Embed Size (px)
Citation preview
Утверждаю
Председатель Правления
АКБ «БАНК»
___________И.О. Фамилия
ПОЛИТИКА
обнаружения и реагирования на инциденты
информационной безопасности
АКБ «БАНК»
Москва 2011 г.
2
Оглавление 1 Область применения ................................................................................................... 3
2 Нормативные ссылки .................................................................................................. 4
3 Термины и определения ............................................................................................ 5
4 Обозначение и сокращения ....................................................................................... 7
5 Жизненный цикл ......................................................................................................... 8
6 Инциденты ................................................................................................................... 9
7 Обнаружение инцидентов ........................................................................................ 10
8 Информирование об инцидентах ............................................................................ 11
9 Классификация инцидентов ..................................................................................... 12
10 Реагирование на инциденты ................................................................................ 13
11 Анализ причин и оценка результата .................................................................... 15
3
1 Общие положения
Настоящая политика разработана в соответствии с требованиями Стандарта Банка
России «Обеспечение информационной безопасности организации банковской системы
Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010.
Настоящая политика рассматривает вопросы обнаружение и реагирования на
инциденты информационной безопасности в АКБ «БАНК» (далее Банк).
Настоящая политика обязательна для применения во всех территориальных
подразделениях Банка.
4
2 Нормативные ссылки
Федеральный закон «О банках и банковской деятельности» от 01.12.1990 №
395 в редакции Федерального закона от 03.02.1996 № 17 ФЗ, от 31.07.1998
№ 151 ФЗ, от 05.07.1999 № 126 ФЗ, от 08.07.1999 № 136 ФЗ, от 19.06.2001 №
82 ФЗ, от 07.08.2001 №121 ФЗ, от 21.03.2002 № 31 ФЗ с изменениями,
внесенными постановлением Конституционного суда РФ от 23.02.1999 № 4;
Федеральный закон «О Центральном банке Российской Федерации (Банке
России)» от 10 июля 2002 г. № 86 ФЗ;
Федеральный закон «Об информации, информационных технологиях и о
защите информации» от 27 июля 2006 г. № 149 ФЗ;
Стандарт Банка России «Обеспечение информационной безопасности
организации банковской системы Российской Федерации. Общие
положения» СТО БР ИББС-1.0-2010;
ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности.
системы менеджмента информационной безопасности. Требования»;
ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства
безопасности. Практические правила менеджмента информационной
безопасности»;
ГОСТ Р ИСО/МЭК 18044 «Информационная технология. Методы и средства
обеспечения безопасности. Менеджмент инцидентов информационной
безопасности»;
NIST SP 800-61 «Computer security incident handling guide».
5
3 Термины и определения
Достоверность: возможность информации отражать истинные положения
дел. Объективная информация всегда достоверна, но достоверная
информация может быть как объективной, так и субъективной;
Доступность: возможность получения информации и её использования.
Защитная мера: сложившаяся практика, процедура или механизм, которые
используются для уменьшения риска нарушения ИБ Банка;
Инцидент информационной безопасности; инцидент ИБ: событие,
указывающее на свершившуюся, предпринимаемую или вероятную
реализацию угрозы ИБ;
Конфиденциальность: обязательное для выполнения лицом, получившим
доступ к определенной информации, требование не передавать такую
информацию третьим лицам без согласия ее обладателя;
Надежность: комплексное свойство технического объекта, состоящее из его
способности выполнять заданные функции, сохраняя свои основные
характеристики (при определенных условиях эксплуатации) в
установленных пределах;
Нарушитель информационной безопасности; нарушитель ИБ: Субъект,
реализующий угрозы ИБ Банка, нарушая предоставленные ему полномочия
по доступу к активам Банка или по распоряжению ими;
Неотказуемость: функции технологий, обеспечивающие невозможность
отрицания субъектом действия факта самого действия. Это свидетельство
может быть верифицировано этим субъектом или другими субъектами;
Угроза информационной безопасности; угроза ИБ: Угроза нарушения
свойств ИБ — доступности, целостности или конфиденциальности
информационных активов Банка;
Ущерб: утрата активов, повреждение (утрата свойств) активов и (или)
инфраструктуры организации или другой вред активам и (или)
инфраструктуре Банка, наступивший в результате реализации угроз ИБ
через уязвимости ИБ;
Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в
инфраструктуре Банка, которое может быть использовано для реализации
или способствовать реализации угрозы ИБ;
6
Целостность: состояние защищенности информации, характеризуемое
способностью ИС обеспечить сохранность и неизменность
конфиденциальной информации при попытках несанкционированных или
случайных воздействий на нее в процессе обработки или хранения.
