Ім'я файлу: уиб реферат.docx
Розширення: docx
Розмір: 53кб.
Дата: 10.05.2021
скачати
Пов'язані файли:
Кравцов 4.docx
Доронин_Алекcандр_Бизнес_разведка_royallib_ru.pdf
Розширення: docx
Розмір: 53кб.
Дата: 10.05.2021
скачати
Пов'язані файли:
Кравцов 4.docx
Доронин_Алекcандр_Бизнес_разведка_royallib_ru.pdf
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ДЕРЖАВНИЙ ВИЩИЙ НАВЧАЛЬНИЙ ЗАКЛАД
“КИЇВСЬКИЙ НАЦІОНАЛЬНИЙ ЕКОНОМІЧНИЙ УНІВЕРСИТЕТ
ІМЕНІ ВАДИМА ГЕТЬМАНА”
Навчально-науковий інститут
«Інститут інформаційних технологій в економіці»
Кафедра комп’ютерної математики та інформаційної безпеки
Реферат
з навчальної дисципліни
«Управління інформаційною безпекою»
На тему
«Групи реагування на інциденти інформаційної безпеки CERT/CSIRT»
Виконав:
студент 3 курсу
групи ІК-301
Кравцов Д. В.
Київ 2021
ЗМІСТ
ВСТУП 3
РОЗДІЛ 1 4
COMPUTER SECURITY INCIDENT RESPONSE TEAM 4
1.1 Команда реагування на випадки комп’ютерної безпеки 4
1.2 Атрибути та процеси CSIRT 5
1.3 Структури CSIRT 7
1.4 Як створити CSIRT 9
1.5 Ролі членів CSIRT 10
1.6 Навички та обов'язки членів CSIRT 11
1.7 Управління CSIRT 12
РОЗДІЛ 2 13
Computer Emergency Response Team 13
2.1 Комп’ютерна група реагування на надзвичайні ситуації 13
2.3 В чому різниця між CERT та CSIRT 14
2.3 CERT в Україні 16
ВИСНОВОК 18
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 19
ВСТУП
Актуальність теми. Команди реагування на випадки комп’ютерної безпеки (CSIRT) є важливою опорою глобальної кібербезпеки. Деякі описують CSIRT як споріднені з цифровими пожежними бригадами, центрами по боротьбі з хворобами або цифровими екстреними медичними працівниками - першими реагуючими, місія яких полягає в тому, щоб загасити пожежу або оцінити ситуацію та зберегти жертву в житті. нині неформальна спільнота складається з сотень CSIRT, якими все частіше керують національні або регіональні координаційні органи в рамках більш офіційно організованих інституційних мереж. Вони стали ключовою частиною складного режиму "слабо пов'язаних норм та інститутів", які сьогодні керують кіберпростором.
Водночас CSIRT стикаються з переломним моментом. Вони стають дедалі більшою частиною ширших дискусій щодо політики кібербезпеки і стикаються з потребою та викликом для реалізації інших політичних та політичних цілей. Ось чому для важливо краще розуміти історію, еволюцію, типи груп реагування на інциденти інформаційної безпеки.
Метою даної роботи є аналіз та класифікація існуючих груп реагування на інциденти інформаційної безпеки.
Об’єктом дослідження є процес побудови груп реагування на інциденти інформаційної безпеки.
Предметом дослідження є групи реагування на інциденти інформаційної безпеки.
РОЗДІЛ 1
COMPUTER SECURITY INCIDENT RESPONSE TEAM
1.1 Команда реагування на випадки комп’ютерної безпеки
Команда реагування на випадки комп’ютерної безпеки (CSIRT) - це група ІТ-фахівців, яка надає організації послуги та підтримку щодо оцінки, управління та запобігання надзвичайним ситуаціям, пов’язаним з кібербезпекою, а також координації зусиль щодо реагування на інциденти.
Основною метою CSIRT є швидке та ефективне реагування на випадки комп’ютерної безпеки, таким чином відновлення контролю та мінімізація шкоди. Це включає наступні чотири фази реагування на події Національного інституту стандартів і технологій (NIST):
підготовка
виявлення та аналіз
стримування, викорінення та відновлення
післяінцидентна діяльність
Для цього CSIRT можуть взяти на себе багато обов’язків, включаючи наступне:
створювати та оновлювати плани реагування на інциденти;
підтримувати та передавати інформацію внутрішнім та зовнішнім структурам;
виявляти, оцінювати та аналізувати інциденти;
координувати та повідомляти зусилля щодо реагування;
усунення інцидентів;
звіт про інциденти;
керувати аудитами;
переглянути політику безпеки;
і рекомендувати зміни для запобігання майбутнім інцидентам.
Основним припущенням цього визначення є те, що CSIRT - це організована організація з визначеною місією, структурою та ролями та обов'язками. Це припущення виключає будь-яку спеціальну або неофіційну діяльність з реагування на інциденти, яка не має визначеного виборчого округу або задокументованих ролей та обов'язків. Це припущення грунтується на переконанні, що без формалізованої можливості реагування на інциденти неможливо забезпечити ефективну реакцію на інциденти.
Форум команд реагування на аварії та безпеки, міжнародна асоціація команд реагування на інциденти, оприлюднила "FIRST CSIRT Framework". Цей детальний документ ґрунтується на керівництві Координаційного центру команд реагування на надзвичайні ситуації (CERT / CC), яке використовується з кінця 1980-х років. Структура також окреслює сфери послуг, які CSIRT можуть запропонувати складовим, включаючи управління подіями інформаційної безпеки, управління інцидентами в Інфосеці, управління вразливістю, обізнаність про ситуацію та передачу знань.
1.2 Атрибути та процеси CSIRT
Хоча кожен CSIRT унікальний для своєї організації, загалом CSIRT мають три атрибути, що відрізняють їх від інших груп реагування на інциденти: їх заяву про місію, виборчий округ та перелік послуг.
Опис місії. Місія CSIRT - це заява про мету або причину її існування. Місія CSIRT визначає сфери відповідальності та служить для встановлення очікувань щодо виборчого округу.
Прикладом заяви про місію CSIRT може бути: "Це місія XYZ CSIRT захищати корпорацію XYZ, створюючи та підтримуючи здатність виявляти, реагувати та вирішувати випадки комп'ютерної та інформаційної безпеки".
Виборчий округ. Виборчий округ CSIRT повинен бути чітко визначений. Це клієнтська база або одержувачі послуг реагування на аварії. Припускається, що виборчий округ є унікальним для даного CSIRT і часто є його батьківською організацією.
Перелік послуг. Місія CSIRT здійснюється шляхом надання послуг CSIRT своєму округу. CSIRT можуть пропонувати декілька послуг, але є основні, які CSIRT повинен запропонувати, щоб вважатися офіційною командою реагування на інциденти. На самому базовому рівні CSIRT повинен вміти робити наступне:
Отримайте повідомлення про інцидент від виборців. Щоб отримати звіт про інцидент від округу CSIRT, округ спочатку повинен знати, що CSIRT існує. Складові також повинні розуміти, що робить CSIRT та як здійснюється доступ до її послуг, а також рівень обслуговування та рівні якості, які вона може очікувати. Таким чином, CSIRT має визначити свою місію та служби, оголосити свою округу та опублікувати вказівки щодо запиту служб інцидентів. Сюди входить публікація політики реагування на аварії, процесів, процедур, форм та ресурсів, необхідних для інформування та надання можливості виборчим округам подавати звіти про аварії.
Проаналізуйте звіт про інцидент, щоб підтвердити і зрозуміти інцидент. Отримавши звіт про інцидент, CSIRT аналізує звіт, щоб підтвердити, що інцидент або інший вид діяльності, який підпадає під місію CSIRT, справді стався. Потім CSIRT визначає, чи розуміє він звіт та інцидент досить добре, щоб створити початкову стратегію реагування, яка відповідає цілям відновлення контролю та мінімізації шкоди. Частина можливості аналізувати звіт про інцидент та ефективно реагувати - це наявність персоналу, який може виконувати різноманітні завдання. Члени CSIRT повинні мати письмові плани, політику та процедури, що підтверджують їх конкретні ролі та обов'язки.
