Фиксация и документирование инцидентов ИБ и действий: третий уровень организационно-распорядительной документации СИБ

Введение

Поддержание СИБ организации в состоянии, соответствующем актуальным угрозам информационной безопасности (ИБ), невозможно без четко выстроенных и функционирующих процессов обнаружения и реагирования на инциденты ИБ, а также без проведения периодического анализа, оценки эффективности и совершенствования этих процессов. Для своевременного получения достоверной информации о функционировании и результативности процессов обнаружения и реагирования на инциденты ИБ в организации должна вестись соответствующая отчетность.

В общем случае к такой отчетности могут быть отнесены свидетельства деятельности по обнаружению и реагированию на инциденты ИБ. Такие свидетельства возникают при ведении реестра событий ИБ и инцидентов ИБ, в процессе сбора и фиксации информации, относящейся к инцидентам ИБ, а также при накоплении и использовании базы знаний по этим инцидентам.

Отчетность, возникающая при функционировании процессов обнаружения и реагирования на инциденты ИБ, может использоваться в различных целях. Прежде всего – для повышения эффективности СИБ и ее развития. Во-вторых, отчетность может использоваться для обеспечения оперативности дисциплинарного процесса в организации и корректности результатов его функционирования. Также отчетность будет востребована правоохранительными органами, уполномоченными расследовать преступления в области компьютерной информации и безопасности критической информационной инфраструктуры, в рамках проводимых оперативно-розыскных мероприятий.

Повышение эффективности функционирования и развития СИБ организации

Анализ эффективности действующей СИБ организации

Для повышения эффективности процессов обнаружения и реагирования на инциденты ИБ необходимо внимательно анализировать то, как именно СИБ реагирует на инциденты ИБ. В процессе этого анализа должны быть выявлены и зафиксированы в отчетах:

• результаты контроля выполнения процессов обнаружения и реагирования на инциденты ИБ;
• подробные сведения об инцидентах ИБ и затронутых инцидентами информационных ресурсах, фактических и потенциальных последствиях инцидентов ИБ.

По данным отчетов и результатам анализа процессов обнаружения инцидентов ИБ и реагирования на них формируется соответствующая статистика.

На основе результатов анализа эффективности СИБ при реагировании на инциденты ИБ готовятся предложения по совершенствованию СИБ организации в части, касающейся:

• корректировки действующих процессов обнаружения инцидентов ИБ и реагирования на них;
• корректировки состава участников (сотрудников, подразделений), привлекаемых к обнаружению и реагированию на инциденты ИБ;
• актуализации требований к профессиональной квалификации сотрудников, привлекаемых к обнаружению и реагированию на инциденты ИБ;
• актуализации действующего порядка взаимодействия участников процесса обнаружения и реагирования на инциденты ИБ;
• корректировки процессов эксплуатации и обеспечения функционирования информационных систем [1].

Таким образом, проведение анализа эффективности СИБ при реагировании на инциденты ИБ дает возможность определить наиболее проблемные (с точки зрения подверженности инцидентам ИБ) сегменты и компоненты информационной инфраструктуры организации, выявить наиболее существенные уязвимости и недостатки в обеспечении ИБ, оценить достаточность принятых мер и выделенных ресурсов для реагирования на инциденты ИБ.

Также рекомендуется анализировать тенденции к появлению новых или модификации существующих угроз ИБ, которые могут указывать на потребности в совершенствовании СИБ организации.

Отчетность по инцидентам ИБ в рамках действующей СИБ

Отчет об инциденте ИБ обеспечивает информацией о данном инциденте ответственных лиц в организации. В связи с этим отчет должен содержать максимальное количество доступной и достоверной информации о произошедшем инциденте ИБ, что означает в том числе фиксацию информации обо всех действиях лиц, участвующих в выявлении инцидентов ИБ и ликвидации их последствий [2].

Отчет об инциденте ИБ [3] должен содержать информацию, которая позволит ответить на следующие вопросы:

1. Когда, кем и с помощью каких средств был обнаружен инцидент ИБ (какие элементы СИБ были вовлечены в процесс реагирования на инцидент ИБ).
2. Каков состав технических параметров инцидента ИБ.
3. Какие мероприятия проводились при реагировании на инцидент ИБ.
4. Какие действия по реагированию на инциденты ИБ оказались наиболее эффективными.
5. Какие действия по реагированию на инциденты ИБ были наименее эффективными.

Пример формы отчета об инциденте ИБ приведен в таблице:

Отчет об инциденте ИБ
1. №
2. Наименование ИС:
3. Дата и время заполнения:
4. Должность и ФИО лица, ответственного за регистрацию инцидента ИБ
5. Основные сведения об инциденте ИБ
Дата и время и место возникновения инцидента		Нарушение конфиденциальности, целостности, доступности	Полное/частичное/ отсутствует
Описание нарушения функционирования ИС		Связанные события/инциденты
Характеристика инцидента (кратко, тип инцидента, использованная уязвимость)		Класс инцидента (выбрать один)	НСД к ИС/ блокирование доступности элементов ИС/ непреднамеренное нарушение
6. Контактные данные работника, выявившего инцидент ИБ
ФИО		Адрес
Организация		Подразделение
Телефон		E-mail
7. Контактные данные работника, обрабатывающего инцидент ИБ
ФИО		Адрес
Организация		Подразделение
Телефон		E-mail
8. Общее описание инцидента ИБ
Что произошло
Как произошло
Почему произошло
9. Дополнительные сведения
Выявленные уязвимости
Сведения о средстве/способе выявления инцидента ИБ
Хронология принятых мер
Результат принятых мер
Последствия инцидента ИБ (выбрать один вариант)
10. Технические параметры (заполняются в зависимости от типа инцидента ИБ)
11. Дополнительная информация

При заполнении формы рекомендуется указывать следующие типы инцидентов ИБ:

1. Заражение вредоносным программным обеспечением
   • Внедрение вредоносного программного обеспечения
2. Распространение вредоносного программного обеспечения
   • Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
   • Попытки внедрения модулей вредоносного программного обеспечения
3. Нарушение или замедление работы контролируемого информационного ресурса
   • Компьютерная атака типа «отказ в обслуживании»
   • Распределенная компьютерная атака типа «отказ в обслуживании»
   • Несанкционированный вывод информационной системы из строя
   • Непреднамеренное отключение системы
4. Несанкционированный доступ (НСД) в систему
   • Успешная эксплуатация уязвимости
   • Компрометация учетной записи
5. Попытки НСД в систему или к информации
   • Попытки эксплуатации уязвимости в информационном ресурсе
   • Попытки авторизации в информационном ресурсе
6. Сбор сведений с использованием информационно-коммуникационных технологий
   • Сканирование информационного ресурса
   • Прослушивание (захват) сетевого трафика
   • Социальная инженерия
7. Нарушение безопасности информации
   • Несанкционированное разглашение информации
   • Несанкционированное изменение информации
8. Распространение информации с неприемлемым содержимым
   • Рассылка незапрашиваемых электронных сообщений
   • Публикация запрещенной законодательством РФ информации
9. Мошенничество с использованием информационно-коммуникационных технологий
   • Злоупотребление при использовании информационного ресурса
   • Публикация мошеннической информации
10. Наличие уязвимости или недостатка конфигурации в информационном ресурсе

Кроме этого следует учитывать, что тем организациям, которые являются субъектами критической информационной инфраструктуры, необходимо предоставлять в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) следующие сведения:

0.	Регистрационный номер НКЦКИ Дата и время регистрации в НКЦКИ
1.	Тип уведомления: Уведомление о компьютерном инциденте Уведомление о компьютерной атаке Уведомление об уязвимости
2.	Тип события ИБ
3.	Статус события ИБ
4.	Необходимость содействия НКЦКИ
5.	Краткое описание события ИБ
6.	Дата и время выявления
7.	Дата и время завершения
8.	Общие сведения о контролируемом ресурсе Наименование Сфера функционирования Информация о категорировании ОКИИ Наличие подключения к сетям связи
9.	Ограничительный маркер TLP
10.	Оценка последствий инцидента Влияние на доступность Влияние на конфиденциальность Влияние на целостность Дополнительные сведения о последствиях
11.	Местоположение контролируемого ресурса Страна Регион Населенный пункт или геокоординаты
12.	Владелец информационного ресурса
13.	Заявитель
14.	Технические сведения о контролируемом ресурсе IPv4-адрес атакованного ресурса IPv6-адрес атакованного ресурса Доменное имя атакованного ресурса URI-адрес атакованного ресурса Email-адрес атакованного объекта Атакованная сетевая служба и порт/протокол
15.	Технические сведения о вредоносной системе IPv4-адрес вредоносной системы IPv6-адрес вредоносной системы Доменное имя вредоносной системы URI-адрес вредоносной системы Email-адрес вредоносного объекта Описание используемых уязвимостей Хеш-сумма вредоносного модуля
16.	Средство или способ выявления
17.	Описание предпринятых действий
18.	Контакт для связи ФИО Телефон Email

Обеспечение дисциплинарного процесса

Государственными российскими стандартами по методам обеспечения ИБ отдельная роль отводится дисциплинарному процессу, призванному обеспечить уверенность в корректном и справедливом рассмотрении действий сотрудников, подозреваемых в нарушении требований ИБ.

Реализация дисциплинарного процесса позволяет обеспечить дифференцированное реагирование на должностной проступок сотрудника, связанный с нарушением требований ИБ, в зависимости от типа, тяжести нарушения и его негативного влияния на деятельность организации. Также могут учитываться такие факторы, как кратность совершения нарушения (впервые или повторно), наличие предварительной подготовки, отдельные положения применимого законодательства и др.

В необходимых случаях дисциплинарный процесс должен обеспечивать возможность безотлагательного аннулирования прав доступа сотрудников к информационным ресурсам и отстранение сотрудника от выполнения должностных обязанностей.

Дисциплинарный процесс можно использовать и как сдерживающее средство для предотвращения совершения сотрудниками, подрядчиками и представителями третьих лиц нарушений требований ИБ, принятых в организации. Отдельно необходимо отметить, что дисциплинарный процесс инициируется только после проверки достоверности информации об инциденте ИБ [4].

И, конечно, при сборе и представлении доказательств вины сотрудника для целей дисциплинарных воздействий необходимо соблюдать требования трудового законодательства Российской Федерации.

Правила, применяемые в отношении сбора доказательств, предусматривают допустимость доказательств (то есть может ли доказательство использоваться в суде при разрешении трудовых конфликтов) и весомость доказательств (то есть их качество и полнота).

Способы первичного документирования информации об инцидентах ИБ должны обеспечивать придание юридической значимости собираемой информации, для чего рекомендуется руководствоваться следующими принципами:

• хранение собранной информации об инцидентах ИБ должно осуществляться безопасным образом на машинных носителях «только для чтения»;
• при сборе информации об инцидентах ИБ должны присутствовать не менее двух лиц, действия которых должны протоколироваться;
• необходимо документировать и хранить вместе с собранной информацией описания сервисных команд, использованных для выполнения сбора информации об инцидентах ИБ;
• целесообразно осуществлять сбор и анализ данных смежных ИС, сервисов и (или) сетей;
• для бумажных документов: оригинал должен храниться безопасным способом, сведения о лице, нашедшем документ, месте и времени нахождения документа, свидетелях находки должны быть зафиксированы;
• для информации на машинных носителях: «зеркальное отображение» или копирование (в зависимости от применимых требований) любых съемных носителей, информации на жестких дисках или основной памяти компьютера следует выполнять таким образом, чтобы обеспечить доступность. Необходимо сохранить журнал регистрации всех действий в течение процесса копирования, а сам процесс копирования должен быть формализован. При хранении оригиналов носителей информации и журналов регистрации (если это не представляется возможным, то, по крайней мере, один зеркальный образ или копию) должна обеспечиваться их целостность, само хранение должно осуществляться безопасным способом.

Поскольку на момент обнаружения события ИБ неизвестно, приведет ли оно к необходимости дальнейшего судебного разбирательства или нет, существует опасность, что необходимое доказательство будет уничтожено (преднамеренно или случайно) до момента принятия решения о привлечении правоохранительных органов. В таких случаях для формирования процессов фиксации доказательств целесообразно привлекать юридическую службу организации.

