Управление инцидентами информационной безопасности
В статье простыми словами рассказываем, что такое инцидент информационной безопасности, зачем им управлять и как это поможет защитить информацию от утечки по вине персонала.
Что такое инцидент информационной безопасности?
Инцидент информационной безопасности
это событие, которое может негативно сказаться на целостности, доступности, достоверности и конфиденциальности данных организации. Серьезные ИБ-инциденты могут причинить финансовый и репутационный ущерб компании.
Типы инцидентов информационной безопасности
Условно ИБ-инциденты можно разделить на четыре типа.
| Описание | Риск |
|---|---|
| Низкий риск | Никак не сказываются на работе организации, не приносят ущерб. |
| Средний риск | Не оказывают существенного влияния на информационную систему организации, при этом требуют внимания. |
| Высокий риск | Инциденты среднего риска могут сказаться на работе отдельных сервисов, при этом не останавливают процессы и не парализуют работу организации. |
| Высокий риск | Могут нарушить работу организации, привести к серьезным финансовым и репутационным рискам, судебным разбирательствам и, конечно, огромным штрафам от регуляторов. |
Зачем нужна такая классификация? Для выставления приоритета на реагирование. Последствия инцидентов высокого риска нужно устранять как можно скорее, как правило, до 1 часа.
Перечень необходимо дополнять и корректировать по мере возникновения новых угроз и изменений в работе компании. Например, при расширении штата и введении новых должностей, создании филиалов, закупке нового программного обеспечения и оборудования, начале сотрудничества с подрядными организациями.
Примеры ИБ-инцидентов
ИБ-инциденты — это в первую очередь DDoS-атаки и вызванные ими отказы в обслуживании, сбои в работе оборудования и программного обеспечения, нарушения внутренних пользователей, внедрение вирусов, троянов и червей.
Как показывает практика, большинство компаний все еще сосредоточены на защите от внешних угроз, при этом не уделяют должное внимание угрозам внутренним — то есть нарушениям, которые намеренно или случайно совершают сотрудники.
А зря.
Согласно отчету об инсайдерских угрозах за 2024 год, 48% организаций сообщили об учащении внутренних атак за последние 12 месяцев.
О каких внутренних атаках идет речь?
О простых, реальных, при этом болезненных для компаний примерах ИБ-инцидентов:
- сотрудник перед увольнением забирает с собой базу клиентов, скопировав ее на флешку;
- секретарь с рабочего компьютера загружает видео на сайты для взрослых — по сути, занимается распространением порнографии;
- сотрудник продает персданные граждан третьим лицам — тот самый случай, когда нарушитель заработает 50 тысяч рублей, а компанию оштрафуют на 3 миллиона за утечку.
Можно потратить огромные деньги на внедрение дорогостоящих средств защиты данных, но в конечном итоге информационная система будет сильной ровно настолько, насколько крепкое ее самое слабое звено. А самое слабое звено, как показывает практика, это люди.
Далее мы рассмотрим, из каких этапов состоит жизненный цикл инцидента информационной безопасности.
Жизненный цикл инцидента: от подготовки до выводов
Состоит из нескольких этапов, которые проходит инцидент с момента его возникновения до момента его разрешения. Этот цикл включает в себя обнаружение, анализ, локализацию, устранение и восстановление.
Чтобы обнаружение инцидентов было эффективным, начать стоит с подготовки.
Подготовка
На этапе подготовки необходимо составить перечень актуальных угроз, классифицировать их по степени опасности, разработать планы реагирования, распределить роли и зоны ответственности за каждый этап управления инцидентами.
Непрерывный мониторинг ИБ-событий
Инцидентам всегда предшествуют ИБ-события.
Мониторинг событий должен быть непрерывным, включая ночное время и выходные дни.
Некоторые клиенты Falcongaze выявляли попытки хищения корпоративных данных после 18:00. Об этих кейсах мы говорили тут.
Проводить мониторинг вручную реально, однако трудозатратно. Здесь же стоит учитывать и масштаб организации: размер штата и количество рабочих компьютеров, используемые внутри сети устройства и каналы коммуникации. В крупных компаниях количество ИБ-событий может исчисляться тысячами в сутки — обработать вручную такой массив данных практически невозможно.
Автоматизация управления инцидентами в такой ситуации значительно упрощает жизнь отделу безопасности, разгружает ИБ-специалистов и, что немаловажно, позволяет реагировать на нарушения значительно быстрее, чем при ручном мониторинге.
Для автоматизации процесса мониторинга можно внедрять событийные источники: SIEM, EDR, NDR и другие. Некоторые из них мы уже рассмотрели в этой статье. Если мы говорим о защите данных от утечки по вине персонала, рутинные задачи мониторинга можно передать DLP-системам.
Выявление инцидентов
Чем быстрее будет выявлен ИБ-инцидент, тем меньше ущерба он нанесет организации и ее интересам. А учитывая серьезное ужесточение наказаний за нарушения информационной безопасности и беспрецедентно высокие штрафы за утечки данных, использование надежных механизмов выявления оправдано как минимум экономически.
Некоторые инциденты получается выявлять быстро, о других организации узнают намного позже. Например, в этом отчете среднее время выявления утечки данных (MTTD) составляет 37 дней, максимальное — 3 года.
Здесь снова стоит обратить внимание на решения для автоматизации.
DLP-системы перехватывают данные из максимального числа источников и сравнивают их с заранее установленными правилами. При выявлении нарушений политик, аномального поведения или подозрительной активности системы автоматически оповещают уполномоченных.
Важно уделить внимание и оперативности оповещений, чтобы у ИБ-специалистов была возможность как можно быстрее отреагировать и ликвидировать последствия.
Реагирование и регистрация
Реагирование подразумевает локализацию инцидента, выявление и ликвидацию его последствий, а также восстановление работы информационной системы — если это необходимо.
Рассмотрим локализацию подробнее.
Локализация — это, по сути, остановка инцидента. Метод локализации напрямую зависит от типа нарушения. Очевидно, что при внедрении вируса следует как можно быстрее ограничить доступность зараженных устройств.
При локализации внутренних нарушений оперативность важна не меньше, если не больше. Так, если сотрудник пытается скопировать на флешку базу данных — необходимо срочно заблокировать операцию. Если кто-то изменил конфигурацию устройств, нарушил работу информационной или автоматизированной системы (АСУ), важно быстро восстановить исходные настройки.
Важно и как можно быстрее оповестить пользователей, если их устройства или учетные записи были скомпрометированы.
Значительно упросить и ускорить процесс оповещений персонала поможет автоматизация уведомлений и составление шаблона маршрута эскалации, то есть документа с политиками для обработки, приоритизации и анализа.
Каждый инцидент следует зарегистрировать любым способом, удобным компании.
Анализ инцидентов информационной безопасности и их последствий
На этом этапе команда анализирует причину возникновения инцидента. По итогам анализа корректируют процессы, закрывают уязвимости внутри корпоративной сети, формируется перечень рекомендаций по доработке системы защиты данных и настройке правил безопасности.
Стандарт ISO 27035 и ГОСТы Р 59709, Р 59710, Р 59711-2022
Управление инцидентами ИБ регламентировано в международном стандарте ISO 27035. В Российской Федерации вопрос урегулирован в таких нормативно-правовых актах:
- ГОСТ Р 59711-2022 «Управление компьютерными инцидентами»;
- ГОСТ Р 59710 «Защита информации. Управление компьютерными инцидентами. Общие положения»;
- ГОСТ Р 59709 «Защита информации. Управление компьютерными инцидентами. Термины и определения».
Роли и зоны ответственности (SOC, CISO, ИТ-службы)
В области информационной безопасности существует несколько ключевых ролей, каждая из которых имеет свои зоны ответственности:
- CISO (Chief Information Security Officer);
- SOC (Security Operations Center)
- ИБ- или ИТ-служба.
CISO — это своего рода стратег. Функции CISO: анализ ИБ-рисков, разработка политики безопасности, процедур и правил, обучение персонала основам безопасного обращения с данными, реагирование на особенно крупные ИБ-инциденты. CISO координирует работу ИБ- и ИТ-отделов, а также других подразделений организации, не связанных с обеспечением защиты данных.
SOC — это операционный центр. Он отвечает за обеспечение информационной безопасности, а также мониторинг событий, выявление и локализацию. В идеальных обстоятельствах у SOC есть система автоматизации, или SOAR, которая позволяет разгрузить специалистов подразделения, переняв некоторые рутинные задачи, например, мониторинг.
Владимир Кадыко, технический директор компании Falcongaze
Если мы говорим о борьбе с внутренними нарушителями, те же DLP-системы методично и беспристрастно протоколируют события. Позволяют работать с огромными массивами данных за длительный период, а при необходимости изменить критерии контроля и таким образом изучить ситуации, которые ранее не рассматривались как опасные.
Если организация крупная, сотрудников много, а устройств — еще больше, стоит рассмотреть создание таких групп специалистов:
- Red Team — команда пентестеров, которые имитирует действия злоумышленников, чтобы выявить уязвимости в системе защиты организации и оценить ее готовность к отражению атак;
- Blue Team — команда специалистов, занимающихся защитой компьютерных систем и сетей от кибератак. Они отвечают за мониторинг безопасности, обнаружение угроз, реагирование на инциденты и предотвращение будущих атак.
Если организация не имеет ресурса для организации сразу двух подразделений SOC и CISO, обеспечение информационной безопасности ложится на плечи специалистов ИТ-отдела, что приемлемо, если организация некрупная.
План реагирования (IRP)
Если система защиты информации не помогла, нарушение произошло, важно как можно быстрее локализовать его. Не растеряться, пока ищешь ответственных и виноватых, сэкономить драгоценное в такой ситуации время поможет план реагирования.
План реагирования, или Incident Response Platform (далее — IRP) — это документ, в котором описан алгоритм действий в случае ИБ-инцидента, распределены роли и зоны ответственности.
IRP содержит данные о возможных угрозах, инцидентах и их признаках, в нем описаны действия по сдерживанию и устранению, ликвидации его последствий и восстановления работы информационной системы.
IRP оформляется любым удобным для организации способом и предоставляется сотрудникам под подпись.
Заключение
Важно понимать, что не существует абсолютно надежного средства информационной безопасности, которое гарантирует полную защиту от вирусов, кибератак и утечек данных. Поэтому сегодня мы не можем выстраивать ИБ-систему по принципу «если инцидент случится» — только по принципу «когда».
В этой связи управление инцидентами информационной безопасности, создание планов реагирования, распределение ролей, разграничение зон ответственности между специалистами дают возможность отреагировать своевременно, выявить и остановить инцидент до того, как он причинит серьезный финансовый и репутационный ущерб организации.
.jpg)
.jpg)