Забезпечити підтримку реагування на аварії. Залежно від того, як організована CSIRT та пропоновані послуги, CSIRT може надавати підтримку реагування на інциденти за допомогою наступного:
послуги з реагування на місця на місці, що надаються безпосередньо виборцям;
послуги реагування на інциденти, що надаються електронною поштою або телефоном; або
скоординовані служби реагування на інциденти, які поєднують та розподіляють зусилля кількох груп реагування на інциденти за кількома складовими.
У деяких ситуаціях CSIRT організації може лише розробляти та контролювати стратегії та послуги реагування на інциденти, а не впроваджувати їх. Наприклад, інші групи або відділи, такі як мережеві інженери або власники систем та даних, можуть реалізовувати стратегію реагування за допомогою CSIRT, що керує зусиллями.
1.3 Структури CSIRT
Структура CSIRT залежить від потреб батьківської організації. Наприклад, розглянемо, чи потрібно охоплення цілодобово та без вихідних, наявність навчених працівників, чи потрібні члени команди, що працює повний або неповний робочий день, та операційні витрати.
Існує кілька загальних структур CSIRT, включаючи такі:
Централізований CSIRT. У централізованому CSIRT одна команда реагування на аварії обслуговує всю організацію, а всі ресурси реагування на інциденти містяться у спеціальному підрозділі. Ця модель добре підходить для невеликих організацій або організацій з обмеженим географічним обсягом.
Розподілений CSIRT. У розподіленому CSIRT існує кілька незалежних груп реагування на інциденти. Розподіл ресурсів CSIRT може залежати від широкого географічного обсягу організації або розташування її основних об'єктів. Інші атрибути, що включають організацію компанії за структурою бізнес-підрозділу чи просто розподілом працівників та інформаційних активів, також можуть впливати на розподіл CSIRT. Крім того, більшість розподілених моделей CSIRT вимагають координуючого CSIRT.
Координаційний CSIRT. Цей CSIRT керує іншими, часто підлеглими, CSIRT. Цей CSIRT координує діяльність з реагування на інциденти, потік інформації та робочий процес між розподіленими командами. Координуючий CSIRT може не надавати ніяких незалежних служб реагування на інциденти. Натомість він зосереджений на ефективному та ефективному використанні ресурсів у розподілених командах. Наприклад, CERT / CC, команда комп'ютерного реагування на надзвичайні ситуації Інституту програмного забезпечення (ІСІ), є координуючим CSIRT, який організовує діяльність між національними, урядовими та регіональними CSIRT.
Гібридний CSIRT. Гібридний CSIRT поєднує в собі атрибути централізованих та розподілених CSIRT. Центральний компонент CSIRT часто працює повний робочий день, а розподілений компонент складається з експертів з предметних питань (МСП), які можуть не бути приєднаними до заходів реагування на інциденти, крім випадків, коли це потрібно під час подій безпеки. У цій моделі, коли центральний CSIRT виявляє потенційну подію, він аналізує інцидент і визначає потреби у відповіді. Тоді для допомоги у цих заходах можуть бути залучені відповідні розподілені експерти CSIRT. Хоча гібридна CSIRT спирається на МСП, які не є штатними членами CSIRT, це остаточно офіційна команда реагування на інциденти. Розподілені підрозділи експертів CSIRT призначені фахівцями з реагування на аварії з визначеними ролями та обов'язками та проходять офіційне навчання з реагування на аварії. Вони можуть також вимагати отримання та ведення сертифікатів обробника аварій.
Гібрид CSIRT / SOC. У цій спеціалізованій гібридній моделі центр оперативних заходів (SOC) відповідає за прийом усіх попереджень, тривог та звітів, що вказують на потенційні інциденти. Якщо SOC вимагає допомоги з додатковим аналізом, CSIRT активується. Взагалі, SOC діє як передній кінець для CSIRT, виконуючи виявлення інцидентів, а потім передає інциденти CSIRT для обробки.
