Организация расследования инцидентов информационной безопасности на предприятии
Информация является неотъемлемым активом в каждой организации, который, как и остальные активы бизнеса нужны для корректной и успешной работы предприятия. Тем самым, важно сохранить достоверность и целостность информации. Сегодня, практически любая компания хотя бы раз сталкивалась с инцидентами в области информационной безопасности.
Под инцидентом безопасности понимается событие, являющееся следствием одного или нескольких не желательных или неожиданных событий ИБ, имеющих значительную вероятность для создания угрозы ИБ.
В момент возникновения инцидента от сотрудников, ответственных за ИБ, требуются быстрые и точные шаги, которые позволят минимизировать ущерб от инцидента и собрать доказательства для привлечения нарушителей к ответственности, в том числе уголовной, если совершено преступление преследования злоумышленников.
ВВЕДЕНИЕ
Глава 1. Инциденты на предприятии
1 Определение понятия инцидентов информационной безопасности
2 Анализ предприятия и его система обеспечения информационной безопасности
3 Вывод по первой главе
Глава 2. Методика расследования инцидентов
1 Модель расследования инцидентов информационной безопасности
2 Разработка алгоритма расследования инцидентов информационной безопасности
3 Средства автоматизации сбора информации
4 Вывод по второй главе
Глава 3. Разработка рекомендаций по совершенствованию системы расследования инцидентов информационной безопасности
1 Техническое задание по внедрению SIEM системы
2 Выбор SIEM системы и особенности внедрения на предприятии
3 Экономическая оценка внедрения рекомендаций по совершенствованию системы расследования инцидентов информационной безопасности
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ 1
- РС БР ИББС-2.5-2014. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности»
- ГОСТ Р ИСО/МЭК ТО 18044-2007 СТО БР ИББС-1.0-2014. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
- СТО БР ИББС-1.0-2014. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
- ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».
- МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ [Электронный ресурс] –URL: https://docs.cntd.ru/document/(Дата обращения: 15.05.2022)
- ПРИМЕРЫ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ИХ ПРИЧИН [Электронный ресурс] –URL: https://zakonbase.ru/content/part/1254066 (Дата обращения: 17.05.2022)
- Письмо Банка России от 15.04.1996 N 15-4-1/1342 «О примерном Уставе коммерческого банка»
- SIEM системы (Security Information and Event Management) - что это и зачем нужно? [Электронный ресурс] –URL: https://www.securityvision.ru/blog/siem-chto-eto-i-zachem-nuzhno/ (Дата обращения: 28.05.2022)
- Что такое IRP, где используется и как внедряется [Электронный ресурс] –URL: https://www.securityvision.ru/blog/likbez-po-ib-irp-chto-eto-gde-ispolzuetsya-i-kak-vnedryaetsya/ (Дата обращения: 28.05.2022)
- ГОСТ Р ИСО/МЭК 20000-1-2013 «Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами»
- Федеральный закон от 27.07.2006 № 149-ФЗ (ред. От 18.12.2018) «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
- ГОСТ 34.602-89 «Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»
Данный этап сбора доказательств один из ключевых в расследовании инцидентов ПАО «Модель-банк». Обусловлено это тем, что на собранных доказательствах в ходе расследования инцидента, выявляется нарушитель. Если нарушитель внутренний, то в зависимости от ущерба причиненного компании, а также исходя из умысла принимается решение о взысканиях, ими может быть обычный штраф или увольнение, в случае критического ущерба. Если нарушитель внешний, то организация взаимодействует с правоохранительными органами и судебными инстанциями, с целью компенсации ущерба, причиненного злоумышленником и, как следствие незаконной деятельности нарушителя, лишение свободы в зависимости от степени нанесенного вреда компании.
Далее идет этап – разработки плана расследования инцидентов ИБ в ПАО «Модель-банк». Разработка плана является неотъемлемой частью модели расследования инцидентов ИБ, так как процесс показывает объем необходимых работ, а также ответственных лиц, которые проводят расследование. Расследование инцидента ИБ должно проводиться по четко определенному плану, в рамках которого специалист отдела ИБ банка, проводящий расследование инцидента ИБ, должен получить исчерпывающие ответы на все поставленные вопросы. План расследования инцидента ИБ составляется непосредственно специалистом отдела ИБ, которому поручено проведение расследования, при этом степень его детализации зависит, прежде всего, от вида и сложности инцидента.