ЦЕЛИ МЕНЕДЖМЕНТА
Построение системы обеспечения ИБ в банках в большинстве случаев реализуется на основе требований международных 1 или отраслевых 2 стандартов в области обеспечения ИБ, с использованием процессно-ориентированного подхода, с учётом специфики банка. Прежде всего – количества и разнообразия информационных систем (ИС) и рабочих мест, решаемых задач и типов обрабатываемых данных, требований по уровням защищённости, территориальной распределённости и т.п.
В большинстве стандартов в области обеспечения ИБ выделяются следующие основные направления деятельности по обеспечению ИБ:
и другие.
В настоящее время значительное внимание уделяется вопросам менеджмента инцидентов ИБ 3, что свидетельствует о соответствующем уровне зрелости банка и обусловлено рядом факторов. Прежде всего, участившимися случаями хищений в системах дистанционного банковского обслуживания (ДБО), внутренними мошенничествами в платёжных системах, случаями инсайдерства (особенно при переходе на работу в другую организацию), предпосылками к утечкам конфиденциальной информации, сбоями в работе ИС и другими нарушениями ИБ.
Инциденты ИБ могут оказать существенное влияние на деятельность банка, привести к нарушению выстроенных бизнес-процессов, финансовым и репутационным потерям. И даже, казалось бы, незначительные нарушения требований ИБ, не приводящие к прямому ущербу, имеют свойство накапливаться, приводя к проблемам функционирования ИС. У некоторых пользователей возникает ощущение бесконтрольности и безнаказанности, провоцируя их на более серьёзные проступки.
Внедрение и использование системы менеджмента инцидентов ИБ (СМИИБ) даёт службам ИБ банков инструменты управления и процедуры, позволяющие эффективно реагировать на инциденты ИБ. Тем самым позволяя снижать ущерб, своевременно и оперативно принимать превентивные меры, проводить профилактические мероприятия.
Своевременно выявить инцидент, оперативно отреагировать на его появление, устранить последствия, извлечь уроки и принять эффективные меры по дальнейшему недопущению инцидентов – вот основные моменты, на которые делают упор многие стандарты ИБ. В том числе и ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» 4 (ГОСТ 18044-2007) – основной отечественный стандарт, непосредственно посвящённый менеджменту инцидентов ИБ.
Во многом от подготовленности, оперативности и эффективности реагирования на инцидент ИБ может зависеть, выльется ли инцидент ИБ в незначительное нарушение или приведёт к значительному ущербу и даже к остановке бизнес-процессов. Некоторые инциденты проявляются спустя какое-то время, аккумулируя отрицательные последствия, поэтому выявление подобных инцидентов также является приоритетной задачей для службы ИБ.
В качестве основных целей структурированного, хорошо спланированного метода менеджмента инцидентов ИБ ГОСТ 18044-2007 выделяет следующие:
АЛГОРИТМ РЕАГИРОВАНИЯ
После разработки и внедрения всех необходимых процедур и документации СМИИБ, в банке целесообразно осуществлять плановый и системный мониторинг событий ИБ, в целях оперативного выявления и реагирования на инциденты ИБ.
В общем случае можно рассматривать следующий алгоритм выявления и реагирования на инциденты ИБ (Схема 1).
СХЕМА 1. Алгортим выявления и реагирования на инциденты ИБ
Понятно, что по различным инцидентам ИБ процедуры реагирования могут различаться, в зависимости от вида инцидента, степени его критичности, возможного ущерба, реакции руководства организации и т.п.
В настоящее время большое внимание уделяется инцидентам ИБ, связанным с мошенничествами в системах ДБО. Это естественно, так как многие банки несут именно здесь финансовые потери. Разработан ряд методических рекомендаций, регулирующих порядок действий в случае выявления подобных фактов 6. В ходе совместной деятельности по расследованию инцидентов ИБ, ведущейся службами безопасности банков, специализированными коммерческими организациями и правоохранительными органами, мошенников начали привлекать к уголовной ответственности 7.
Но при этом наиболее массовыми являются инциденты, не причиняющие значительного ущерба. Многие эксперты в области ИБ обычно «отдают» им около 80% от общего количества инцидентов ИБ.
Рассмотрим более подробно некоторые особенности расследования таких инцидентов ИБ, так как, несмотря на минимальный ущерб, с ними необходимо бороться, пока они не привели к возникновению более значительных инцидентов. Тем более, что именно во время расследования и реагирования на инцидент ИБ проявляются конкретные уязвимости ИС, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, качество архитектуры системы ИБ и эффективность управления ею.
