– анализ времени доступа к файлу, его создания и изменения;
– анализ логов системы / сервиса / сети и приложений;
– определение деятельности пользователей и/или приложений в системе / сервисе / сети;
– анализ электронной почты на наличие исходной информации и ее содержания;
– проведение проверок целостности файлов с целью обнаружения файлов, содержащих «троянского коня», и файлов, изначально отсутствовавших в системе;
– по возможности, анализ физических доказательств ущерба имуществу, например отпечатков пальцев, результатов видеонаблюдения, логов системы сигнализации, логов доступа по пропускам и опроса свидетелей:
– обработка и хранение добытых потенциальных доказательств так, чтобы избежать их повреждения, приведения в негодность и предотвращения просмотра конфиденциального материала несанкционированными лицами. Следует подчеркнуть, что сбор доказательств всегда должен проводиться в соответствии с правилами судопроизводства или слушания дела, для которых возможно представление данного доказательства;
– получение выводов о причинах инцидента ИБ, необходимых действиях и времени их выполнения с приведением свидетельств, включая список соответствующих файлов, включенных в приложение к главному отчету;
– обеспечение экспертной поддержки для любого дисциплинарного или правового действия (при необходимости).
Методы выполнения вышеуказанных действий должны документироваться в процедурах ГРИИБ.
ГРИИБ должна обладать разнообразными навыками в обширной области технических знаний (включая знание средств и методов, которые, возможно, будут использоваться нарушителем), опытом проведения анализа/расследования (с учетом защиты используемых доказательств), знанием нормативно-правовых положений и постоянной осведомленностью о тенденциях, связанных с инцидентами ИБ.
Необходимо учесть следующее:
– некоторые организации могут не иметь своих юристов, поэтому вынуждены обращаться к сторонним юридическим службам;
– сбор правовых доказательств в случае нанесения значительного ущерба может оказаться отправной точкой для возможного возбуждения уголовного дела, т.е. усилия и затраты могут быть оправданы;
– отказ от привлечения специалистов для фиксации правовых доказательств может привести к невозможности судебного разбирательства.
4.6. Коммуникации
Во многих случаях, когда ГРИИБ подтвердила реальность инцидента ИБ, возникает необходимость информирования конкретных лиц как внутри организации (вне обычных линий связи между ГРИИБ и руководством), так и за ее пределами, включая СМИ. Для этого могут потребоваться несколько этапов, например, подтверждение реальности инцидента ИБ и его подконтрольности, определение инцидента ИБ как объекта кризисного управления, завершение инцидента ИБ и завершение отчета о нем.
В случае необходимости осуществления передачи информации необходимо определить, кому нужно знать, что и когда. В таком случае необходимо определить получателей информации и в зависимости от скорости и полноты получения информации разделить их на группы, например:
– прямые внутренние получатели (кризисный персонал, персонал СУИБ и т.п.);
– прямые внешние получатели (внешняя ГРИИБ, партнеры, поставщики и т.п.);
– другие внешние получатели, например, телевидение, пресса и/или другие СМИ.
Каждая группа может нуждаться в разного рода информации, которую она будет получать с определенной скоростью по выделенному организацией каналу. Одной из основных задач передачи информации после решения инцидента ИБ является гарантирование того, что прямые внешние и внутренние посредники получат более полную информацию и раньше других внешних контактов.
Для оказания содействия такой деятельности целесообразно заранее подготовить конкретную информацию с целью быстрой адаптации ее к обстоятельствам возникновения конкретного инцидента ИБ и предоставления этой информации прессе и/или другим СМИ.
Если информация, относящаяся к инцидентам ИБ, должна освещаться в прессе, то это нужно сделать в соответствии с политикой распространения информации организации. Информация, подлежащая распространению среди общественности, должна быть проанализирована ответственными лицами, например, координатором по связи с общественностью, руководителем ГРИИБ и высшим руководством.
4.7. Расширение сферы принятия решений (эскалация)
Если инцидент ИБ не находится под контролем и содержит реальную угрозу бизнесу, организация может осуществить эскалацию инцидента ИБ, т.е. расширить сферу принятия решений. Это нужно для того, чтобы активировать имеющийся план обеспечения непрерывности бизнеса, информируя высшее руководство, внешнюю ГРИИБ и другие заинтересованные организации.
Эскалация может потребоваться вслед за процессами оценки или происходить в ходе процессов оценки, если проблема становится очевидной на ранней стадии ее обнаружения. Группа поддержки и ГРИИБ, которые могут принять решение об эскалации, должны иметь соответствующие директивы в документации схемы управления инцидентами ИБ.
4.8. Документирование и контроль внесения изменений
Все, кто причастен к управлению инцидентами ИБ, должны документально фиксировать все свои действия для дальнейшего анализа. Информацию об этих действиях вносят в форму отчета об инцидентах ИБ и в базу данных события / инцидента / уязвимости ИБ, непрерывно обновляемую в течение всего времени действия инцидента ИБ от первого сообщения до завершения анализа инцидента ИБ.
Эта информация должна храниться с применением средств защиты и обеспечением соответствующего режима резервирования. Кроме того, изменения, вносимые в процессе мониторинга инцидента ИБ, обновления форм отчета и баз данных уязвимостей / инцидентов / событий ИБ, должны вноситься в соответствии с формально принятой схемой контроля внесения изменений
5 фаза – извлечение уроков
Эта фаза наступает, когда инциденты ИБ решаются/завершаются, и включает извлечение уроков из результатов обработки инцидентов (и уязвимостей) и управления ими.
Организация в результате полученных уроков должна обеспечить следующие действия:
– идентификацию полученных уроков;
– идентификацию улучшений мер защиты (новых и/или усовершенствованных) и их внедрение в соответствии с политикой управления инцидентами ИБ;
– идентификацию улучшений пересмотра оценки и управления рисками ИБ и их внедрение;
– идентификацию улучшений схемы управления инцидентами ИБ и ее документации и их внедрение в результате пересмотра эффективности процессов, процедур, форматов отчетов и/или организационной структуры, используемых в реагировании, оценке и разрешении инцидента ИБ и связанных с ним уязвимостей ИБ;
– обновление базы данных события / инцидента / уязвимости ИБ;
– коммуникации и распространение результатов пересмотра в пределах доверенного сообщества;
– рассмотрение возможности уведомления партнерских организаций об идентифицированных угрозах, инцидентах, связанных с ними векторах атаки и уязвимостях, для оказания помощи в предотвращении возникновения тех же проблем.
Деятельность по управлению инцидентами ИБ является итерационной, и таким образом организация должна осуществлять регулярные улучшения элементов ИБ. Эти улучшения должны осуществляться на основе пересмотров данных об инцидентах ИБ и реагированиях на них и известные уязвимости ИБ, а также современных тенденций.
5.1. Идентификация полученных уроков
После завершения инцидента ИБ важно быстро идентифицировать уроки, извлеченные из его обработки, и предпринять соответствующие действия. В дальнейшем могут быть также идентифицированы уроки, извлеченные из оценки выявленной уязвимости ИБ и соответствующего решения.
Полученные уроки могут рассматриваться с точки зрения:
– новых или изменившихся требований к мерам защиты;
Это могут быть технические или нетехнические (включая физические) меры защиты. В зависимости от извлеченных уроков требования могут включать в себя необходимость быстрого обновления материалов и проведения инструктажа с целью обеспечения осведомленности в вопросах ИБ (как для пользователей, а так и другого персонала) и быстрого пересмотра и издания директив и/или стандартов по ИБ.