Также необходимо иметь в виду, что сбор и оформление доказательств не может выходить за границы полномочий организации.

При проведении судебных разбирательств по инциденту ИБ должны использоваться копии доказательного материала, для которых должна быть обеспечена его (материала) целостность. Копирование доказательного материала должно контролироваться доверенным персоналом и проводиться по формализованному процессу. При этом необходимо регистрировать сведения о том, кем, когда и где осуществлялся процесс копирования, какие инструментальные средства и программы были использованы.

Состав и сроки хранения отчетности по процессам обнаружения и реагирования на инциденты ИБ

Как было сказано выше, наличие отчетности по процессам обнаружения и реагирования на инциденты ИБ позволяет корректно определить причины произошедшего инцидента ИБ и причастных лиц. Однако для формирования статистики по инцидентам ИБ, проведения ретроспективного анализа, определения путей развития СИБ организации, необходимо наличие отчетности за определенный, иногда довольно значительный, период. Соответственно, в организации должны быть определены сроки хранения отчетности по обнаружения и реагирования на инциденты ИБ.

Требования по фиксации и документированию сведений о событиях и инцидентах ИБ устанавливаются приказами ФСТЭК России, касающимися операторов информационных систем персональных данных [5] и государственных информационных систем [6], а также субъектов критической информационной инфраструктуры в отношении значимых объектов критической информационной инфраструктуры [7], [8]. А вот состав и содержание информации о событиях безопасности, подлежащих обязательной регистрации, отражен в методических документах ФСТЭК России и ФСБ России [9], [10].

Так, субъекты критической информационной инфраструктуры обязаны предоставлять в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации перечень информации, приведенный в таблице 3. [10]

№	Информация о:
1.	дате и времени компьютерного инцидента
2.	месте нахождения или географическом местоположении объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент
3.	наличии причинно-следственной связи между компьютерным инцидентом и компьютерной атакой
4.	связи с другими компьютерными инцидентами (при наличии)
5.	составе технических параметров компьютерного инцидента
6.	последствиях компьютерного инцидента

Сведения о регистрируемых событиях безопасности в журналах регистрации должны при необходимости содержать:

• идентификаторы пользователей;
• даты, время и детали ключевых событий, например, начало сеанса и завершение сеанса;
• идентичность и местоположение терминала, если это возможно;
• успешные/неуспешные попытки доступа к системе;
• успешные/неуспешные попытки доступа к данным или другим ресурсам;
• изменения конфигурации системы;
• использование привилегий;
• использование системных утилит и прикладных программ;
• файлы, к которым был осуществлен доступ, и вид доступа;
• сетевые адреса и протоколы;
• сигналы тревоги, подаваемые системой управления доступом;
• сведения об активации и деактивации систем/средств защиты (например, антивирусных систем и систем обнаружения вторжения).

Необходимо иметь в виду, что журналы регистрации событий могут содержать конфиденциальную информацию (например, персональные данные). В данном случае необходимо принять соответствующие меры защиты такой информации. Для привилегированных пользователей (администраторов) должна обеспечиваться целостность и доступность записей их действий в соответствующих журналах регистрации событий. Срок хранения информации о зарегистрированных событиях безопасности определен нормативно-методическими документами ФСБ России и составляет не менее шести месяцев.

Для организаций же банковской сферы сроки хранения информации об обнаруженных событиях ИБ устанавливаются (рекомендуются) иным образом. Информация о событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, хранится не менее пяти лет, а об иных событиях ИБ – не менее трех лет [1].

Вышеуказанные требования направлены на обеспечение сбора, записи, хранения и защиты информации о событиях безопасности в ИС, а также возможности просмотра и анализа информации о таких событиях и реагирования на них [11].

Мировой опыт

В зарубежных практиках обеспечения ИБ также содержатся требования к процессу управления записями, а документирование свидетельств функционирования СИБ считается неотъемлемой частью системы управления ИБ организации.

В корректно функционирующей СИБ организации свидетельства функционирования СИБ (записи) ведутся по всем важным с точки зрения ИБ действиям и событиям по каждому из процессов, входящих в состав системы управления ИБ.