7
4 Обозначение и сокращения
БД: база данных;
ДИБ: Департамент информационной безопасности;
ДИТ: Департамент информационных технологий;
ИБ: информационная безопасность;
ИР: информационный ресурс;
ИС: информационная система;
ИТ: информационные технологии;
КИС: Корпоративная информационная система «Название».
8
5 Жизненный цикл
Жизненный цикл мероприятий по расследованию инцидентов ИБ состоит из 4
стадий, которые следуют одна за другой и все вместе составляют непрерывный цикл.
Обнаружение инцидента,
регистрация инцидента
Устранение причин и
последствий инцидента
Расследование
инцидента
Реализация корректирующих
мероприятий
Рисунок 1 Жизненный цикл системы менеджмента инцидентами ИБ
Настоящая политика должна пересматриваться (актуализироваться) не реже, чем
раз в три года.
Настоящая политика должна пересматриваться (актуализироваться) после каждого
инцидента ИБ, при необходимости.
Все положения настоящей политики должны проверяться на регулярной основе.
Положения процедур и правил реагирования на инциденты ИБ должны регулярно
тестироваться, согласно утвержденному ДИБ плану.
В Банке документально определены роли по обнаружению, классификации,
реагированию, анализу и расследованию инцидентов ИБ, а также назначены
ответственные за выполнение этих ролей лица.
9
6 Инциденты
По всем направлениям защиты, по всем технологическим процессам, по всем
используемым ИТ в Банке должны разрабатываться соответствующие политики ИБ.
Инцидентом ИБ называется нежелательное или неожиданное событие в системе
защиты информации, которое имеет определенный шанс подвергнуть риску
информационные активы, деловые операции, репутацию Банка, а также поставить под
угрозу саму систему защиту информации. Инцидентом ИБ, в общем случае, называется
любое нарушение политик ИБ Банка.
Инциденты ИБ преследуют нарушение одного или сразу нескольких
основополагающих свойств информации:
нарушение конфиденциальности;
нарушение целостности;
нарушение доступности.
Инциденты ИБ могут преследовать нарушение дополнительных (производных)
свойств информации:
нарушение надежности;
нарушение достоверности;
нарушение принципа неотказуемости.
Инциденты ИБ возникают в процессе противоборства собственника и
злоумышленника над получением контроля над информационными активами Банка.
Инциденты ИБ могут возникать, как при наличии уязвимостей в информационно-
технологическом обеспечении информационных процессов, так и при помощи методов
социальной инженерии.
Для учета и последующего анализа ДИБ должен вести специализированную БД
«Инциденты ИБ». ДИБ разрабатывает регламент ведения БД «Инциденты ИБ».
10
7 Обнаружение инцидентов
Информация об инцидентах ИБ может поступать по следующим каналам:
журналы регистрации сетевого и межсетевого оборудования;
журналы регистрации общесистемного программного обеспечения;
журналы регистрации инфраструктурного программного обеспечения;
журналы регистрации прикладного программного обеспечения;
оповещения антивирусных подсистем;
оповещения подсистем обнаружения атак;
оповещения подсистем мониторинга о событиях ИБ;
оповещения подсистем корреляции о событиях ИБ;
оповещения подсистем предотвращения (контроля) утечек ИБ;
оповещения других подсистем Банка;
информация, получаемая от сотрудников Банка по любым каналам связи
(телефон, электронная почта, КИС, речевой канал, др.).
Все процессы обнаружения инцидентов ИБ должны подлежать обязательному
документированию. Все процедуры с необходимой степенью детализации описываются в
соответствующих регламентах и инструкциях.
11
8 Информирование об инцидентах
ДИБ Банка отвечает за все процессы по обнаружению и реагированию на
инциденты ИБ. ДИБ получает информацию о случившихся инцидентах и принимает меры
по их устранению.
Сотрудники ДИТ, осуществляющие техническую поддержку ИС обязаны при
получении информации обо всех нетипичных событиях ИБ незамедлительно сообщить о
происходящем в ДИБ.
Сотрудники ДИТ, осуществляющие техническую поддержку ИС ДИБ обязаны при
получении информации обо всех нетипичных событиях ИБ незамедлительно сообщить о
происходящем в ДИБ.
Сотрудники всех профильных Департаментов Банка, отвечающие за
соответствующие технологические процессы обязаны при получении информации обо
всех нетипичных событиях незамедлительно сообщить о происходящем в ДИБ.
Сотрудники Банка, работающие в ИС Банка при получении информации обо всех
нетипичных событиях обязаны незамедлительно сообщить о происходящем в ДИБ.
Для оперативного получения информации об инцидентах ДИБ имеет специально
выделенные каналы получения информации:
телефон для обращений в рабочие часы с 9 ч. до 18 ч. по московскому
времени: (код) 123-45-67;
телефон для обращений в нерабочие часы: (код) 123-45-67;
адрес электронной почты [email protected];
внутренний информационный портал Банка (раздел «Название).
Все сотрудники Банка при получении информации о возможных инцидентах имеют
возможность для анонимной передачи информации в ДИБ.
Правила действия сотрудников при инцидентах ИБ включаются в общие правила
соблюдения ИБ персоналом Банка.
Каждый сотрудник Банка, перед установлением с ним трудовых отношений обязан
ознакомиться, подписать и в процессе работы в Банке неукоснительно следовать
положениям трудового распорядка Банка, правилам ИБ Банка, другим обязательным для
выполнения документам.
12
9 Классификация инцидентов
После получения информации об инциденте ИБ ДИБ должно классифицировать
инцидент по категории критичности. В Банке используются 4 категории классификации
критичности инцидентов:
1 категория. Инцидент может привести к значительным негативным
последствиям (ущербу) для информационных активов или репутации Банка;
2 категория. Инцидент может привести к негативным последствиям
(ущербу) для информационных активов или репутации Банка.
3 категория. Инцидент может привести к незначительным негативным
последствиям (ущербу) для информационных активов или репутации Банка;
4 категория. Инцидент не может привести к негативным последствиям
(ущербу) для информационных активов или репутации Банка.
Для классификации инцидентов ИБ ДИБ может привлекать специалистов ДИТ,
других профильных Департаментов Банка.
В зависимости от присвоенной категории критичности происходит определение
приоритета и времени реагирования по каждому типу инциденту ИБ. Сопоставление
приоритетов и категорий инцидентов ИБ определяется следующим образом:
очень высокий. Соответствует 1-й категории критичности. Время
реагирование не более 1 часа;
высокий. Соответствует 2-й категории критичности. Время реагирование не
более 4 часов;
средний. Соответствует 3-й категории критичности. Время реагирование не
более 8 часов;
низкий. Соответствует 4-й категории критичности. Время реагирование не
определено.
В зависимости от приоритета инцидента ИБ, происходит выделение необходимых
ресурсов для расследования.
13
10 Реагирование на инциденты
Для реагирования на инциденты ИБ в Банке должна быть создана специальная
группа реагирования на инциденты ИБ (ГРИ), состоящая из следующих специалистов:
менеджеры и специалисты ДИБ;
менеджеры и специалисты ДИТ;
менеджеры и специалисты юридического Департамента;
менеджеры и специалисты Департамента кадрового учета;
менеджеры и специалисты Службы внутреннего контроля;
менеджеры и специалисты Службы содействия бизнесу;
менеджеры и специалисты других необходимых Департаментов;
внешние эксперты.
ГРИ должны формироваться в зависимости от вида инцидента и необходимой
степени участия каждой стороны.
В случае явной необходимости ДИБ может привлекать к процессу реагирования на
инциденты ИБ внешних экспертов. В случае привлечения внешних экспертов ДИБ обязан:
обосновать принятие такого решения;
проинформировать ТОП-менеджера Банка курирующего деятельность ДИБ;
заручиться письменным соглашением о конфиденциальности между
Банком и внешней стороной.
Все процессы реагирования на инциденты, типизированные по признаку
принадлежности нарушения какой-либо политики ИБ, должны обязательно
документироваться. Документирование сценариев реагирования на каждый возможный
инцидент ИБ проводится экспертным путем и оформляется в виде набора
соответствующих регламентов и правил.
Первостепенной задачей ДИБ является сдерживание инцидента ИБ, то есть
принятия всех необходимых мер для локализации инцидента ИБ и препятствующих его
распространению.
Взаимодействие ГРИ в процессе реагирования должно осуществляться при условии
обеспечения конфиденциальности, например, путем шифрования сообщений
электронной почты или сообщений в КИС.
14
ГРИ должна иметь выделенное защищенное помещение для переговоров, в
котором проводятся встречи, проводится анализ материалов, координируются действия
по расследованию инцидентов ИБ.
В Банке принята корпоративная модель ГРИ, которая реализована по принципу
единого центра компетенции в Москве. ГРИ консолидирует и обрабатывает
консолидированную информацию, также координирует деятельность своих дочерних
структур, принимающих участие в расследовании инцидента ИБ.
В процессе реагирования на инцидент ИБ ДИБ собирает всю относящуюся
информацию и проводит расследования.
Целью расследования инцидента ИБ является раскрытие всех причинно-
следственных связей и получение следующей информации:
источники инцидента ИБ (нарушители);
цели инцидента ИБ (активы, репутация, др.);
способы осуществления инцидента ИБ.
В случае инцидента ИБ настоящая политика ЗАПРЕЩАЕТ уведомление партнеров
Банка, средств массовой информации, а также третьих лиц, не участвующих в бизнес
процессах Банка.
В процессе реагирования на инциденты ИБ Банк должен неукоснительно
следовать законодательству РФ.
В качестве превентивной меры по ликвидации последствий инцидентов ИБ, в
Банке должен разрабатываться план по восстановлению работоспособности ИТ и ИБ
сервисов, необходимых для функционирования бизнеса.
15
11 Анализ причин и оценка результата
После проведения расследования инцидента ИБ ДИБ проводит:
переоценку рисков, повлекших возникновение инцидента ИБ;
готовит перечень защитных мер для минимизации выявленных рисков, в
случае повторения инцидента ИБ;
актуализирует необходимые политики, регламенты, правила ИБ, включая
настоящий документ;
по необходимости, проводит обучение персонала Банка, включая
сотрудников ДИТ, для повышения его осведомленности в части ИБ.
Раз в три месяца, а также по необходимости, ДИБ готовит и предоставляет ТОП-
менеджеру, курирующему деятельность ДИБ отчеты о проведенной работе по
расследованию инцидентов ИБ с указанием своей экспертной оценки и проводимыми
(предлагаемыми) корректирующими и компенсирующими мероприятиями,
направленными на снижение ущерба от подобных инцидентов ИБ.
