ЗНАЙ ИНТУИТ, Лекция, Процедурно ниво на информационна сигурност

Реагиране на нарушения на сигурността

Програмата за сигурност, приета от организацията, трябва да предвижда набор от оперативни мерки, насочени към откриване и неутрализиране на нарушения на режима на информационна сигурност. Важно е в такива случаи последователността на действията да се планира предварително, тъй като мерките трябва да се вземат спешно и координирано.

Отговорът на пробивите в сигурността има три основни цели:

  • локализиране на инцидента и намаляване на нанесената вреда;
  • идентификация на нарушителя;
  • предотвратяване на повтарящи се нарушения.

Важността на бързата и координирана реакция може да бъде илюстрирана от следния пример. Нека локалната мрежа на едно предприятие се състои от два сегмента, администрирани от различни хора. Освен това, нека вирусът бъде въведен в един от сегментите. Почти сигурно след няколко минути (или в краен случай няколко десетки минути) вирусът ще се разпространи в друг сегмент. Това означава, че мерките трябва да бъдат взети незабавно. Необходимо е „почистване“ на вируса и в двата сегмента едновременно; в противен случай сегментът, възстановен първи, ще бъде заразен от другия, а след това вирусът ще се върне към втория сегмент.

Доста често изискването за локализиране на инцидента и намаляване на причинената вреда води до конфликти с желанието да се идентифицира нарушителят. Политиката за сигурност на организацията трябва да бъде приоритетна предварително. Тъй като, както показва практиката, е много трудно да се идентифицира нападател, по наше мнение, на първо място, трябва да се погрижим за намаляване на щетите.

За да откриете нарушителя, трябва предварително да разберете данните за контакт на доставчика на мрежови услуги и да се съгласите с него относно самата възможност и процедура за извършване на съответните действия. Тази тема е обсъдена по-подробно в статията на Н. Brownlee и E. Gutman „Как да реагираме на нарушенията на информационната сигурност (RFC 2350, BCP 21)“ (Jet Info, 2000, 5).

За да се предотвратят повтарящи се нарушения, е необходимо да се анализира всеки инцидент, да се идентифицират причините и да се натрупват статистически данни. Какви са източниците на зловреден софтуер? Кои потребители са склонни да избират слаби пароли? Резултатите от анализа трябва да отговорят на такива въпроси.

Необходимо е да се наблюдава появата на нови уязвимости и да се премахнат свързаните с тях прозорци на опасност възможно най-скоро. Някой в ​​организацията трябва да наблюдава този процес, да предприема краткосрочни действия и да коригира програмата за безопасност за дългосрочни действия.

Планиране на възстановяване

Нито една организация не е защитена от сериозни произшествия, причинени от естествени причини, натрапници, небрежност или некомпетентност. В същото време всяка организация има функции, които ръководството счита за критични, те трябва да се изпълняват независимо от всичко. Планирането на възстановяване ви позволява да се подготвите за аварии, да намалите щетите от тях и да поддържате способността да функционирате поне до минимум.

Обърнете внимание, че мерките за информационна сигурност могат да бъдат разделени на три групи, в зависимост от това дали са насочени към предотвратяване, откриване или премахване на последиците от атаките. Повечето от мерките имат превантивен характер. Онлайн анализът на регистрационната информация и някои аспекти на реакция при нарушения (т.нар. Активен одит) служат за откриване и отблъскване на атаки. Очевидно планирането на възстановителните работи може да бъде отнесено към последната от трите изброени групи.