К инцидентам ИБ такого рода обычно относятся нарушения политик ИБ банка. Среди них несанкционированное копирование, отправка на внешние адреса интернета или распечатка конфиденциальной информации, нарушение установленных правил обработки и передачи информации, случайное воздействие на информацию, приводящее к её изменению или уничтожению, заражению вирусами и вредоносными программами, а также использование информационных ресурсов в личных целях и ряд других.
Часть подобных инцидентов ИБ происходит по незнанию пользователями требований ИБ, другая часть – по небрежности или халатности. Некоторые пользователи сознательно нарушают требования политик ИБ, понимая, что контроля за их действиями нет.
Информацию о событиях ИБ, указывающую на возможное нарушение политики ИБ или отказ защитных мер, специалисты службы ИБ обычно получают от различных технических средств и систем мониторинга, штатных средств ИС и рабочих мест, от администраторов ИС и непосредственно от самих пользователей. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, но это не всегда можно сказать о пользователях. Поэтому пользователей необходимо обучать, что такое инцидент ИБ и каковы его признаки, кому и каким образом необходимо сообщать об этом.
После того, как событие ИБ признано инцидентом, выполняется комплекс мероприятий, включающих непосредственно проведение расследования, устранение последствий и причин инцидента, оформление установленных форм документов. В том числе – занесение информации в базу инцидентов ИБ.
ПРОЦЕДУРЫ РАССЛЕДОВАНИЯ
Как правило, расследование возникших инцидентов ИБ призвано решить следующие задачи:
Расследование инцидента ИБ включает в себя сбор доказательств инцидента и улик, их анализ с целью установления причин и последствий инцидента, определение виновных в его возникновении. По результатам расследования к нарушителю могут применяться меры дисциплинарного взыскания, проводиться мероприятия профилактического и превентивного характера.
Одна из проблем, с которой сталкиваются специалисты по ИБ банка при проведении анализа собранной по инциденту ИБ информации – классификация инцидентов. Производить её необходимо для повышения степени системности и минимизации субъективизма при реализации процессов реагирования на инциденты ИБ.
При классификации инцидентов ИБ рекомендуется описывать их с помощью предварительно установленного набора признаков (атрибутов). При этом значения атрибутов должны задаваться максимально конкретно по определенным правилам. Процедура классификации инцидента ИБ состоит в присвоении конкретному инциденту соответствующих значений согласно классификационным атрибутам.
Инциденты ИБ обычно классифицируются по следующим основным признакам:
Традиционно, основные сложности возникают при определении степени тяжести последствий инцидентов ИБ. Так во многих случаях весьма затруднительно определить количественно (в рублях или условных единицах) стоимость утечки конфиденциальной информации, несанкционированного копирования, распечатки или отправки на внешний адрес сети интернет конфиденциальной информации, подключения постороннего устройства и других нарушений политики ИБ.
Применение качественной оценки степени тяжести последствий инцидентов ИБ также связано с разрешением неопределенности, какой инцидент к какой категории отнести.
В приложении к ГОСТ 18044-2007 приводятся примерные рекомендации по оценке и категорированию негативных последствий инцидентов ИБ, каждая имеет шкалу от 1 до 10. Но применение таких рекомендаций на практике весьма затруднительно. Приходится вычислять финансовые затраты, исходя из средней стоимости человеко-месяца по градации/уровню организации, оценивать коммерческие или экономические интересы, определять степень дискомфорта отдельного лица в случае раскрытия его персональных данных.
ДИСЦИПЛИНАРНАЯ ОТВЕТСТВЕННОСТЬ
На практике классификация инцидентов ИБ осуществляется экспертным методом, но, как правило, различными специалистами (имеющими различный опыт работы и, возможно, по-разному реагирующими на выявленные инциденты). Вот как раз здесь и необходимо повысить степень системности и минимизировать субъективизм при классификации инцидента и принятии решения по дальнейшему реагированию на него. Что обычно достигается чётким регламентированием процедур выявления и реагирования на инциденты ИБ, обучением работников служб ИБ.
Математически процесс принятия экспертного решения можно проиллюстрировать с использованием аппарата нечёткой логики, который позволяет получать приемлемый результат в условиях неопределённости, моделируя деятельность экспертов. На основе опыта эксперта строится логико-лингвистическая модель классификации инцидентов ИБ, которая описывается набором значений входных и выходных лингвистических переменных, связанных между собой некоторыми эвристическими правилами вида (Схема 2).
СХЕМА 2. Логико-лингвистическая модель классификации ИБ
После проведения классификации инцидента ИБ производятся действия в рамках реагирования на инцидент. Для чего в банке должен быть регламентирован определённый алгоритм реагирования на инциденты ИБ (в соответствии с требованиями Трудового кодекса РФ), в зависимости от степени тяжести последствий. И даже если такая степень определена как «нет последствий» или они незначительны, реакция всё равно должна быть, в том числе и ради воспитательного эффекта.
В соответствии со ст. 192 Трудового кодекса РФ возможно применение дисциплинарных взысканий: замечания, выговора и увольнения по соответствующим основаниям. В нашем случае – за разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника. Вполне естественно, что по незначительным нарушениям нецелесообразно применять меры дисциплинарного воздействия, поэтому с нарушителем могут проводиться предупредительно-профилактические мероприятия (собеседование, инструктаж, обучение и т.п.)
Важна процедура получения объяснений от самого нарушителя, в которых он должен описать факт проступка, указать причины своего проступка, обстоятельства его совершения, возможных соучастников и т.п. В соответствии со ст.193 Трудового кодекса РФ работник предоставляет работодателю объяснения по факту проступка в течение 2 рабочих дней. В случае не предоставления объяснений составляется соответствующий акт.
На этом этапе существенным фактором является участие в данных процедурах представителей юридической и кадровой служб банка, непосредственного руководителя нарушителя, поддержка и юридическая экспертиза по применению положений Трудового кодекса РФ.
Хотелось бы обратить внимание на временные рамки, ограничивающие сроки применения дисциплинарных взысканий по проведённым расследованиям:
В указанные сроки не включается время производства по уголовному делу. Поэтому особо затягивать данный процесс нежелательно, так как нарушитель может остаться безнаказанным.
ФОРМИРОВАНИЕ БАЗЫ ДАННЫХ
В рамках реагирования на инцидент ИБ существенным фактором является документирование информации о нём в соответствующей базе инцидентов ИБ. Это необходимо для сбора и объединения материалов расследования, а также может использоваться для извлечения уроков из произошедших инцидентов. Документированию подлежат все факты и доказательства по инциденту ИБ и действия, выполняемые специалистом по ИБ при реагировании на данный инцидент, что позволяет оптимизировать деятельность при выявлении подобных инцидентов в будущем.
В рамках применения превентивных мер можно выделить такие, которые проводятся в ходе реагирования на инцидент ИБ с целью уменьшения негативных последствий (блокировка портов и устройств ввода-вывода информации, отключение от сети интернет, от компьютерной сети и т.п.). А также меры, применяемые после закрытия инцидента с целью недопущения подобных впредь (изменение политик безопасности, блокирование нежелательных ресурсов сети интернет и т.п.).
Проведение профилактических мероприятий в основном направлено на работу с персоналом и может включать следующие формы:
В целом, эффективность и оперативность процесса управления инцидентами ИБ зависит от следующих факторов:
К сожалению, далеко не во всех организациях банковской сферы процесс выявления и реагирования на инциденты ИБ (особенно на незначительные) в полной мере реализован и качественно выполняется. Не всегда нарушитель получает по заслугам, производится анализ и извлечение уроков из произошедших инцидентов ИБ, своевременно принимаются превентивные меры и проводятся профилактические мероприятия.
Зачастую, как только последствия инцидента устранены и работоспособность информационных систем восстановлена, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются, что снижает эффективность реагирования на них и СМИИБ в целом.
ЛИТЕРАТУРА
1 Например, ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.
2 СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
3 Инцидент ИБ – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ (ГОСТ 18044-2007).
4 В настоящее время ISO приняла ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management, который заменяет технический отчёт ISO/IEC TR 18044:2004.
5 События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ. Но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной, и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность. Т.е. не все события ИБ будут отнесены к категории инцидентов ИБ (ГОСТ 18044-2007).
6 Например, «Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиента», разработанные Некоммерческим партнёрством «Национальный платёжный совет» и Ассоциацией российских банков, или «Инструкция по реагированию на инциденты, связанные с системами ДБО», разработанная специалистами Group-IB.
7 В сентябре 2012 года Чертановский районный суд Москвы вынес приговор по первому в России уголовному делу о компьютерном фишинге, его фигурантами стали братья Попелыши Е. и Д. и Сарбин А., похитившие 13 млн рублей со счетов клиентов ВТБ24(ЗАО). Суд назначил наказание братьям Попелышам в виде 6 лет лишения свободы условно (!) с испытательным сроком 5 лет, а также штраф в размере 450 000 рублей, по ч.2 ст.272, ч.1 ст.273 и ч.4. ст.159 УК РФ. А. Сарбин признан виновным в пособничестве в совершении мошенничества и приговорен к 4 годам лишения свободы условно с испытательным сроком на 4 года, а также к штрафу на сумму 200 000 рублей.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных