ОПЕРАЦИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. УПРАВЛЕНИЕ ОПЕРАЦИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. АВАРИЙНОЕ ВОССТАНОВЛЕНИЕ, РЕЗЕРВНОЕ КОПИРОВАНИЕ И ВОССТАНОВЛЕНИЕ. РЕАГИРОВАНИЕ И РАССЛЕДОВАНИЕ СОБЫТИЙ И ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Определения Компьютерная безопасность меры безопасности, применяемые для защиты вычислительных устройств (компьютеры, смартфоны и другие), а также компьютерных сетей (частных и публичных сетей, включая Интернет). Поле деятельности системных администраторов охватывает все процессы и механизмы, с помощью которых цифровое оборудование, информационное поле и услуги защищаются от случайного или несанкционированного доступа, изменения или уничтожения данных, и приобретает всё большее значение в связи с растущей зависимостью от компьютерных систем в развитом сообществе.

Определения Можно выделить следующие направления мер информационной безопасности: Правовые - разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. Организационные - охрана вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п. Технические - защита от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Резервное копирование Резервное копирование эффективно только тогда, когда оно выполняется регулярно. Если данные часто меняются, копирование тоже должно быть частым. Поэтому многие предпочитают пользоваться специальным программным обеспечением для автоматизации этого процесса, а не копировать данные вручную.

Резервное копирование Основными параметрами резервного копирования можно считать показатели RPO (Recovery Point Objective) и RTO (Recovery Time Objective). RPO это момент времени, на который данные будут актуальны после восстановления, а RTO это время, необходимое для восстановления этих данных.

Аварийное восстановление При возникновении инцидента, повлекшего за собой выход из строя целой инфраструктуры или какой-то ее части, восстановить работоспособность сервисов поможет система аварийного восстановления (DRS Disaster Recovery System). DRS должны работать с минимальными простоями, а чаще всего 24/7/365.

Реагирование и расследование событий и инцидентов информационной безопасности Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое действие, которое совершается в информационной системе.

Организация процесса реагирования на инцидент - Предупредить нескоординированные действия и в кратчайшие сроки восстановить работоспособность компании при возникновении инцидента. - Подтвердить или опровергнуть факт инцидента ИБ. - Представить детализированный отчет о произошедшем инциденте и полезные рекомендации. Создать условия для накопления и хранения точной информации о компьютерных инцидентах. Обеспечить быстрое обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа "прошедших уроков", изменения политики ИБ, модернизации системы ИБ и др.). - Обеспечить сохранность и целостность доказательств произошедшего инцидента. Создать условия для возбуждения гражданского или уголовного дела против злоумышленника(-ов). Защитить частные права, установленные законом. - Минимизировать нарушение порядка работы и повреждения данных ИТ-системы. Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ- системы. - Защитить репутацию компании и ее ресурсы. - Провести обучение сотрудников компании о процессе реагирования на инцидент.

Организация процесса реагирования на инцидент Кто участвует в процессе реагирования на инцидент? Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др.

Основные этапы процесса реагирования на инцидент Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании). Формирование комиссии по расследованию инцидентов. Обнаружение инцидента - идентификация инцидента ИБ. Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте. Пресечение незаконных действий. Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем. Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения. Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".

Расследование инцидента Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера.

СПАСИБО ЗА ВНИМАНИЕ!