Управление информационной безопасностью. Ч. 2. Управление инцидентами информационной безопасности

СИБИРСКИЙ ГОСУДАРСТВЕННЫЙ 
АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ 
ИМЕНИ АКАДЕМИКА М . Ф . РЕШЕТНЕВА

М. Н. Жукова, В. Г. Жуков, В. В. Золотарев

УПРАВЛЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ

Часть 2

У п р а в л е н и е  и н ц и д е н т а м и  

и н ф о р м а ц и о н н о й

БЕЗОПАСНОСТИ

К р а с н о я р с к
2012

Министерство образования и науки Российской Федерации 
Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева

М. Н. Жукова, В. Г. Жуков, В. В. Золотарев

УПРАВЛЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ

В 3 частях. Часть 2

У п р а в л е н и е  и н ц и д е н т а м и

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Утверждено редакционно-издательским советом университета 
в качестве учебного пособия для студентов, обучающихся 
по направлениям 090900.68 «Информационная безопасность», 
230100.68 «Информатика и вычислительная техника»,
230200.68 
«Информационные системы»

Красноярск 2012

УДК 004.056 (075.8)
ББК 32.973.26-018.2 я7 
Ж86
Рецензенты:
кандидат технических наук, доцент С. В. Капустина 
(Сибирский федеральный университет) 
кандидат технических наук, доцент В. X. Ханов 
(Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева)

Печатается по решению научно-методической комиссии ИИТК

Работа выполнена в рамках ФЦП «Исследования и разработки 
по приоритетным направлениям развития научно-технологического комплекса 
России на 2007-2012 годы»

Ж укова, М. Н.
Ж86 
Управление информационной безопасностью : в 3 ч. Ч. 2.
Управление инцидентами информационной безопасности : учеб. пособие / М. Н. Жукова, В. Г. Жуков, В. В. Золотарев ; Сиб. гос. аэро- 
космич. ун-т. -  Красноярск, 2012. -  100 с.

Во второй части учебного пособия рассматриваются методы и средства 
управления инцидентами информационной безопасности, начиная от организационных моментов и заканчивая применением интеллектуальных технологий в 
области анализа аномалий и обнаружения атак. Особое внимание уделено практическим примерам применения интеллектуальных технологий обнаружения и 
анализа инцидентов.
Пособие предназначено для студентов старших курсов, обучающихся по 
направлениям 090900.68, 230100.68, 230200.68, может быть использовано при 
подготовке студентов направлений 090302.65, 090303.65. Будет полезно также 
аспирантам, преподавателям, слушателям потоков повышения квалификации, а 
также специалистам-практикам, интересующимся проблемами управления информационной безопасностью, построением комплексных систем управления 
информационной безопасностью.

УДК 004.056 (075.8) 
ББК 32.973.26-018.2 я7

© Сибирский государственный аэрокосмический 
университет имени академика М. Ф. Решетнева, 2012 
© Жукова М. Н., Жуков В. Г., Золотарев В. В., 2012

О г л а в л е н и е

П редисловие................................................................................................................ 4

Список принятых сокращений ............................................................................7

Глава 1. Системы управления информационной безопасностью 
8
1.1. Архитектура систем управления информационной 
безопасностью..............................................................................................10
1.2. Принципы, заложенные в системе управления 
информационной безопасностью............................................................15
1.3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационные 
технологии. Методы и средства обеспечения безопасности. 
Системы менеджмента информационной безопасности. 
Требования».................................................................................................. 17
1.4. Сертификация систем управления информационной 
безопасностью в соответствии
с ГОСТ Р ИСО/МЭК 27001-2006 ...........................................................28
Контрольные вопросы и задания ................................................................... 31

Глава 2. Организационное управление инцидентами 
информационной безопасности...........................................................................32
2.1. Методика и обеспечение управления инцидентами.
Нормативная база........................................................................................33
2.2. Структура и задачи группы реагирования
на инциденты информационной безопасности....................................39
2.3. Состав и процесс создания групп реагирования
на инциденты информационной безопасности .................................. 42
2.4. Аутсорсинг при создании групп реагирования
на инциденты информационной безопасности .................................. 44
2.5. Оценка эффективности реагирования на инциденты 
информационной безопасности...............................................................46
Контрольные вопросы и задания ...................................................................52

Глава 3. Методы обнаружения инцидентов и анализа аномалий 
информационной безопасности...........................................................................53
3.1. Системы, основанные на правилах......................................................... 55
3.2. Искусственные нейронные сети...............................................................65
3.3. Искусственные иммунные сети...............................................................81
Контрольные вопросы и задания ................................................................... 93

Послесловие ..............................................................................................................94

Список терминов и определений ...................................................................... 95

Библиографические ссылки ............................................................................... 97

П р е д и с л о в и е

В первой чисти пособия были рассмотрены проблемы анализа информационных рисков и управления рисками для различных систем, во 
второй части внимание будет сконцентрировано на методах и средствах 
управления инцидентами информационной безопасности.
Тема реагирования на инциденты информационной безопасности 
(ИБ) и их расследования является сегодня одновременно и популярной, и 
самой щепетильной. Именно во время расследования и реагирования на 
инцидент проявляются конкретные уязвимости информационной системы, 
обнаруживаются следы атак и вторжений, проверяется работа защитных 
механизмов, качество архитектуры системы ИБ и ее управления.
Как правило, о возникновении инцидентов в системе информационной безопасности компании стараются не заявлять открыто, чтобы не дискредитировать себя и не давать дополнительного «оружия» конкурентам 
или криминальным структурам, которые в последнее время проявляют повышенный интерес к возможностям информационных технологий. В результате, хотя количество инцидентов ИБ постоянно растет, сведения о 
них, как правило, держатся в секрете, а мы узнаем лишь о тех немногочисленных инцидентах, информация о которых «просочилась» в прессу.
Оборотная сторона такой информационной непрозрачности -  трудности при поиске специалистов, которые могли бы провести работу по 
расследованию компьютерных инцидентов или выстраиванию в компании 
процесса реагирования на инциденты. По понятным причинам исполнитель не может предоставить отзывы своих клиентов о произведенных работах такого рода. Вместе с тем проведение работ по расследованию инцидентов требует от исполнителя и заказчика очень высокого уровня взаимного доверия.
Вообще, в России существует целый ряд серьезных проблем в этой 
области: нет единого центра регистрации инцидентов, отстает законодательство, нет открытых методик и стандартов организации процесса реагирования и расследования инцидентов ИБ. Куда обращаться компании, 
потерпевшей убытки в результате злоумышленного компьютерною инцидента? Как можно подготовиться к такого рода событиям, какие существуют превентивные меры по предотвращению инцидентов?
За рубежом уже существуют стандарты, описывающие процесс реагирования на компьютерные инциденты. В первую очередь это стандарт 
NIST Special Publication 800-61 «Computer security incident handling guide». 
Новая версия ISO 17799:2005 требует наличия процесса реагирования на 
инциденты (раздел 13 -  «Information security incident management»).

4

В России с 2006 года принят стандарт ГОСТ Р ИСО/МЭК 27001-2006 
«Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», рассматривающий комплексный подход к разработке систем управления информационной безопасностью (СУИБ). В рамках данного стандарта рассматриваются также вопросы, связанные с управлением инцидентами ИБ, их расследованием, сформированы требования к отделам/персоналу, занимающимся решением задач обнаружения, анализа и расследования инцидентов.
Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое 
действие, которое совершается в информационной системе [1]. Организация процесса реагирования на инцидент преследует определенные цели:
- предупредить нескоординированные действия и в кратчайшие 
сроки восстановить работоспособность компании при возникновении инцидента;
- подтвердить или опровергнуть факт инцидента ИБ;
- представить детализированный отчет о произошедшем инциденте 
и полезные рекомендации. Создать условия для накопления и хранения 
точной информации о компьютерных инцидентах. Обеспечить быстрое 
обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа «прошедших уроков», изменения политики ИБ, модернизации 
системы ИБ и др.);
обеспечить сохранность и целостность доказательств произошедшего инцидента. Создать условия для возбуждения гражданского или уголовного дела против злоумышленника;
- минимизировать нарушение порядка работы и повреждения данных ИТ-системы. Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ-системы;
- защитить репутацию компании и ее ресурсы;
- провести обучение сотрудников компании о процессе реагирования на инцидент.
Расследование инцидентов ИБ и реагирование на них -  сложный и 
комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы 
безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team 
5

CSIRT) или группу реагирования на инциденты информационной безопасности (ГРИИБ).
Однако эффективная работа всех отделов компании невозможна без 
единой системы управления информационной безопасностью, включающей в себя как организационные аспекты организации и управления персоналом, так и компьютерные методы анализа инцидентов/аномалий информационной безопасности.
Поэтому изучение базовых основ построения систем управления информационной безопасностью и методов обнаружения и анализа инцидентов информационной безопасности является обязательной составляющей в 
системе профессиональной подготовки магистрантов по направлениям
090900.68 «Информационная безопасность», 230100.68 «Информатика и 
вычислительная техника», 230200.68 «Информационные системы», рекомендовано также для подготовки специалистов по направлениям 090302.65 
«Информационная 
безопасность 
телекоммуникационных 
систем», 
090303.65 «Информационная безопасность автоматизированных систем».
Материал, изложенный в данном учебном пособии, многократно 
проверен, но, поскольку вероятность наличия ошибок все равно существует, авторы просят направлять свои комментарии, отзывы, предложения 
и возникающие в процессе изучения материала вопросы на электронные 
а/феса: ZhukovaMN@gmail.com, amida@land.ru.

С п и со к  ПРИНЯТЫХ СОКРАЩЕНИЙ

АСОИ
автоматизированная система обработки информации
ГРИИБ
группа реагирования на инциденты информационной безопасности
ИБ
информационная безопасность
ИИБ
инцидент информационной безопасности
ИИС
интеллектуальная информационная система
ИН
искусственные нейроны
ИНС
искусственные нейронные сети
с з и
система защиты информации
СУИБ
системы управления информационной безопасности

Глава 1
СИСТЕМ Ы  УПРАВЛЕНИЯ ИНФОРМ АЦИОННОЙ 
БЕЗОПАСНОСТЬЮ

В России основной упор по обеспечению информационной безопасности делается на комплекс технических средств, прежде всего сетевой 
безопасности, а не на построение системы ИБ. Зашита информации в компаниях воспринимается как разовая задача, которая обычно сводится к установке и настройке типового набора средств зашиты, таких как антивирусы, межсетевые экраны, системы разграничения доступа. Однако с учетом 
того, что угрозы постоянно эволюционируют, рано или поздно применение 
такого подхода приведет к тому, что текущий уровень безопасности организации окажется недостаточным для эффективного противодействия 
внешним и внутренним атакам злоумышленников [2].
Чтобы избежать этой ситуации, информационная безопасность 
должна восприниматься как непрерывный процесс, интегрированный 
в корпоративную модель управления компанией.
Основные проблемы в области информационной безопасности 
у большинства российских организаций:
-  непонимание руководством смысла и проблем обеспечения ИБ, 
назначения и важности системы управления ИБ;
-  отсутствие служб и штатного персонала по обеспечению ИБ;
-  отсутствие документированных должностных обязанностей персонала ИБ;
-  непродуманная политика ИБ;
-  отсутствие многих процессов ИБ;
-  игнорирование вопросов проведения аудитов ИБ изнутри / со стороны;
-  копирование неадаптированных под себя моделей зашиты информации;
-  отсутствие процедуры анализа рисков;
-  отсутствие дополнительных инвестиций в информационную безопасность ввиду недостаточности или отсутствия формулировок мотивации 
в их необходимости.
Наиболее эффективным решением как общих, так и индивидуальных 
задач информационной безопасности в организации является система 
управления информационной безопасностью.
Система управления информационной безопасности — часть общей 
системы управления, основанная на использовании методов оценки 
бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности [1].

8

Под системой управления информационной безопасностью следует 
понимать систему управления компании, базирующуюся на анализе рисков и предназначенную для проектирования, реализации, контроля, сопровождения и совершенствования мер в области ИБ. СУИБ позволяет достигнуть необходимого уровня защищенности системы и значительно снизить риски угроз ИБ. СУИБ связывает различные компоненты средств ИБ 
с целью надежного и прозрачного управления обеспечением ИБ компании 
так, чтобы результат был виден и руководству, и простым специалистам.
Система управления информационной безопасностью -  это не класс 
и не набор программных средств. СУИБ 
это прежде всего набор организационных мероприятий и процедур управления, политик, действий 
по планированию, обязанности и ресурсы. СУИБ заключается в создании 
и применении системы процессов управления, которые взаимосвязаны 
в непрерывном цикле планирования, внедрения, проверки и улучшения [3].
Наиболее значимой целью системы является защита бизнеса и информационных активов компании от уничтожения или утечки. Также одной из основных целей является гарантия имущественных прав и интересов клиентов. В то же время меры по управлению ИБ не должны ограничивать или затруднять другие бизнес-процессы [4].
Предпосылками создания СУИБ являются возросшие или возрастающие требования к безопасности информационной системы компании 
и достижение такого уровня требований к ИБ, когда уже недостаточно реализации стандартного набора технических мер. Вопрос о необходимости 
внедрения системы управления ИБ должен решать сам владелец организации; это будет зависеть от ценности информационных ресурсов, от зрелости информационной системы и принятой политики работы с критическими данными [5J. Но в конечном счете с разрастанием информационной 
системы все внедряемые средства ИБ будет все сложнее и сложнее контролировать без необходимых средств управления.
С учетом возросших требований СУИБ может дать многое. Во-первых, правильно спроектированная и реализованная СУИБ в состоянии систематизировать как существующие, так и планируемые процессы обеспечения информационной безопасности. Во-вторых, СУИБ может отслеживать выполнение этих процессов, вносимые в них изменения, а также изменения, вносимые во всю систему ИБ. В-третьих, СУИБ позволяет обеспечить прозрачность системы ИБ [5]. Последний пункт особенно важен, 
так как позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые средства и людские 
ресурсы необходимы для их обеспечения.
В целом СУИБ отвечает за планирование, исполнение, контроль и 
техническое обслуживание всей инфраструктуры безопасности. Организация этих процессов усложняется также тем обстоятельством, что обеспечение информационной безопасности компании связано не только с защи9

той информационных систем и бизнес-процессами, которые поддерживаются этими информационными системами. На предприятии существуют 
бизнес-процессы, не связанные с ИТ, но попадающие в сферу обеспечения, 
например, процессы кадровой службы по найму персонала.

Приведение СУИБ в соответствие корректной архитектуре гарантирует, что сотрудники, ответственные за управление ИБ, получат и используют все необходимые ресурсы для поддержки процессов, которые требуются организации для достижения должного уровня информационной 
безопасности.
Архитектура в общем виде отображает основные элементы системы 
управления информационной безопасностью (рис. 1.1) [6].

1.1. А р х и т е к т у р а  с и с т е м ы  у п р а в л е н и я

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Область применения СУИБ
Документированная 
Область применения
(ISMS Scope)

1 Голитика безопасности
Документированная 
политика безопасности

Угрозы.
Список оцененных 
i 
рисков
уязвимости,
воздействия
Оценка рисков

Стратегия 
l  
управления рисками |
Управление рисками

Идентифицированные 
уязвимости для активов 
организации

\

дополнительные
мерь:
Набор целей и мер 
управления

Отчет о надежности мер 
управления

Положение о применимости
I 
Документированное 
положение о 
применимости

Рис. 1.1. Архитектура системы управления информационной безопасностью

10