Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007

Руслан Рахметов, Security Vision

В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).

Стандарт ИСО МЭК 18044 был введен в действие достаточно давно (01.07.2008 г.), но при этом фундаментальный подход по отношению к управлению инцидент-менеджментом является актуальным и по сегодняшний день. К сожалению, в российской практике часто встречаются организации, где процессы управления инцидентами не имеют формализации и выстроенного структурного подхода. По сути, обработка инцидентов осуществляется по наитию, без четкого, последовательного, регламентированного и формализованного подхода, а это в свою очередь негативно отражается на уровне защищенности информационных активов организации.

Результатами отсутствия выстроенного инцидент менеджмента являются: регулярное повторение одних и тех же инцидентов ИБ, дефицит человеческих ресурсов за счет большого количества ложно-положительных событий ИБ, неэффективное реагирование, некорректное проведение анализа, плохая координация действий с другими подразделениями, неэффективное использование бюджета в части приобретения технических средств.

Рассматриваемый стандарт является одновременно гайдом и прекрасным базисом для построения правильного инцидент менеджмента, учитывая все основные аспекты. Кроме того, ГОСТ 18044 может служить источником полезной информации для оптимизации менеджмента инцидентов в вашей организации. При этом ориентироваться на него можно вне зависимости от сферы деятельности вашей организации.

Выстраивание менеджмента инцидентов ИБ по ГОСТ Р 18044 базируется на достаточно популярной модели PDCA (Plan-Do-Check-Act). В частности, основную часть документа занимает детализация следующих четырех этапов управления инцидентами ИБ: планирование и подготовка, использование, анализ, улучшение.

В стандарте ИСО 18044 подробно обосновываются преимущества структурного подхода управления инцидентами ИБ, а также описывается ряд ключевых вопросов, на которые следует обратить внимание при построении системы управления инцидентами ИБ в вашей организации:

- обязательства руководства

- осведомленность

- правовые и нормативные аспекты

- эффективность эксплуатации и качество

- анонимность

- конфиденциальность

- независимость деятельности группы реагирования на инциденты ИБ

- типология.

Помимо общей концепции, для более детального погружения в предметную область в стандарте приведены некоторые примеры инцидентов ИБ и причины их возникновения (отказ в обслуживании, сбор информации, несанкционированный доступ).

Далее рассмотрим более подробно содержание каждого из четырех этапов менеджмента инцидентов информационной безопасности стандарта ГОСТ 18044.

1 Этап. «Планирование и подготовка»

Данный этап является фундаментом, в ходе которого должны быть осуществлены:

- формализация политики обработки событий и инцидентов ИБ

- формирование структуры подразделения по управлению инцидентами ИБ, включая формирование штатного расписания и подбор необходимого персонала

- формирование программы обучения и проведение мероприятий, направленных на осведомленность об инцидент менеджменте в организации.

В частности, на данном этапе создаются общее представление о менеджменте инцидентов ИБ, политика управления инцидентами ИБ в организации, подробные регламенты к процессам и процедурам обработки инцидентов ИБ (программа), осуществляется интеграция менеджмента инцидентов ИБ в общую политику менеджмента рисков и политику ИБ организации. Важным шагом является формирование специальной группы реагирования на инциденты ИБ (ГРИИБ), которая будет осуществлять процедуры с целью снижения ущерба связанных с инцидентами ИБ. При этом, для эффективного выполнения своих задач, ГРИИБ должна быть обеспечена доступом к необходимой информации по активам и бизнес-процессам организации, а также техническими средствами, которые будут использоваться для автоматизации анализа данных и внутренних процессов обработки инцидентов.

По итогам выполнения вышеописанных шагов необходимо провести мероприятия, направленные на повышение осведомленности в вопросах ИБ для всего персонала организации. А для участников процесса менеджмента инцидентов ИБ разработать внутреннюю программу обучения (с учетом различных уровней подготовки).

2 Этап. «Использование»

Этап «Использование» является одним из главных, в ходе которого на основе, заложенной на предыдущем этапе, проводится ряд ключевых операционных процессов по обработке инцидентов. Рассмотрим процессы данного этапа, приведенные в стандарте ИСО МЭК 18044.

Обнаружение и оповещение о событиях ИБ

Выявление событий ИБ может осуществляться как сотрудниками организации, так и различными техническими средствами в автоматическом режиме (МСЭ, СОВ, АВП, SIEM и прочими СЗИ). Далее в рамках этого процесса важным является оповещение с целью привлечения внимания группы обеспечения эксплуатации и менеджмента, в формате принятой отчетности в организации.

Оценка и принятие решений по событиям ИБ

Группа обеспечения эксплуатации, получив информацию по событию ИБ, проводит анализ события ИБ на основе предоставленной отчетной формы (при необходимости производит уточнения и сбор дополнительной информации) и проводит первичную оценку для классификации/категоризации данного события ИБ, то есть является ли данное событие инцидентом ИБ или же это ложно-положительное событие ИБ. При этом вне зависимости от того, является ли событие ложным или инцидентом, группа эксплуатации заполняет свою форму отчетности и передает ее в группу реагирования (ГРИИБ) для записи в базу данных и последующего анализа.

Далее ГРИИБ проводит вторую оценку инцидента ИБ для целей подтверждения или же опровержения данного факта. Аналогично предыдущему процессу, ГРИИБ проводит уточнение деталей у группы обеспечения эксплуатации и сбор дополнительной информации регистрируя всё в базе данных событий/инцидентов ИБ. В случае если инцидент ИБ подтверждается, то ГРИИБ переходит к следующему ключевому процессу - реагированию.

Реагирование на инциденты ИБ

Получив подтверждение инцидента ИБ, ГРИИБ в первую очередь производит действия по немедленному реагированию (например, отключение атакованной системы, сетевая изоляция зараженного узла) с уведомлением сотрудников организации и руководства (при возникновении кризисной ситуации). Важно отметить, что некоторые действия могут потребовать дополнительного согласования, эти тонкости должны быть зафиксированы в регламентах ГРИИБ.

Следующим действием ГРИИБ является подтверждение того, что инцидент ИБ находится под контролем, и переход к дальнейшим необходимым действиям по реагированию. В противном же случае сотрудник ГРИИБ инициирует срочные антикризисные действия.

Для инцидента ИБ, находящегося под контролем, сотрудник ГРИИБ определяет наиболее эффективные и оптимальные шаги реагирования для дальнейшей нейтрализации угрозы и устранения последствий. В свою очередь, для неконтролируемого инцидента ИБ ГРИИБ начинают обработку данного инцидента в режиме антикризисных действий по заранее разработанным планам.

В ходе предыдущих действий по реагированию могут потребоваться правовая экспертиза, которую должен осуществлять сотрудник ГРИИБ, или информирование конкретных лиц - как внутри организации, включая высшее руководство, так и за ее пределами, включая СМИ.

Важным условием при обработке событий/инцидентов ИБ является регистрация всех действий участников процесса в защищаемых журналах (с применением СЗИ и резервирования) с целью возможности проведения дальнейшего ретроспективного анализа и формирования доказательной базы.

3 Этап. «Анализ»

После закрытия инцидента ИБ проводится ряд аналитических процедур для выявления причин возникновения инцидента ИБ, уязвимостей, тенденций, проблемных областей с целью принятия мер для снижения вероятности возникновения повторных инцидентов. Также ГРИИБ проводит правовую экспертизу с целью сбора и определения свидетельств. По итогам данного этапа определяется перечень необходимых улучшений безопасности и системы менеджмента инцидентов ИБ.

4 Этап. «Улучшение»

На данном этапе осуществляется внедрение рекомендаций, полученных по итогам анализа. С целью усиления безопасности могут быть внедрены дополнительные технические или организационные защитные меры, проведены изменения в конфигурациях систем. Также могут производится корректировки процессов, процедур, форм отчетности с целью непрерывной оптимизации менеджмента инцидентов ИБ.

Важно, что, согласно подходу стандарта ГОСТ Р 18044, сводная информация, полученная в ходе операционной деятельности по управлению инцидентами ИБ, должна передаваться на более верхний уровень менеджмента, который занимается стратегическими вопросами управления информационной безопасностью в организации.

В конце стандарта приводится справочная информация по формам отчетов о событиях/инцидентах ИБ, а также рекомендации, которые могут быть использованы как базис для дальнейшей адаптации под нужды конкретной организации.

Резюмируя данную статью, хочется повторно обозначить важность формализованного и структурного подхода по обработке инцидентов ИБ. Ведь защита организации от угроз ИБ на фоне цифровизации всех наших аспектов жизнедеятельности становится критически важным вопросом. Скорость реакции и корректность действий подразделений, проводящих процедуры обнаружения, принятия решений, реагирования, проведения пост анализа и мероприятий по улучшению, оказывает самое существенное влияние на величину ущерба от инцидентов информационной безопасности.