Аутсорсинг CSIRT. Переданий підрядник CSIRT може бути корисним варіантом для компаній, яким не вистачає ресурсів або персоналу для створення власної команди. Ця модель CSIRT передбачає укомплектування внутрішнього CSIRT з підрядниками, а не з працівниками, або передачу завдань та послуг CSIRT на сторонніх підрядниках, які можуть бути потрібні лише зрідка, наприклад, цифрова криміналістика.
1.4 Як створити CSIRT
Розробка ефективної стратегії реагування на інциденти означає, що організація може виявляти та реагувати на комп’ютерні чи інфосекові випадки таким чином, щоб обмежувати збитки та зводити витрати на відновлення як можна нижче.
Розробляючи команду реагування на аварії, враховуйте наступне:
Визначтесь, які типи технічного досвіду, ролі та обов'язки потрібні.
Призначте керівника групи для нагляду за зусиллями CSIRT, а також повідомляйте виконавчі керівництва про випадки та прогрес.
Визначте належну організаційну модель CSIRT та необхідні години роботи команди.
Створюйте плани безпеки, політику та процедури щодо різноманітних потенційних загроз та інцидентів.
Забезпечити членів CSIRT регулярною освітою з питань кібербезпеки та підвищення обізнаності.
Проводити загальносистемні оцінки ризиків.
Визначте активи реагування на критичні події, включаючи дані, бізнес-процеси, технології та людей.
Майте добре задокументований план управління активами.
Впровадьте програму управління конфігурацією, щоб забезпечити виправлення всього програмного забезпечення та своєчасне тестування та застосування всіх оновлень.
Виконайте захисну архітектуру мережі, використовуючи маршрутизатори, брандмауери, системи виявлення та запобігання вторгненню (IDS / IPS), монітори мережі та операції безпеки.
1.5 Ролі членів CSIRT
Для ефективного функціонування CSIRT потрібен безліч членів з різними навичками та обов'язками. Однак не існує універсального підходу. Організації повинні працевлаштовувати та навчати співробітників для задоволення їхніх конкретних потреб у реагуванні на інциденти безпеки.
Кілька факторів впливають на організацію ролей CSIRT, включаючи профіль ризику організації та структуру CSIRT. Загалом, члени CSIRT включають наступне:
Керівник команди CSIRT. Ця виконавча роль, яку зазвичай займає керівник відділу інформаційної безпеки (CISO), повідомляє про інциденти з керівниками C-suite та координує бюджет CSIRT.
Менеджер інцидентів. Ця роль координує засідання CSIRT, забезпечує підзвітність членів CSIRT у всій організації та визначає, чи слід передавати результати інцидентів керівникам.
Підтримка персоналу CSIRT. Ці технічні ролі, такі як аналітик безпеки, керівник інцидентів, керівник зміни або судовий слідчий, відповідають за виявлення, реагування та звітування про події.
Міжфункціональні ролі CSIRT. Для виконання своєї місії CSIRT часто включає у свою команду фахівців з правових питань, управління персоналом та зв’язків з громадськістю. Наприклад, член юридичної групи консультує щодо потенційних позовів від акціонерів або працівників, а також щодо процесу розкриття інцидентів. Роль персоналу в CSIRT керує кадровими питаннями та інформує працівників про випадки. PR-персонал опрацьовує прес-релізи; спілкування співробітників, партнерів, клієнтів та зацікавлених сторін; та запити ЗМІ щодо інцидентів у сфері безпеки.
1.6 Навички та обов'язки членів CSIRT
Співробітники CSIRT відіграють вирішальну роль у підтримці місії та служби CSIRT. Ефективний CSIRT вимагає від співробітників різноманітних технічних та нетехнічних навичок.
Технічні навички. Персоналу CSIRT потрібні базові технічні навички та знання безпеки для виконання щоденних завдань. Загальне розуміння принципів безпеки, вразливостей, програмування та мережевих протоколів становить цю базову лінію. Крім того, співробітники CSIRT повинні бути навчені наступним технічним навичкам щодо роботи з інцидентами:
виявлення тактики та прийомів зловмисника;
захист зв'язку CSIRT за допомогою шифрування;
аналізуючи інциденти, щоб визначити, як ефективно реагувати; і
ведення записів та повідомлень про події.
Нетехнічні навички. Робота CSIRT заснована на послугах. Таким чином, усі співробітники CSIRT повинні продемонструвати дипломатичність та надати компетентність у взаємодії з виборцями.
Готовність слідувати інструкціям. Персонал повинен бути ознайомлений із визначеними процедурами та політикою CSIRT та важливістю їх дотримання.
Спілкування. Персонал повинен продемонструвати ефективні письмові та міжособистісні навички спілкування, необхідні для виконання таких обов'язків, як документування звітів про інциденти або презентація технічних інструктажів.
Співпраця. З огляду на характер співпраці структури CSIRT, члени повинні бути відданими командним гравцям, щоб забезпечити колективний моральний дух, продуктивність та спритність.
Управління часом. Персонал повинен розуміти, як використовувати надані критерії для пріоритетності різних видів діяльності CSIRT та визначати, коли слід звертатися за допомогою до керівництва.
Аналітичні міркування. Персонал CSIRT повинен продумати нестандартно, щоб передбачити техніки зловмисників та вирішити проблеми в потенційно нестабільних ситуаціях.
Управління стресом. Вимогливий характер реагування на події та ризик вигорання персоналу охорони вимагають особливої уваги до управління стресом, а також до балансу роботи та життя.
Постійне навчання. Реагування на аварії - це сфера знань, яка постійно змінюється. Таким чином, члени CSIRT повинні бути допитливими людьми та використовувати можливості для вдосконалення своїх навичок шляхом навчання, сертифікації або наставництва.
1.7 Управління CSIRT
Важливо мати розподілений та добре керований CSIRT. Більшість CSIRT побудовані для ведення цілодобового моніторингу. Це робиться шляхом розподілу годин роботи на три зміни, кожна з яких має призначений свинець. Під час їх змін керівники змін повинні повідомляти свою роботу та висновки з іншими змінами. Потім цю інформацію слід передати керівнику команди CSIRT або члену виконавчого апарату, щоб забезпечити прозорість щодо решти організації.
Більші компанії повинні розділяти працівників не лише за часом, але й за географічним розташуванням. Меншим компаніям може бути вигідніше передавати процеси CSIRT на аутсорсинг на позаурочний час.
РОЗДІЛ 2
Computer Emergency Response Team
2.1 Комп’ютерна група реагування на надзвичайні ситуації
Комп'ютерна група реагування на надзвичайні ситуації - назва груп експертів з комп'ютерної безпеки, що займаються збором інформації про інциденти, їх класифікацією і нейтралізацією.
Історія CERT тісно пов'язана з боротьбою проти мережевих черв'яків.
Перший черв'як потрапив в мережу інтернет 2 листопада 1988, коли так званий «хробак Морріса» паралізував роботу вузлів інтернету. Для боротьби з хробаком на замовлення уряду США в університеті Карнегі - Меллон була сформована перша команда «Computer emergency response team» або «CERT».
Надалі команди в усьому світі стали називати себе «CERT». В англомовних країнах деякі групи називали себе абревіатурою «CSIRT».
Торгова марка «CERT» зареєстрована університетом Карнегі - Меллон, захищена міжнародним законодавством про авторські та патентних правах, є найменуванням сервісу. Університет Карнегі має виключне право на надання цього іменування різних сервісів інформаційної безпеки по всьому світу.
Оригінальна команда CERT з університету Карнегі - Меллон виконує роль загальнонаціонального координаційного центру для інших команд CERT на території США.
На відміну від США, на території Європейського союзу більшість груп CERT створювалися університетами і великими ІТ-компаніями. Більшість країн європейського союзу не мають своїх координаційних центрів і співпрацюють через загальноєвропейську організацію TF). У 2006 році організація TF-CSIRT акредитувала близько 100 команд CERT. TF-CSIRT запустила форум FIRST для проведення нарад з питань взаємодії команд CERT. Управління центрами CERT ЄС поступово передається агентству ENISA
2.3 В чому різниця між CERT та CSIRT
Організації можуть використовувати один або більше з трьох основних типів команд реагування на інциденти: CSIRT, SOC та CERT. Іноді ці терміни використовуються синонімічно, хоча різниці існують залежно від того, як організація використовує ці терміни.
Найбільш унікальною з цих трьох є SOC. Цей спеціальний об'єкт контролює та захищає технології та обладнання та виконує функції командно-адміністративного центру для організації, регіону чи країни. Він захищає мережі, сервери, програми та кінцеві точки. Однак обов'язки SOC виходять за рамки простої реакції на інциденти.
CERT - це зареєстрована торгова марка і для її використання необхідно отримувати офіційний дозвіл Університету Карнегі Меллона, без якого будь-яке використання буде незаконним. У абревіатури CSIRT (вона ж CIRT, SIRT, CIRC, IRT, IRC, SERT) ніяких обмежень на використання немає. Але справа не тільки і не стільки в праві на використання торгової марки. Справа в тому, куди спрямована діяльність CERT і CSIRT і як вона вибудовується?
Якщо подивитися на сайт CERT, то ми побачимо, що CERT орієнтований на Інтернет-інциденти, а останнім часом ще й на підвищення обізнаності в області ІБ. По суті, CERT - це щось глобальне і створюється, щоб діяти в масштабах країни (той же JPCERT / CC), регіону (той же AusCERT) або галузі (той же FinCERT або GOV-CERT). Крім управління інцидентами, CERT / CC також займається дослідженнями з широкого кола тем - від безпечної розробки і внутрішніх загроз до аналізу вразливостей і забезпечення живучості інформаційних систем.
CSIRT ж навпаки - зазвичай являє собою невелику формалізовану або об'єднується в певні моменти часу групу. CERT діє постійно і часто його співробітники займаються тільки завданнями, пов'язаними з реагуванням на інциденти, отримуючи за це цілком відчутну зарплату, від якої потерпають в зарплатній відомості. Члени CSIRT можуть працювати в різних підрозділах організації (ІТ, ІБ, СБ, PR і т.п.), збиратися за потребою і працювати на ентузіазмі або не отримуючи за свою роботу жодної винагороди. Часто CSIRT працює тільки з внутрішніми інцидентами або інцидентами, спрямованими на внутрішні інформаційні активи організації. CERT не скуті такими обмеженнями, працюючи з різними організаціями.
Ще однією відмінністю CERT від CSIRT є джерела інформації. CERT оперує тільки тим, що йому надсилають його клієнти - опису інцидентів, підозрілі файли, дампи пам'яті і мережевого трафіку. Чи не прислали, значить CERT буде аналізувати на основі того, що має. У CSIRT, яка зазвичай існує всередині конкретного підприємства, більше можливостей отримувати дані безпосередньо від розкиданих по мережі засобів захисту, мережевого устаткування, операційних і прикладних систем, СУБД і т.п.
2.3 CERT в Україні
CERT-UA - Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в рамках Державного центру кіберзахисту Державної служби спеціального зв’язку та захисту інформації України.
З 2009 року є акредитованим членом Форуму команд реагування на інциденти безпеки FIRST.
Завдання CERT-UA:
накопичення та проведення аналізу даних про кіберінциденти, ведення державного реєстру кіберінцидентів;
надання власникам об’єктів кіберзахисту практичної допомоги з питань запобігання, виявлення та усунення наслідків кіберінцидентів щодо цих об’єктів;
організація та проведення практичних семінарів з питань кіберзахисту для суб’єктів національної системи кібербезпеки та власників об’єктів кіберзахисту;
підготовка та розміщення на своєму офіційному веб-сайті рекомендацій щодо протидії сучасним видам кібератак та кіберзагроз;
взаємодія з правоохоронними органами, забезпечення їх своєчасного інформування про кібератаки;
взаємодія з іноземними та міжнародними організаціями з питань реагування на кіберінциденти, зокрема в рамках участі у Форумі команд реагування на інциденти безпеки FIRST із сплатою щорічних членських внесків;
взаємодія з українськими командами реагування на комп’ютерні надзвичайні події, а також іншими підприємствами, установами та організаціями незалежно від форми власності, які провадять діяльність, пов’язану із забезпеченням безпеки кіберпростору;
опрацювання отриманої від громадян інформації про кіберінциденти щодо об’єктів кіберзахисту;
сприяння державним органам, органам місцевого самоврядування, військовим формуванням, утвореним відповідно до закону, підприємствам, установам та організаціям незалежно від форми власності, а також громадянам України у вирішенні питань кіберзахисту та протидії кіберзагрозам.
ВИСНОВОК
Реагування на інциденти ІБ - комплексний і складний набір заходів, що включає роботу різних підрозділів і інформаційних систем.
Сьогодні загрози ІБ для бізнесу ростуть пропорційно цінності і вартості інформації. Сучасні технології та автоматизація хоча і забезпечують досить надійний захист від автоматизованих атак, ще не здатні повністю убезпечити інфраструктуру організації від спланованих і цілеспрямованих кіберзлочинних кампаній.
При забезпеченні інформаційної безпеки організації одним з найважливіших видів діяльності є виявлення інцидентів інформаційної безпеки.
Існує безліч способів боротьби з інцидентами, як на рівні організаційних процедур, так і на рівні програмних рішень. Одним з найбільш ефективних методів є впровадження цілої команди спеціалістів для захисту систем від витоку конфіденційних даних.
Система управління інцидентами інформаційної безпеки є базовою частиною загальної системи управління інформаційною безпекою і дозволяє виявляти, враховувати, реагувати й аналізувати події та інциденти інформаційної безпеки. Таким чином, для управління інцидентами інформаційної безпеки необхідно організувати комплекс процесів управління інцидентами, забезпечити його належними ресурсами, відповідною нормативно-розпорядчою і робочою документацією, технічними засобами забезпечення механізмів контролю.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Information technology. Security techniques. Information security incident management (ISO 18044:2004) : ГОСТ Р ИСО/МЭК 18044:2004. — [Чинний від 2008-07-01]. — М. : Федеральное агенство по техническому регулированию и метрологии 2007. — 50 с. — (Нац. стандарт РФ).
2. Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD) ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. — [Чинний від 2010-07-01]. — К.: Національний банк України 2010. — 163 с. — (Галузевий стандарт України).
3. Звіт «Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ» (КСЗІ АІС НАНУ): Система управління інцидентами інформаційної безпеки. Керівництво адміністратора. 05540149.90000.043.И3-06. — К.: НАН України 209. — 149 с.
4. Пошаговое руководство по созданию CSIRT (Европейское агентство по сетевой и информационной безопасности (ENISA) в рамках программы WP-2006), 2006. — 86 с
5. Moira J.W.-B. Handbook for Computer Security Incident Response Teams (CSIRTs) / Moira J.W.-B., Stikvoort D., Kossakowski K.-P. et al. — Pittsburgh, 2003. — 223 p.
6. European Network and Information Security Agency [Electronic resource] : ENISA. — Electronic data. — Heraklion, Greece: ENISA, [04.02.2012]. — Mode of access: World Wide Web. — URL: http:// www.enisa.europa.eu. — Description based on screen.
7. Організація щодо реагування на інциденти та обробка інцидентів безпеки: Керівництво для організації електрозв’язку. Рекомендація МСЭ-Т E.409 (ITU-Т E.409. — [Чинне від 2004-28-05]. — Женева. — 22 с. — (Рекомендація Міжнародної організації телекомунікацій (ITU)).
8. Кононович В.Г. Технічна експлуатація систем захисту інформації телекомунікаційних мереж загального користування. Ч. 4. Інформаційна безпека комунікаційних мереж та послуг. Реагування на атаки. Навчальний посібник / В.Г. Кононович, С.В. Гладиш. — Одеса : ОНАЗ ім. О.С. Попова, 2009. — 208 с.
9. Модель підсистеми моніторингу інцидентів безпеки інформації в інформаційних системах організацій / І.А. Пількевич, В.І. Котков, Н.М. Лобанчикова, І.І. Сугоняк // Восточноевропейский журнал передовых технологий. — 2012. — № 2 (56). — С. 18–21.
10. Гладиш С.В. Підтримка прийняття рішень щодо керування інцидентами інформаційної безпеки в організаційно-технічних системах / Гладиш С.В. // Реєстрація, зберігання і обробка даних. — 2008 — Т. 10, № 1. — С. 116–124.