В общем случае к свидетельствам функционирования СИБ (записям) относятся:

• заявки на предоставление доступа к информационным ресурсам, например, к ресурсам сети Интернет;
• перечень пользователей, подключенных к сети Интернет, с указанием профиля доступа;
• журналы прокси-сервера о доступе пользователей к ресурсам сети Интернет;
• журналы системы обнаружения вторжений (IDS) в сегменте сети, расположенном в демилитаризованной зоне (DMZ);
• отчеты о вторжениях в DMZ, обнаруженных IDS;
• акты проведения проверки конфигурации межсетевого экрана;
• записи в системных журналах операционных систем, СУБД и ИС;
• реестры информационных активов;
• записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т. п. [12].

Также к записям относятся результаты мониторинга ИБ, расследования инцидентов ИБ, отчеты о результатах функционирования СИБ и т. п.

Отметим, к самим записям и к процессу управления записями предъявляются определенные требования, позволяющие оценивать результативность и эффективность СИБ организации. Так, к записям предъявляются требования по актуальности, достоверности и целостности. Есть требования и к процессу управления записями – документальные свидетельства должны быть четкими, простыми, легко идентифицируемыми и восстанавливаемыми.

Кроме того, процесс управления записями должен включать меры управления, обеспечивающие идентификацию, защиту конфиденциальности и целостности, поиск, хранение в пределах установленного срока и уничтожение записей.

Правильно выстроенный процесс управления записями обеспечивает их контроль и защиту от модификации, так как при определенных условиях они могут являться материалами для проведения расследований инцидентов ИБ. Соответственно, качество хранения данных материалов определяет, будут ли они признаны легитимными или не заслуживающими доверия.

Отчетная документация при использовании СКЗИ

При расследовании инцидентов ИБ очень важна дисциплина ведения и хранения учетных и отчетных документов, возникающих в процессе использования средств криптографической защиты информации (СКЗИ).

К учетным документам, образующимся в процессе функционирования СКЗИ, относятся:

• журнал поэкземплярного учета используемых СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
• лицевые счета пользователей СКЗИ и ведомости учета обслуживаемых обладателей конфиденциальной информации, а также лиц, непосредственно допущенных к работе с СКЗИ;
• журнал учета машинных носителей персональных данных с указанием регистрационных (заводских) номеров;
• реестр заявок на изготовление ключевых документов или исходной ключевой информации и т. д. [13, 14].

К отчетной документации относятся:

• заключения о возможности эксплуатации СКЗИ;
• протоколы обучения лиц, использующих СКЗИ;
• акты расследований и заключения по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации;
• акты уничтожения ключевых документов, СКЗИ, эксплуатационной и технической документации и т. д. [13, 14].

Отчетная документация СИБ организации при проведении правоохранительными органами расследований уголовных преступлений

Отдельно отметим важную роль отчетности при проведении специальной информационно-технологической судебной экспертизы в рамках расследования уголовных дел по компьютерным преступлениям, в том числе связанных с нарушением правил эксплуатации компьютерного оборудования [15]. При расследовании преступлений данной категории особое значение имеет наличие и ведение журналов (либо других видов документов) учета работы операторов информационных систем, регистрация сбойных/аварийных ситуаций и обращений в компьютерную систему или сеть [16].

Используемые источники:

[1] «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» РС БР ИББС-2.5-2014».
[2] ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
[3] Руководство по реагированию на инциденты информационной безопасности АОИТ«ЛАБОРАТОРИЯ КАСПЕРСКОГО».
[4] ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
[5] Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[6] Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
[7] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
[8] Приказ ФСТЭК России от 25.12.2017 №  239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
[9] Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
[10] Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
[11] Методические рекомендации НКЦКИ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.
[12] Международный стандарт ISO/IEC 27001:2013 (E) «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования».
[13] «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13.06.2001 № 152.
[14] Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
[15] Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ.
[16] «Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации» (утв. Генпрокуратурой России).

Автор:
Валерий Комаров, начальник отдела обеспечения осведомленности, Управление ИБ, ДИТ города Москвы.