых документов, СКЗИ, эксплуатационной и технической документации и т. д. [13, 14].
Отчетная документация СИБ организации при проведении правоохранительными органами расследований уголовных преступлений
Отдельно отметим важную роль отчетности при проведении специальной информационно-технологической судебной экспертизы в рамках расследования уголовных дел по компьютерным преступлениям, в том числе связанных с нарушением правил эксплуатации компьютерного оборудования [15]. При расследовании преступлений данной категории особое значение имеет наличие и ведение журналов (либо других видов документов) учета работы операторов информационных систем, регистрация сбойных/аварийных ситуаций и обращений в компьютерную систему или сеть [16]. Используемые источники: [1] «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» РС БР ИББС-2.5-2014».[2] ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
[3] Руководство по реагированию на инциденты информационной безопасности АОИТ«ЛАБОРАТОРИЯ КАСПЕРСКОГО».
[4] ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
[5] Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[6] Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
[7] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
[8] Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
[9] Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
[10] Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
[11] Методические рекомендации НКЦКИ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.
[12] Международный стандарт ISO/IEC 27001:2013 (E) «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования».
[13] «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13.06.2001 № 152.
[14] Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
[15] Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ.
[16] «Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации» (утв. Генпрокуратурой России).
Автор:
Валерий Комаров, начальник отдела обеспечения осведомленности, Управление ИБ, ДИТ города Москвы.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru