Embed Size (px)
Citation preview
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/14
Стандарты управления инцидентами
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/14
Что такое инцидент?
Ситуация, которая может представлять собой нарушение нормального хода бизнеса, убыток, чрезвычайную ситуацию или кризис, либо приводить к их возникновению
BS 25999
Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ
ГОСТ Р ИСО/МЭК 18044
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/14
Что такое инцидент?
Действительное, предпринимаемое или вероятное нарушение безопасности, вызванное либо ошибкой людей, либо неправильным функционированием, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, либо нарушением конфиденциальности, целостности, доступности, учетности или бесспорности, влияющие на систему, сервис и/или сеть и их составные части
ISO/IEC TR 18044:2004
Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность
ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 13335-1-2006
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/14
Что такое инцидент?
Любое событие, которое не является частью стандартного функционирования услуги и которое приводит или может привести к остановке в предоставлении этой услуги или к снижению еѐ качества
ГОСТ Р ИСО/МЭК 20000-200х (проект)
Событие, указывающее на свершившуюся, пред-принимаемую или вероятную реализацию угрозы ИБ
Проект стандарт Банка России СТО БР ИББС-1.0-2008
Событие, которое может привести к прерыванию операций, разрушениям, потерям, чрезвычайным ситуациям или кризису
ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/14
Разница между терминами
ИТ
• Направлены вовнутрь (как правило)
• Событие указывает на причину
• Фокусируются на доступности, производительности, качестве сервиса
ИБ
• Природа источника не важна (внешняя / внутренняя)
• Событие является первым звеном в цепочке
• Фокусируются на поведении, доступе к ресурсам, использовании привилегий субъектов доступа
Событие = причина, факт и следствие
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/14
ISO/IEC TR 18044
ISO/IEC TR 18044 Information security incident management
Принят как ГОСТ Р ИСО/МЭК
Высокоуровневый стандарт
Предварительная информация (исходные данные)
Планирование и подготовка
Эксплуатация систему управления инцидентами
Анализ
Улучшение
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/14
Стандарты управления инцидентами
Соответствующие разделы в ГОСТ Р ИСО/МЭК20000-200х, BS 25999, ГОСТ Р ИСО/МЭК 17799:2005
RFC 2350. Expectations for Computer Security Incident Response
ITU-T E.409 Организация по реагированию на инциденты и обработка инцидентов безопасности: Руководство для организаций электросвязи
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/14
ГОСТ Р ИСО/МЭК 18044 vs. ITU-T E.409
Событие ИБ
Инцидент ИБ
Ложный сигнал
Событие
Инцидент
Инцидент ИБ
Катастрофа, кризис
ГОСТ Р ИСО/МЭК 18044 ITU-T E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/14
ITU-T E.409
Инцидент - событие, которое может привести к явлению или эпизоду, не являющемуся серьезным
ITU-T E.409
Инцидент безопасности – это любое неблагоприятное событие, в результате которого некий аспект безопасности может подвергнуться угрозе
ITU-T E.409
Инцидент безопасности инфокоммуникационныхсетей (ICN) - любое фактическое или предполагаемое неблагоприятное событие в отношении безопасности ICN
ITU-T E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/14
Управление инцидентом по E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/14
Документы CERT
Defining Incident Management Processes for CSIRTs: A Work in Progress
Handbook for Computer Security Incident Response Teams (CSIRTs)
State of the Practice of Computer Security Incident Response Teams
Incident Management Capability Metrics
Incident Management Mission Diagnostic Method
Staffing Your Computer Security Incident Response Team – What Basic Skills Are Needed?
Action List for Developing a Computer Security Incident Response Team (CSIRT)
http://www.cert.org/csirts/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/14
Другие стандарты
NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
NIST SP 800-61 Computer Security Incident Handling Guide
NIST SP 800-3 Establishing a Computer Incident Response Capability (CSIRT)
ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management
NFPA 1600. Standard on Disaster/Emergency Management and Business Continuity Programs
National Fire Protection Association – 25 стандартов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/14
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/14
