11 февраля, 2014, BIS Journal №1(12)/2014

Организация и оптимизация менеджмента инцидентов


Писаренко Игорь

Банк ВТБ24 (ЗАО) (начальник отдела методологии и контроля Управления информационной безопасности)

Как выстроить деятельность по выявлению и реагированию на инциденты информационной безопасности в банковской сфере

Обеспечение информационной безопасности (ИБ) в кредитно-финансовых организациях (банках) является весьма сложной и многогранной сферой деятельности. Будучи неразрывно связанной с бизнес-процессами и информационными технологиями, она требует определенных организационно-технических, финансовых и человеческих ресурсов.

 

ЦЕЛИ МЕНЕДЖМЕНТА

Построение системы обеспечения ИБ в банках в большинстве случаев реализуется на основе требований международных 1 или отраслевых 2 стандартов в области обеспечения ИБ, с использованием процессно-ориентированного подхода, с учётом специфики банка. Прежде всего – количества и разнообразия информационных систем (ИС) и рабочих мест, решаемых задач и типов обрабатываемых данных, требований по уровням защищённости, территориальной распределённости и т.п.

В большинстве стандартов в области обеспечения ИБ выделяются следующие основные направления деятельности по обеспечению ИБ:

  •  составление модели угроз и нарушителей ИБ;
  •  оценка рисков нарушений ИБ;
  •  внедрение и совершенствование защитных мер;
  •  создание службы ИБ;
  •  менеджмент ИБ;
  •  менеджмент инцидентов ИБ;
  •  защита персональных данных

и другие.

В настоящее время значительное внимание уделяется вопросам менеджмента инцидентов ИБ 3, что свидетельствует о соответствующем уровне зрелости банка и обусловлено рядом факторов. Прежде всего, участившимися случаями хищений в системах дистанционного банковского обслуживания (ДБО), внутренними мошенничествами в платёжных системах, случаями инсайдерства (особенно при переходе на работу в другую организацию), предпосылками к утечкам конфиденциальной информации, сбоями в работе ИС и другими нарушениями ИБ.

Инциденты ИБ могут оказать существенное влияние на деятельность банка, привести к нарушению выстроенных бизнес-процессов, финансовым и репутационным потерям. И даже, казалось бы, незначительные нарушения требований ИБ, не приводящие к прямому ущербу, имеют свойство накапливаться, приводя к проблемам функционирования ИС. У некоторых пользователей возникает ощущение бесконтрольности и безнаказанности, провоцируя их на более серьёзные проступки.

Внедрение и использование системы менеджмента инцидентов ИБ (СМИИБ) даёт службам ИБ банков инструменты управления и процедуры, позволяющие эффективно реагировать на инциденты ИБ. Тем самым позволяя снижать ущерб, своевременно и оперативно принимать превентивные меры, проводить профилактические мероприятия.

Своевременно выявить инцидент, оперативно отреагировать на его появление, устранить  последствия, извлечь уроки и принять эффективные меры по дальнейшему недопущению инцидентов – вот основные моменты, на которые делают упор многие стандарты ИБ. В том числе и ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» 4 (ГОСТ 18044-2007) – основной отечественный стандарт, непосредственно посвящённый менеджменту инцидентов ИБ.

Во многом от подготовленности, оперативности и эффективности реагирования на инцидент ИБ может зависеть, выльется ли инцидент ИБ в незначительное нарушение или приведёт к значительному ущербу и даже к остановке бизнес-процессов. Некоторые инциденты проявляются спустя какое-то время, аккумулируя отрицательные последствия, поэтому выявление подобных инцидентов также является приоритетной задачей для службы ИБ.

В качестве основных целей структурированного, хорошо спланированного метода менеджмента инцидентов ИБ ГОСТ 18044-2007 выделяет следующие:

  • обнаружение и эффективная обработка событий ИБ, выделение из их числа инцидентов ИБ 5;
  • оценка и разрешение идентифицированных инцидентов ИБ наиболее оптимальным способом;
  • минимизация негативных воздействий инцидентов ИБ соответствующими защитными мерами;
  • извлечение уроков из инцидентов ИБ с целью их предотвращения в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей СМИИБ.

АЛГОРИТМ РЕАГИРОВАНИЯ

После разработки и внедрения всех необходимых процедур и документации СМИИБ, в банке целесообразно осуществлять плановый и системный мониторинг событий ИБ, в целях оперативного выявления и реагирования на инциденты ИБ.

В общем случае можно рассматривать следующий алгоритм выявления и реагирования на инциденты ИБ (Схема 1).

СХЕМА 1. Алгортим выявления и реагирования на инциденты ИБ

Понятно, что по различным инцидентам ИБ процедуры реагирования могут различаться, в зависимости от вида инцидента, степени его критичности, возможного ущерба, реакции руководства организации и т.п.

В настоящее время большое внимание уделяется инцидентам ИБ, связанным с мошенничествами в системах ДБО. Это естественно, так как многие банки несут именно здесь финансовые потери. Разработан ряд методических рекомендаций, регулирующих порядок действий в случае выявления подобных фактов 6. В ходе совместной деятельности по расследованию инцидентов ИБ, ведущейся службами безопасности банков, специализированными коммерческими организациями и правоохранительными органами, мошенников начали привлекать к уголовной ответственности 7.

Но при этом наиболее массовыми являются инциденты, не причиняющие значительного ущерба. Многие эксперты в области ИБ обычно «отдают» им около 80% от общего количества инцидентов ИБ.

Рассмотрим более подробно некоторые особенности расследования таких инцидентов ИБ, так как, несмотря на минимальный ущерб, с ними необходимо бороться, пока они не привели к возникновению более значительных инцидентов. Тем более, что именно во время расследования и реагирования на инцидент ИБ проявляются конкретные уязвимости ИС, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, качество архитектуры системы ИБ и эффективность управления ею.

К инцидентам ИБ такого рода обычно относятся нарушения политик ИБ банка. Среди них несанкционированное копирование, отправка на внешние адреса интернета или распечатка конфиденциальной информации, нарушение установленных правил обработки и передачи информации, случайное воздействие на информацию, приводящее к её изменению или уничтожению, заражению вирусами и вредоносными программами, а также использование информационных ресурсов в личных целях и ряд других.

Часть подобных инцидентов ИБ происходит по незнанию пользователями требований ИБ, другая часть – по небрежности или халатности. Некоторые пользователи сознательно нарушают требования политик ИБ, понимая, что контроля за их действиями нет.

Информацию о событиях ИБ, указывающую на возможное нарушение политики ИБ или отказ защитных мер, специалисты службы ИБ обычно получают от различных технических средств и систем мониторинга, штатных средств ИС и рабочих мест, от администраторов ИС и непосредственно от самих пользователей. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, но это не всегда можно сказать о пользователях. Поэтому пользователей необходимо обучать, что такое инцидент ИБ и каковы его признаки, кому и каким образом необходимо сообщать об этом.

После того, как событие ИБ признано инцидентом, выполняется  комплекс мероприятий, включающих непосредственно проведение расследования, устранение последствий и причин инцидента, оформление установленных форм документов. В том числе – занесение информации в базу инцидентов ИБ.

ПРОЦЕДУРЫ РАССЛЕДОВАНИЯ

Как правило, расследование возникших инцидентов ИБ призвано решить следующие задачи:

  • установить личность нарушителя, возможных соучастников инцидента ИБ;
  • выяснить причины нарушения и цели, которые преследовал нарушитель, его возможную мотивацию;
  • выяснить и проанализировать способ совершения нарушения и принять меры, исключающие повторение подобных инцидентов ИБ;
  • задокументировать свидетельства инцидента ИБ и порядок действий при реагировании на него;
  • установить и по возможности возместить нанесённый ущерб;
  • провести комплекс профилактических мероприятий, в т.ч. связанных с наказанием нарушителя.

Расследование инцидента ИБ включает в себя сбор доказательств инцидента и улик, их анализ с целью установления причин и последствий инцидента, определение виновных в его возникновении. По результатам расследования к нарушителю могут применяться меры дисциплинарного взыскания, проводиться мероприятия профилактического и превентивного характера.

Одна из проблем, с которой сталкиваются специалисты по ИБ банка при проведении анализа собранной по инциденту ИБ информации – классификация инцидентов. Производить её необходимо для повышения степени системности и минимизации субъективизма при реализации процессов реагирования на инциденты ИБ.

При классификации инцидентов ИБ рекомендуется описывать их с помощью предварительно установленного набора признаков (атрибутов). При этом значения атрибутов должны задаваться максимально конкретно по определенным правилам. Процедура классификации инцидента ИБ состоит в присвоении конкретному инциденту соответствующих значений согласно классификационным атрибутам.

Инциденты ИБ обычно классифицируются по следующим основным признакам:

  • по степени тяжести последствий для деятельности банка (в денежном выражении, по балльной шкале);
  • по видам источников угроз ИБ, вызывающих инциденты ИБ;
  • по преднамеренности возникновения инцидента ИБ (умышленный, по халатности, случайный);
  • по видам объектов информационной инфраструктуры, пострадавших при реализации инцидента ИБ;
  • по уровню информационной инфраструктуры, на котором происходит инцидент ИБ;
  • по нарушенным свойствам ИБ (конфиденциальность, целостность, доступность);
  • по типу инцидента ИБ (свершившийся инцидент ИБ, попытка осуществления инцидента ИБ, подозрение на инцидент ИБ);
  • по области распространения и действия инцидента ИБ (пределы одной ИС, пределы отдельного структурного подразделения банка, банка в целом, выходящий за пределы банка).

Традиционно, основные сложности возникают при определении степени тяжести последствий инцидентов ИБ. Так во многих случаях  весьма затруднительно определить количественно (в рублях или условных единицах) стоимость утечки конфиденциальной информации, несанкционированного копирования, распечатки или отправки на внешний адрес сети интернет конфиденциальной информации, подключения постороннего устройства и других нарушений политики ИБ.

Применение качественной оценки степени тяжести последствий инцидентов ИБ также связано с разрешением неопределенности, какой инцидент к какой категории отнести.

В приложении к ГОСТ 18044-2007 приводятся примерные рекомендации по оценке и категорированию негативных последствий инцидентов ИБ, каждая имеет шкалу от 1 до 10. Но применение таких рекомендаций на практике весьма затруднительно. Приходится вычислять финансовые затраты, исходя из средней стоимости человеко-месяца по градации/уровню организации, оценивать коммерческие или экономические интересы, определять степень дискомфорта отдельного лица в случае раскрытия его персональных данных.

ДИСЦИПЛИНАРНАЯ ОТВЕТСТВЕННОСТЬ

На практике классификация инцидентов ИБ осуществляется экспертным методом, но, как правило, различными специалистами (имеющими различный опыт работы и, возможно, по-разному реагирующими на выявленные инциденты). Вот как раз здесь и необходимо повысить степень системности и минимизировать субъективизм при классификации инцидента и принятии решения по дальнейшему реагированию на него. Что обычно достигается чётким регламентированием процедур выявления и реагирования на инциденты ИБ, обучением работников служб ИБ.

Математически процесс принятия экспертного решения можно проиллюстрировать с использованием аппарата нечёткой логики, который позволяет получать приемлемый результат в условиях неопределённости, моделируя деятельность экспертов. На основе опыта эксперта строится логико-лингвистическая модель классификации инцидентов ИБ, которая описывается набором значений входных и выходных лингвистических переменных, связанных между собой некоторыми эвристическими правилами вида (Схема 2).

СХЕМА 2. Логико-лингвистическая модель классификации ИБ

После проведения классификации инцидента ИБ производятся действия в рамках реагирования на инцидент. Для чего в банке должен быть регламентирован определённый алгоритм реагирования на инциденты ИБ (в соответствии с требованиями Трудового кодекса РФ), в зависимости от степени тяжести последствий. И даже если такая степень определена как «нет последствий» или они незначительны, реакция всё равно должна быть, в том числе и ради воспитательного эффекта.

В соответствии со ст. 192 Трудового кодекса РФ возможно применение дисциплинарных взысканий: замечания, выговора и увольнения по соответствующим основаниям. В нашем случае – за разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника. Вполне естественно, что по незначительным нарушениям нецелесообразно применять меры дисциплинарного воздействия, поэтому с нарушителем могут проводиться предупредительно-профилактические мероприятия (собеседование, инструктаж, обучение и т.п.)

Важна процедура получения объяснений от самого нарушителя, в которых он должен описать факт проступка, указать причины своего проступка, обстоятельства его совершения, возможных соучастников и т.п. В соответствии со ст.193 Трудового кодекса РФ работник предоставляет работодателю объяснения по факту проступка в течение 2 рабочих дней. В случае не предоставления объяснений составляется соответствующий акт.

На этом этапе существенным фактором является участие в данных процедурах представителей юридической и кадровой служб банка, непосредственного руководителя нарушителя, поддержка и юридическая экспертиза по применению положений Трудового кодекса РФ.

Хотелось бы обратить внимание на временные рамки, ограничивающие сроки применения дисциплинарных взысканий по проведённым расследованиям:

  • не позднее 1 месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учёт мнения представительного органа работников;
  • не позднее 6 месяцев со дня совершения проступка;
  • по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки – не позднее 2 лет со дня совершения проступка.

В указанные сроки не включается время производства по уголовному делу. Поэтому особо затягивать данный процесс нежелательно, так как нарушитель может остаться безнаказанным.

ФОРМИРОВАНИЕ БАЗЫ ДАННЫХ

В рамках реагирования на инцидент ИБ существенным фактором является документирование информации о нём в соответствующей базе инцидентов ИБ. Это необходимо для сбора и объединения материалов расследования, а также может использоваться для извлечения уроков из произошедших инцидентов. Документированию подлежат все факты и доказательства по инциденту ИБ и действия, выполняемые специалистом по ИБ при реагировании на данный инцидент, что позволяет оптимизировать деятельность при выявлении подобных инцидентов в будущем.

В рамках применения превентивных мер можно выделить такие, которые проводятся в ходе реагирования на инцидент ИБ с целью уменьшения негативных последствий (блокировка портов и устройств ввода-вывода информации, отключение от сети интернет, от компьютерной сети и т.п.). А также меры, применяемые после закрытия инцидента с целью недопущения подобных впредь (изменение политик безопасности, блокирование нежелательных ресурсов сети интернет и т.п.).

Проведение профилактических мероприятий в основном направлено на работу с персоналом и может включать следующие формы:

  • наложение дисциплинарных взысканий на нарушителя;
  • создание негативного имиджа нарушителя;
  • проведение дополнительных инструктажей и обучения пользователей;
  • осуществление рассылок о необходимости соблюдения требований по ИБ;
  • внесение изменений в политику ИБ банка и т.п.

В целом, эффективность и оперативность процесса управления инцидентами ИБ зависит от следующих факторов:

  • координации и согласованности действий всех вовлеченных в него лиц;
  • имеющихся возможностей получения и анализа информации, связанной с инцидентом;
  • оперативности и корректности полученных результатов.

К сожалению, далеко не во всех организациях банковской сферы процесс выявления и реагирования на инциденты ИБ (особенно на незначительные) в полной мере реализован и качественно выполняется. Не всегда нарушитель получает по заслугам, производится анализ и извлечение уроков из произошедших инцидентов ИБ, своевременно принимаются превентивные меры и проводятся профилактические мероприятия.

Зачастую, как только последствия инцидента устранены и работоспособность информационных систем восстановлена, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются, что снижает эффективность реагирования на них и СМИИБ в целом.

Внедрение и системное использование СМИИБ позволяет уменьшить негативное воздействие инцидентов ИБ на бизнес, усилить акцент на их предупреждение, улучшить качество результатов оценки и управления рисками ИБ, что в итоге позволяет повысить общий уровень ИБ банка. Опыт использования СМИИБ показывает, что количество выявляемых инцидентов существенно уменьшается, а пользователи и их руководители начинают более ответственно относиться к вопросам обеспечения ИБ.

 

ЛИТЕРАТУРА

1 Например, ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.

2 СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

3 Инцидент ИБ – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ (ГОСТ 18044-2007).

4 В настоящее время ISO приняла ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management, который заменяет технический отчёт ISO/IEC TR 18044:2004.

5 События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ. Но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной, и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность. Т.е. не все события ИБ будут отнесены к категории инцидентов ИБ (ГОСТ 18044-2007).

6 Например, «Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиента», разработанные Некоммерческим партнёрством «Национальный платёжный совет» и Ассоциацией российских банков, или «Инструкция по реагированию на инциденты, связанные с системами ДБО», разработанная специалистами Group-IB.

7 В сентябре 2012 года Чертановский районный суд Москвы вынес приговор по первому в России уголовному делу о компьютерном фишинге, его фигурантами стали братья Попелыши Е. и Д. и Сарбин А., похитившие 13 млн рублей со счетов клиентов ВТБ24(ЗАО). Суд назначил наказание братьям Попелышам в виде 6  лет лишения свободы условно (!) с испытательным сроком 5 лет, а также штраф в размере 450 000 рублей, по ч.2 ст.272, ч.1 ст.273 и ч.4. ст.159 УК РФ. А. Сарбин признан виновным в пособничестве в совершении мошенничества и приговорен к 4 годам лишения свободы условно с испытательным сроком на 4 года, а также к штрафу на сумму 200 000 рублей.

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться