Особенности реагирования на инциденты иб
В СООТВЕТСТВИИ С СТО 1.3-2016
Объект исследования: особенности реагирования на инциденты ИБ в соответствии с СТО БР ИББС-1.3-2016.
Результаты, полученные лично автором: выявлены рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных в рамках деятельности по выявлению инцидентов ИБ и реагированию на них.
С 1 января 2017 года вводится рекомендованный Банком России стандарт обеспечения информационной безопасности организаций банковской системы СТО БР ИББС-1.3-2016. Данный стандарт распространяется на организации банковской системы РФ, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
В стандарте рассматриваются рекомендации по организации обработки технических данных при выявлении инцидентов ИБ и реагировании на них.
Рекомендуется для каждого инцидента ИБ обеспечить сбор технических данных и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ. Профиль инцидента ИБ описывает способ выявления инцидента, источник информации об инциденте и его содержание, сценарий реализации инцидента, дату, время его выявления и другие параметры.
Выделяются этапы сбора технических данных, связанных с инцидентами ИБ: предварительное планирование и создание условий для сбора технических данных, сбор технических данных и обеспечение безопасного хранения, транспортировки машинных носителей информации и защита от воздействий, которые могут повредить их информационное содержимое.
В большинстве случаев процесс поиска и анализа содержательной информации не может быть формализован, а результат его выполнения определяется опытом и компетенцией аналитика. Для повышения качества и оперативности поиска и анализа содержательной информации рекомендуется:
– использование специализированных технических средств и систем централизованного сбора, анализа и хранения журналов регистрации;
– использование известных маркеров «скрытого» несанкционированного управления объектами информационной инфраструктуры.
Практическую и методическую помощь при выполнении процедур реагирования на инциденты ИБ можно получить, обратившись в МВД России (территориальные подразделения) и в FinCert Банка России.
Рекомендуется выделение и назначение работникам службы ИБ отдельной функциональной роли (выделение отдельного функционального подразделения) в рамках реализации процессов обработки технических данных.
Возможен самостоятельный сбор технических данных с объектов информационной инфраструктуры клиентов юридических лиц клиентами организации БС РФ, в этом случае рекомендуется разработать детальный план действий клиентов по сбору и передаче технических данных и обеспечить возможность доступа клиентов к содержанию указанного плана.
Организации БС РФ рекомендуется обеспечить наличие должной компетенции работников и привлеченных специалистов для выполнения деятельности по сбору технических данных, поиску содержательной информации и анализу: работники должны получить необходимые знания своих функций, прав и обязанностей, связанных со сбором и обработкой технических данных в рамках реагирования на инциденты ИБ, получить необходимые для этого знания.
Организации БС РФ как минимум следует обеспечить наличие должной компетенции работников и привлеченных специалистов для выполнения деятельности по обеспечению наличия, хранения и сбора технических данных.
Рекомендуется учитывать, что разные технические средства и системы (источников технических данных) могут формировать разный состав сведений об одном и том же инциденте ИБ, поэтому рекомендуется обеспечивать формирование, сбор и сопоставление всех возможных технических данных об инциденте ИБ с максимально возможной избыточностью.
Рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем, реализовать систему централизованного сбора и хранения журналов регистрации.
Материал поступил в редколлегию 22.03.2017
УДК 004.414
Е.А. Проничева
Научный руководитель: доцент кафедры «Системы информационной безопасности», к.т.н., О.М.Голембиовская