Текстовые фрагменты публикации
СИБИРСКИЙ ГОСУДАРСТВЕННЫЙ
АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ АКАДЕМИКА М . Ф . РЕШЕТНЕВА
М. Н. Жукова, В. Г. Жуков, В. В. Золотарев
УПРАВЛЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
Часть 2
У п р а в л е н и е и н ц и д е н т а м и
и н ф о р м а ц и о н н о й
БЕЗОПАСНОСТИ
К р а с н о я р с к
2012
Министерство образования и науки Российской Федерации
Сибирский государственный аэрокосмический университет
имени академика М. Ф. Решетнева
М. Н. Жукова, В. Г. Жуков, В. В. Золотарев
УПРАВЛЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
В 3 частях. Часть 2
У п р а в л е н и е и н ц и д е н т а м и
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Утверждено редакционно-издательским советом университета
в качестве учебного пособия для студентов, обучающихся
по направлениям 090900.68 «Информационная безопасность»,
230100.68 «Информатика и вычислительная техника»,
230200.68
«Информационные системы»
Красноярск 2012
УДК 004.056 (075.8)
ББК 32.973.26-018.2 я7
Ж86
Рецензенты:
кандидат технических наук, доцент С. В. Капустина
(Сибирский федеральный университет)
кандидат технических наук, доцент В. X. Ханов
(Сибирский государственный аэрокосмический университет
имени академика М. Ф. Решетнева)
Печатается по решению научно-методической комиссии ИИТК
Работа выполнена в рамках ФЦП «Исследования и разработки
по приоритетным направлениям развития научно-технологического комплекса
России на 2007-2012 годы»
Ж укова, М. Н.
Ж86
Управление информационной безопасностью : в 3 ч. Ч. 2.
Управление инцидентами информационной безопасности : учеб. по
собие / М. Н. Жукова, В. Г. Жуков, В. В. Золотарев ; Сиб. гос. аэро-
космич. ун-т. - Красноярск, 2012. - 100 с.
Во второй части учебного пособия рассматриваются методы и средства
управления инцидентами информационной безопасности, начиная от организа
ционных моментов и заканчивая применением интеллектуальных технологий в
области анализа аномалий и обнаружения атак. Особое внимание уделено прак
тическим примерам применения интеллектуальных технологий обнаружения и
анализа инцидентов.
Пособие предназначено для студентов старших курсов, обучающихся по
направлениям 090900.68, 230100.68, 230200.68, может быть использовано при
подготовке студентов направлений 090302.65, 090303.65. Будет полезно также
аспирантам, преподавателям, слушателям потоков повышения квалификации, а
также специалистам-практикам, интересующимся проблемами управления ин
формационной безопасностью, построением комплексных систем управления
информационной безопасностью.
УДК 004.056 (075.8)
ББК 32.973.26-018.2 я7
© Сибирский государственный аэрокосмический
университет имени академика М. Ф. Решетнева, 2012
© Жукова М. Н., Жуков В. Г., Золотарев В. В., 2012
О г л а в л е н и е
П редисловие................................................................................................................ 4
Список принятых сокращений ............................................................................7
Глава 1. Системы управления информационной безопасностью
8
1.1. Архитектура систем управления информационной
безопасностью..............................................................................................10
1.2. Принципы, заложенные в системе управления
информационной безопасностью............................................................15
1.3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационные
технологии. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности.
Требования».................................................................................................. 17
1.4. Сертификация систем управления информационной
безопасностью в соответствии
с ГОСТ Р ИСО/МЭК 27001-2006 ...........................................................28
Контрольные вопросы и задания ................................................................... 31
Глава 2. Организационное управление инцидентами
информационной безопасности...........................................................................32
2.1. Методика и обеспечение управления инцидентами.
Нормативная база........................................................................................33
2.2. Структура и задачи группы реагирования
на инциденты информационной безопасности....................................39
2.3. Состав и процесс создания групп реагирования
на инциденты информационной безопасности .................................. 42
2.4. Аутсорсинг при создании групп реагирования
на инциденты информационной безопасности .................................. 44
2.5. Оценка эффективности реагирования на инциденты
информационной безопасности...............................................................46
Контрольные вопросы и задания ...................................................................52
Глава 3. Методы обнаружения инцидентов и анализа аномалий
информационной безопасности...........................................................................53
3.1. Системы, основанные на правилах......................................................... 55
3.2. Искусственные нейронные сети...............................................................65
3.3. Искусственные иммунные сети...............................................................81
Контрольные вопросы и задания ................................................................... 93
Послесловие ..............................................................................................................94
Список терминов и определений ...................................................................... 95
Библиографические ссылки ............................................................................... 97
П р е д и с л о в и е
В первой чисти пособия были рассмотрены проблемы анализа ин
формационных рисков и управления рисками для различных систем, во
второй части внимание будет сконцентрировано на методах и средствах
управления инцидентами информационной безопасности.
Тема реагирования на инциденты информационной безопасности
(ИБ) и их расследования является сегодня одновременно и популярной, и
самой щепетильной. Именно во время расследования и реагирования на
инцидент проявляются конкретные уязвимости информационной системы,
обнаруживаются следы атак и вторжений, проверяется работа защитных
механизмов, качество архитектуры системы ИБ и ее управления.
Как правило, о возникновении инцидентов в системе информацион
ной безопасности компании стараются не заявлять открыто, чтобы не дис
кредитировать себя и не давать дополнительного «оружия» конкурентам
или криминальным структурам, которые в последнее время проявляют по
вышенный интерес к возможностям информационных технологий. В ре
зультате, хотя количество инцидентов ИБ постоянно растет, сведения о
них, как правило, держатся в секрете, а мы узнаем лишь о тех немногочис
ленных инцидентах, информация о которых «просочилась» в прессу.
Оборотная сторона такой информационной непрозрачности - труд
ности при поиске специалистов, которые могли бы провести работу по
расследованию компьютерных инцидентов или выстраиванию в компании
процесса реагирования на инциденты. По понятным причинам исполни
тель не может предоставить отзывы своих клиентов о произведенных ра
ботах такого рода. Вместе с тем проведение работ по расследованию ин
цидентов требует от исполнителя и заказчика очень высокого уровня вза
имного доверия.
Вообще, в России существует целый ряд серьезных проблем в этой
области: нет единого центра регистрации инцидентов, отстает законода
тельство, нет открытых методик и стандартов организации процесса реа
гирования и расследования инцидентов ИБ. Куда обращаться компании,
потерпевшей убытки в результате злоумышленного компьютерною инци
дента? Как можно подготовиться к такого рода событиям, какие сущест
вуют превентивные меры по предотвращению инцидентов?
За рубежом уже существуют стандарты, описывающие процесс реа
гирования на компьютерные инциденты. В первую очередь это стандарт
NIST Special Publication 800-61 «Computer security incident handling guide».
Новая версия ISO 17799:2005 требует наличия процесса реагирования на
инциденты (раздел 13 - «Information security incident management»).
4
В России с 2006 года принят стандарт ГОСТ Р ИСО/МЭК 27001-2006
«Информационные технологии. Методы и средства обеспечения безопас
ности. Системы менеджмента информационной безопасности. Требова
ния», рассматривающий комплексный подход к разработке систем управ
ления информационной безопасностью (СУИБ). В рамках данного стан
дарта рассматриваются также вопросы, связанные с управлением инциден
тами ИБ, их расследованием, сформированы требования к отделам/персо
налу, занимающимся решением задач обнаружения, анализа и расследова
ния инцидентов.
Инцидентом информационной безопасности называется любое неза
конное, неразрешенное (в том числе политикой ИБ) или неприемлемое
действие, которое совершается в информационной системе [1]. Организа
ция процесса реагирования на инцидент преследует определенные цели:
- предупредить нескоординированные действия и в кратчайшие
сроки восстановить работоспособность компании при возникновении ин
цидента;
- подтвердить или опровергнуть факт инцидента ИБ;
- представить детализированный отчет о произошедшем инциденте
и полезные рекомендации. Создать условия для накопления и хранения
точной информации о компьютерных инцидентах. Обеспечить быстрое
обнаружение и/или предупреждение подобных инцидентов в будущем (пу
тем анализа «прошедших уроков», изменения политики ИБ, модернизации
системы ИБ и др.);
обеспечить сохранность и целостность доказательств произошед
шего инцидента. Создать условия для возбуждения гражданского или уго
ловного дела против злоумышленника;
- минимизировать нарушение порядка работы и повреждения дан
ных ИТ-системы. Минимизировать последствия нарушения конфиденци
альности, целостности и доступности ИТ-системы;
- защитить репутацию компании и ее ресурсы;
- провести обучение сотрудников компании о процессе реагирова
ния на инцидент.
