Информационно-аналитическая работа по выявлению инцидентов информационной безопасности в информационной системе
ВВЕДЕНИЕ
В настоящее время наблюдается активное развитие информационных технологий, ведущее к повышению автоматизации во всех сферах деятельности людей, предприятий и организаций – процесс цифровизации. Использование цифровых технологий для решения бытовых, социальных и финансовых вопросов стало неотъемлемой частью нашей жизни. Они оказывают всеобъемлющее влияние на экономические, политические и социальные процессы, которые происходят в жизни людей, общества и государства. При этом развитие информационных систем, которые стали необходимым компонентом цифровизации, стало фундаментальной частью этого процесса. Несмотря на все преимущества использования информационных технологий, они также порождают новые вызовы, угрозы и риски, которые могут негативно повлиять на процессы деятельности людей, общества и государства. Поэтому обеспечение ИБ становится важнейшим аспектом при внедрении и использовании информационных технологий.
Статистика событий ИБ, представленная крупными компаниями, показывает, что число угроз, связанных с нарушением доступности, целостности и конфиденциальности в информационных системах, увеличивается с каждым годом. Хакеры представляют
ОГЛАВЛЕНИЕ
ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ, СИМВОЛОВ И ТЕРМИНОВ 3
ВВЕДЕНИЕ 8
ОБЗОР ЛИТЕРАТУРНЫХ ИСТОЧНИКОВ ПО ТЕМЕ 11
ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ 13
ГЛАВА 2 ВЫЯВЛЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КАК ВАЖНАЯ ЧАСТЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ 27
2.1. Организация управления инцидентами информационной безопасности 27
2.2. Построение функциональной модели процесса управления инцидентами информационной безопасности с использованием методологии IDEF0 33
ГЛАВА 3 SIEM-СИСТЕМА – ИНСТРУМЕНТ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКОЙ РАБОТЫ ПО ВЫЯВЛЕНИЮ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ 49
3.1. Понятие SIEM-системы 49
3.2. Принцип построения и функционирования SIEM-системы 52
3.3. Корреляция в SIEM-системах 58
3.4. Проблемы внедрения SIEM-системы и рекомендации по выбору SIEM-системы 63
3.5. Внедрение SIEM-системы в организации 68
ЗАКЛЮЧЕНИЕ 77
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 79
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Актуальные киберугрозы: итоги 2022 года [Электронный ресурс] // Интернет-портал Positive Technologies. – 2023. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/. - Дата доступа: 11.04.2023 ъ45
2. Белаус, А. И. Основные направления обеспечения кибербезопасности / А. И. Белаус, В. А. Солодуха // Мир электроники. Основы кибербезопасности. Стандарты, концепции, методы и средства обеспечения. - Москва: Техносфера, 2021. – Гл. 7. – С. 331-382 ъ34
3. Бистерфельд, О.А. Методология функционального моделирования IDEF0 : учебно-методическое пособие / О.А. Бистерфельд // Ряз. гос. ун-т им. С.А. Есенина. – Рязань, 2008. — 48 с ъ57
4. Борисов, В. И. О применении сигнатурных методов анализа информации в SIEM-системах / В. И. Борисов, А. С. Шабуров // Вестник УрФО. Безопасность в информационной сфере. – Челябинск: Изд. центр ЮУрГУ, 2015. – № 3(17) – С.23-27 ъ41
5. Дрюков, В. Управление инцидентами и событиями информационной безопасности [Электронный ресурс] / В. Дрюков // Интернет-портал Безопасность пользователей в сети Интернет. - 2019 - Режим доступа: https://safe-surf.ru/specialists/article/5236/611719/. - Дата доступа: 11.04.2023 ъ25
6. Защита информации. Уязвимости информационных систем. Национальный стандарт Российской Федерации ГОСТ Р 56546-2015. – Введен: 19.08.15 – Москва: Стандарте иформ, 2015. – 12 с. Ъ15
7. Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. СТБ 34.101.1-2014. – Введен: 01.09.14 (взамен СТБ 34.101.1-2004) – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2014. – 60 с. Ъ11
8. Информационные технологии поддержки жизненного цикла продукции. Методология функционального моделирования. Рекомендации по стандартизации. Р 50.1.028 – 2001 – 02.07.01 – Москва: Госстандарт России, 2001. – 54с ъ56
9. Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах. Государственный стандарт Республики Беларусь СТБ 34.101.70-2016. – Введен: 12.08.16 – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2016. – 38 с. Ъ8
10. Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности. Государственный стандарт Республики Беларусь СТБ ISO/IEC 27005-2012. – Введен: 30.06.2012. – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2012. – 65 с. Ъ7
11. Информационные технологии. Методы обеспечения безопасности. Менеджмент инцидентов в области информационной безопасности. Государственный стандарт Республики Беларусь СТБ ISO/IEC 27035-2017. – Введен: 31.07.2017. – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2017. – 80 с. Ъ17
12. Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь. Государственный стандарт Республики Беларусь СТБ ISO/IEC 27000-2012. – Введен: 30.06.2012. – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2012. – 24 с. ъ4
13. Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования: СТБ ISO/IEC 27001-2016. – Введен: 01.10.2016. – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2016. – 25 с. Ъ30
14. Информационные технологии. Системы сбора и обработки данных событий информационных безопасности. Общие требования. СТБ 34.101.74-2017. – Введен: 01.10.2017 – Минск: Белорус. гос. ин-т стандартизации и сертификации, 2017. - 9 с. Ъ40
15. Информационные технологии. Средства защиты информации. Информационная безопасность: ТР 2013/027/BY: утв. Советом Министров РБ 15.05.2013. Введен: 01.01.2014 – Минск, 2013. – 6 с. Ъ44
16. Информационные технологии. Требования к защите информации от несанкционированного доступа, устанавливаемые в техническом задании на создании автоматизированной системы. Государственный стандарт Республики Беларусь СТБ 34.101.9-2004. – Введен: 30.01.
Вне зависимости от стандарта, все описанные выше этапы управления инцидентами ИБ имеют общую основу и можно разделить не следующие группы: подготовка, обнаружение, анализ, сдерживание (локализация), ликвидация (искоренение), восстановление и извлечение уроков (выводы).
Рассмотрим данные этапы подробно.
Подготовка. Первоначальным шагом в организации реагирования на инциденты ИБ является подготовительный этап, который включает в себя создание политик и планирование деятельности, формирование группы реагирования на инциденты (IRT, анг. incident response team), обучение персонала и реализацию необходимых технических мер, таких как внедрение и настройка систем журналирования и резервного копирования. Этот этап необходим для снижения вероятности возникновения инцидентов и подготовки к эффективному их решению, если они все же произойдут.
Обнаружение. Для эффективного обнаружения инцидентов ИБ необходимо активно со