Расследование инцидентов ИБ и реагирование на них - сложный и
комплексный процесс, требующий участия сотрудников многих подразде
лений компании: сотрудников отдела кадров, юристов, технических экс
пертов ИТ-системы, внешних консультантов по информационной безопас
ности, бизнес-менеджеров, конечных пользователей информационной сис
темы, сотрудников служб технической поддержки, сотрудников службы
безопасности и др. Большинство компаний создают комиссию по рассле
дованию инцидента ИБ (Computer Security Incident Response Team -
5
CSIRT) или группу реагирования на инциденты информационной безопас
ности (ГРИИБ).
Однако эффективная работа всех отделов компании невозможна без
единой системы управления информационной безопасностью, включаю
щей в себя как организационные аспекты организации и управления пер
соналом, так и компьютерные методы анализа инцидентов/аномалий ин
формационной безопасности.
Поэтому изучение базовых основ построения систем управления ин
формационной безопасностью и методов обнаружения и анализа инциден
тов информационной безопасности является обязательной составляющей в
системе профессиональной подготовки магистрантов по направлениям
090900.68 «Информационная безопасность», 230100.68 «Информатика и
вычислительная техника», 230200.68 «Информационные системы», реко
мендовано также для подготовки специалистов по направлениям 090302.65
«Информационная
безопасность
телекоммуникационных
систем»,
090303.65 «Информационная безопасность автоматизированных систем».
Материал, изложенный в данном учебном пособии, многократно
проверен, но, поскольку вероятность наличия ошибок все равно сущест
вует, авторы просят направлять свои комментарии, отзывы, предложения
и возникающие в процессе изучения материала вопросы на электронные
а/феса: ZhukovaMN@gmail.com, amida@land.ru.
С п и со к ПРИНЯТЫХ СОКРАЩЕНИЙ
АСОИ
автоматизированная система обработки информации
ГРИИБ
группа реагирования на инциденты информационной безопас
ности
ИБ
информационная безопасность
ИИБ
инцидент информационной безопасности
ИИС
интеллектуальная информационная система
ИН
искусственные нейроны
ИНС
искусственные нейронные сети
с з и
система защиты информации
СУИБ
системы управления информационной безопасности
Глава 1
СИСТЕМ Ы УПРАВЛЕНИЯ ИНФОРМ АЦИОННОЙ
БЕЗОПАСНОСТЬЮ
В России основной упор по обеспечению информационной безопас
ности делается на комплекс технических средств, прежде всего сетевой
безопасности, а не на построение системы ИБ. Зашита информации в ком
паниях воспринимается как разовая задача, которая обычно сводится к ус
тановке и настройке типового набора средств зашиты, таких как антивиру
сы, межсетевые экраны, системы разграничения доступа. Однако с учетом
того, что угрозы постоянно эволюционируют, рано или поздно применение
такого подхода приведет к тому, что текущий уровень безопасности орга
низации окажется недостаточным для эффективного противодействия
внешним и внутренним атакам злоумышленников [2].
Чтобы избежать этой ситуации, информационная безопасность
должна восприниматься как непрерывный процесс, интегрированный
в корпоративную модель управления компанией.
Основные проблемы в области информационной безопасности
у большинства российских организаций:
- непонимание руководством смысла и проблем обеспечения ИБ,
назначения и важности системы управления ИБ;
- отсутствие служб и штатного персонала по обеспечению ИБ;
- отсутствие документированных должностных обязанностей пер
сонала ИБ;
- непродуманная политика ИБ;
- отсутствие многих процессов ИБ;
- игнорирование вопросов проведения аудитов ИБ изнутри / со сто
роны;
- копирование неадаптированных под себя моделей зашиты инфор
мации;
- отсутствие процедуры анализа рисков;
- отсутствие дополнительных инвестиций в информационную безо
пасность ввиду недостаточности или отсутствия формулировок мотивации
в их необходимости.
Наиболее эффективным решением как общих, так и индивидуальных
задач информационной безопасности в организации является система
управления информационной безопасностью.
Система управления информационной безопасности — часть общей
системы управления, основанная на использовании методов оценки
бизнес-рисков для разработки, внедрения, функционирования, мониторин
га, анализа, поддержки и улучшения информационной безопасности [1].
8
Под системой управления информационной безопасностью следует
понимать систему управления компании, базирующуюся на анализе рис
ков и предназначенную для проектирования, реализации, контроля, сопро
вождения и совершенствования мер в области ИБ. СУИБ позволяет дос
тигнуть необходимого уровня защищенности системы и значительно сни
зить риски угроз ИБ. СУИБ связывает различные компоненты средств ИБ
с целью надежного и прозрачного управления обеспечением ИБ компании
так, чтобы результат был виден и руководству, и простым специалистам.
Система управления информационной безопасностью - это не класс
и не набор программных средств. СУИБ
это прежде всего набор органи
зационных мероприятий и процедур управления, политик, действий
по планированию, обязанности и ресурсы. СУИБ заключается в создании
и применении системы процессов управления, которые взаимосвязаны
в непрерывном цикле планирования, внедрения, проверки и улучшения [3].
Наиболее значимой целью системы является защита бизнеса и ин
формационных активов компании от уничтожения или утечки. Также од
ной из основных целей является гарантия имущественных прав и интере
сов клиентов. В то же время меры по управлению ИБ не должны ограни
чивать или затруднять другие бизнес-процессы [4].
Предпосылками создания СУИБ являются возросшие или возрас
тающие требования к безопасности информационной системы компании
и достижение такого уровня требований к ИБ, когда уже недостаточно реа
лизации стандартного набора технических мер. Вопрос о необходимости
внедрения системы управления ИБ должен решать сам владелец организа
ции; это будет зависеть от ценности информационных ресурсов, от зрело
сти информационной системы и принятой политики работы с критически
ми данными [5J. Но в конечном счете с разрастанием информационной
системы все внедряемые средства ИБ будет все сложнее и сложнее кон
тролировать без необходимых средств управления.
С учетом возросших требований СУИБ может дать многое. Во-пер
вых, правильно спроектированная и реализованная СУИБ в состоянии сис
тематизировать как существующие, так и планируемые процессы обеспе
чения информационной безопасности. Во-вторых, СУИБ может отслежи
вать выполнение этих процессов, вносимые в них изменения, а также из
менения, вносимые во всю систему ИБ. В-третьих, СУИБ позволяет обес
печить прозрачность системы ИБ [5]. Последний пункт особенно важен,
так как позволяет четко определить, как взаимосвязаны процессы и под
системы ИБ, кто за них отвечает, какие финансовые средства и людские
ресурсы необходимы для их обеспечения.
В целом СУИБ отвечает за планирование, исполнение, контроль и
техническое обслуживание всей инфраструктуры безопасности. Организа
ция этих процессов усложняется также тем обстоятельством, что обеспе
чение информационной безопасности компании связано не только с защи
9
той информационных систем и бизнес-процессами, которые поддержива
ются этими информационными системами. На предприятии существуют
бизнес-процессы, не связанные с ИТ, но попадающие в сферу обеспечения,
например, процессы кадровой службы по найму персонала.
Приведение СУИБ в соответствие корректной архитектуре гаранти
рует, что сотрудники, ответственные за управление ИБ, получат и исполь
зуют все необходимые ресурсы для поддержки процессов, которые требу
ются организации для достижения должного уровня информационной
безопасности.
Архитектура в общем виде отображает основные элементы системы
управления информационной безопасностью (рис. 1.1) [6].
1.1. А р х и т е к т у р а с и с т е м ы у п р а в л е н и я
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Область применения СУИБ
Документированная
Область применения
(ISMS Scope)
1 Голитика безопасности
Документированная
политика безопасности
Угрозы.
Список оцененных
i
рисков
уязвимости,
воздействия
Оценка рисков
Стратегия
l
управления рисками |
Управление рисками
Идентифицированные
уязвимости для активов
организации
\
дополнительные
мерь:
Набор целей и мер
управления
Отчет о надежности мер
управления
Положение о применимости
I
Документированное
положение о
применимости
Рис. 1.1. Архитектура системы управления информационной безопасностью
10
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
