СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Сергей
7 апреля
#Dev#ИБ#ИИ#Инфра#Облака

Управление инцидентами информационной безопасности: методы, стандарты и профилактика

Управление инцидентами информационной безопасности: методы, стандарты и профилактика

Разработано Freepik

Содержание:

  1. Что такое информационный инцидент?
  2. Классификация инцидентов ИБ
  3. Причины возникновения инцидентов ИБ
  4. Этапы управления инцидентами информационной безопасности
  5. Как предотвратить информационные инциденты?
  6. Резюме: профилактика важнее реагирования

Организации любой отрасли, коммерческие, государственные, располагают данными, которые, как минимум в теории, представляют интерес для злоумышленников. Современные ИБ-решения хорошо справляются с большинством угроз, но на 100% исключить риски невозможно. Поэтому компаниям важно иметь четкий сценарий реагирования на хакерские атаки, внутренние нарушения, инциденты ИБ иного типа. Разберемся в вопросе подробнее.

Определение инцидента информационной безопасности

Понятие инцидента информационной безопасности присутствует в нормативно-правовых актах, касающихся вопросов обеспечения информационной безопасности. Например, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р 53114-2008, ГОСТ Р 59712-2022, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ, Приказ ФСБ России от 19 июня 2019 г. №282 “Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации” Есть упоминания и в международных документах вроде ISO/IEC 27000, NIST SP 800-61.

Если взять обобщенную формулировку, получится следующее: Инцидент ИБ – это нежелательные события или их совокупность, которые способны привести к нарушению системы информационной безопасности. Сюда относят и состояние IT-инфраструктуры, представляющее угрозу стабильности работы аппаратных, программных средств, обеспечивающих защищенность данных.

Примеры инцидентов информационной безопасности

Существуют сотни примеров, когда несоблюдение требований информационной безопасности приводило к серьезным последствиям. Среди них целенаправленные атаки, утечки конфиденциальных данных, нарушение доступности сервисов и отказ в обслуживании. Часто основной причиной таких ситуаций становятся ошибки сотрудников.

В IV квартале 2024 года количество инцидентов увеличилось на 5% по сравнению с предыдущим кварталом и на 13% в сравнении с тем же периодом прошлого года. Вредоносное ПО остается самым эффективным инструментом: шифровальщики, софт для удаленного управления, шпионское ПО.

Популярные способы атаки:

  1. В конце 2024 года была обнаружена масштабная фишинговая кампания по рассылке Email с документами Microsoft Word. Они были специального повреждены так, чтобы антивирусы не могли проверить содержимое. Но при открытии, после запуска процесса восстановления файла, происходило перенаправление жертвы на фишинговый сайт.
  2. Программы-вымогатели в последнее время чаще представлены вариантом Akira, который проникает на компьютеры путем эксплуатации уязвимости CVE-2024-40766 или CVE-2024-40711. Из всего перечня успешных атак 42% пришлось именно на шифровальщиков.
  3. Начало 2025 года связано с повышением активности ботнетов, атакующих IoT-устройства и сетевое оборудование, веб-серверы. Например, программа Ficora научилась взламывать D-Link, популярные как у организаций, так и у частных лиц.

Подобных ситуаций возникает масса. Например, на том же Вайлдберриз взламывали аккаунты продавцов, где умышленно занижали цены и сразу заказывали «акционные» товары. Тогда клиенты маркетплейса потеряли почти 20 000 000 рублей. И все из-за ошибок ИТ-специалистов.

В целом, возросло количество случаев, когда преступники используют искусственный интеллект и машинное обучение. Из-за этого атаки становятся все более сложными и целенаправленными. AI-управляемые вредоносные программы умеют адаптироваться в реальном времени, учатся обходить традиционные системы обнаружения.

Эти примеры показывают, как уязвимости и ошибки приводят к утечкам данных и финансовым потерям. Но угрозы шире — мошенники активно используют финансовые схемы в интернете.

Узнайте больше в нашей статье: «Виды финансового мошенничества в интернете»

Разбираем актуальные схемы и способы защиты.

Классификация инцидентов ИБ

Чтобы лучше понять природу инцидентов, обеспечить более эффективный ответ на них прибегают к классификации, позволяющей разделить массив вероятных случаев на отдельные категории. Это упрощает определение источника угрозы, оценку уровня воздействия на ИТ-инфраструктуру. Если системно подходить к задаче, многим удается минимизировать ущерб для организации.

По типу нарушения

Первоочередной задачей является выявление того, в чем именно заключается инцидент ИБ. От этой информации можно будет отталкиваться в дальнейших действиях.

Выделяют несколько основных типов нарушений:

  1. Несанкционированный доступ. Фиксируется независимо от остального, например, утечки или порчи информации. Сам факт уже представляет угрозу компании.
  2. Несанкционированная модификация данных. Виновниками становятся злоумышленники, которые проникли в систему извне, или сотрудники, их знакомые, родственники.
  3. Блокировка доступа. Типовым примером являются вирусы-шифровальщики, вымогающие за расшифровку деньги.

В третью категорию можно отнести и атаки типа отказ в обслуживании (DoS) и распределённый отказ в обслуживании (DDoS), способные привести к временной или длительной недоступности облачных серверов и корпоративных ресурсов.

По источнику

На практике встречается два источника угроз для ИТ-инфраструктуры – внешние и внутренние. К первой категории относят всех, кто не имеет прямого доступа к информационной системе: хакеров, бывших сотрудников, любых других посторонних, кому не предоставлялись логины-пароли, коды и прочие идентификаторы.

Типичные внешние угрозы:

  1. Рекламное и шпионское ПО.
  2. Вирусы вроде троянов или червей.
  3. Криминальные структуры.

К последним можно отнести потенциальных преступников, недобросовестных партнеров, персонал поставщиков услуг, работающий на договоре аутсорсинга. Отчасти сюда включены представители надзорных органов, силовых структур, если они действуют не в рамках закона, без постановления суда и пр. Здесь нужно оценивать дополнительные факторы вроде умысла.

Под внутренними угрозами понимают персонал, их контакты, кто мог получить доступ к данным и логинам-паролям. Например, бывшие партнеры, до недавнего времени работавшие в общей базе, но по ошибке сотрудников не отключенные от нее. Влияет на безопасность как набор действий, так и бездействие ответственных лиц.

По степени воздействия

Категоризация инцидентов информационной безопасности по степени воздействия определяет приоритетность и срочность мероприятий по устранению последствий и предупреждению повторных инцидентов.

Выделяют три уровня воздействия:

  1. Низкий — не оказывает значительного влияния на работу информационных систем и бизнес-процессы организации.
  2. Средний — временно снижает производительность или доступность информационных ресурсов.
  3. Высокий — приводит к существенному ущербу, вплоть до полного отказа информационных систем или длительной недоступности сервисов.

В зависимости от характера и динамики развития угрозы уровни могут меняться. Например, обнаружение вируса может изначально расцениваться как инцидент низкого уровня, однако при активации вредоносного ПО степень воздействия может повыситься до среднего или высокого уровня.

По умыслу

По критерию умысла инциденты информационной безопасности подразделяются на два типа:

  1. Умышленные — инциденты, вызванные сознательными действиями сотрудников или третьих лиц, направленными на нарушение конфиденциальности, целостности или доступности информации. Например, умышленная передача коммерческой тайны или интеллектуальной собственности третьим лицам.
  2. Непреднамеренные — инциденты, причиной которых стали ошибки, небрежность или недостаточная квалификация персонала, без намерения нанести ущерб организации.

Приведем примеры:

  1. Сотрудник при увольнении скопировал клиентскую базу, проектную документацию и пр.
  2. Менеджер отдела закупок договорился с поставщиком о завышении цен за «откат».
  3. Операционист банка пересылает через знакомого заявки на кредит конкурентам.
  4. Секретарь суда предоставил удаленный доступ к компьютеру постороннему.

Непреднамеренные инциденты происходят из-за ошибок. Например, перепутали Email, поставили на компьютер несогласованное с администратором ПО. Итоги возникновения ситуации достаточно непредсказуемы и требуют отдельного рассмотрения.

Причины возникновения инцидентов ИБ

В дополнение выделим три причины, из-за которых часто возникают инциденты в информационных системах (независимо от отношения к той или иной категории):

  1. Человеческий фактор — ошибки, невнимательность или недостаточная квалификация сотрудников. Например, случайная публикация программистом закрытого кода в открытом репозитории.
  2. Технические уязвимости — дефекты или слабые места в программном обеспечении, операционных системах и аппаратном оборудовании.
  3. Преднамеренные действия — целенаправленные атаки злоумышленников, включая взломы систем, распространение вредоносного ПО и фишинговые рассылки.

Узнайте всё о фишинге — что это, как работает и как защититься, в нашей статье: «Фишинг: что это такое?»

Например, программист случайно опубликовал в общедоступном репозитории код, который фирма планировала использовать в коммерческом проекте.

Этапы управления инцидентами информационной безопасности

Независимо от категории, все инциденты информационной безопасности рекомендуется отрабатывать по единой, заранее разработанной схеме. Такой подход позволяет ускорить реагирование и эффективнее восстановить нормальное функционирование систем.

Выделяют следующие основные этапы реагирования на инциденты ИБ:

  1. Подготовка — оценка и проверка текущих мер защиты, разработка и актуализация планов реагирования на инциденты.
  2. Выявление и анализ — оперативная идентификация угрозы, оценка её текущего и потенциального воздействия.
  3. Реагирование — меры по локализации и нейтрализации инцидента, минимизации ущерба и восстановлению работы систем.
  4. Расследование — детальный разбор инцидента, выявление его причин и факторов развития для предупреждения повторных случаев.

Важно понимать, что перечисленные шаги опциональны. В реальных условиях они повторяются и перекрываются в зависимости от развития ситуации.

Чтобы систематизировать процесс разбирательства, рекомендуется отталкиваться от профильных стандартов, в том числе международных.

ISO/IEC 27035:2023

Пошаговое исполнение процедур помогает максимально быстро решать возникающие проблемы и ликвидировать последствия. Ключевыми моментами являются документирование всех событий с обязательной фиксацией времени инцидентов (таймлайн), ведение детализированных отчётов о предпринятых мерах реагирования, а также назначение ответственных лиц на каждом этапе обработки инцидента ИБ.

Стандартом ISO/IEC 27035:2023 предусмотрены шаги:

  1. Планирование и подготовка. Рекомендуется заранее подготовить политику управления инцидентами с чётким распределением ролей, инструкциями для сотрудников и регулярными учениями по реагированию на инциденты.
  2. Идентификация и регистрация инцидента. Подразумевает налаженный мониторинг инфраструктуры, выявление и регистрацию подозрительной активности, а также своевременное создание документированного отчета с точными временными метками событий.
  3. Оценка и принятие решения. На этом этапе необходимо определить тип, категорию и степень критичности инцидента для выбора адекватного плана реагирования.
  4. Ответное реагирование. Реализация выбранного плана: локализация и устранение инцидента, восстановление систем до штатного состояния. Важна чёткая фиксация действий и ответственных лиц на всех этапах.
  5. Извлечение уроков. Анализ причин инцидентов, выявление уязвимостей, формулировка рекомендаций по усилению мер защиты, улучшение политики безопасности, обновление ПО и оборудования, дополнительное обучение персонала.

Подробнее с нормами эффективного управления можно ознакомиться в тексте стандарта. Документ содержит актуальные сведения по формированию политики, использованию средств управления информационными системами.

NIST SP 800-61

Руководство по обработке инцидентов компьютерной безопасности включает схожий список этапов для создания и эксплуатации службы реагирования на инциденты ИБ.

Подробнее:

  1. Подготовка. Включает назначение ролей обученным сотрудникам, разработка инструкций и процедур, которые будут направлять процесс реагирования.
  2. Обнаружение и анализ. Подразумевает применение инструментов контроля безопасности, сбора данных для тщательного анализа, выявление первопричин возникновения.
  3. Сдерживание, уничтожение и восстановление. Предполагает принятие мер по ограничению последствий инцидента и удаление угроз, восстановление систем до рабочего состояния.
  4. Работа после инцидента. Создание подробного отчета с хронологией событий и действий, предпринятых персоналом, с извлечением выводов.

Подробная информация по каждому шагу содержится в официальном международном документе. Его применение обосновано при взаимодействии с зарубежными филиалами и пр.

ГОСТ Р ИСО/МЭК ТО 18044-2007

В российском секторе IT чаще применяют национальные стандарты Российской Федерации. Подход обусловлен требованиями законодательства по обеспечению защищенности критически важной инфраструктуры.

Предлагается схема работы:

  1. Планирование и подготовка. Включает документирование политики обработки сообщений о событиях и инцидентах ИБ, проработка структуры управления, подбор персонала.
  2. Использование. Организация обнаружения событий, относящихся к одной из категорий инцидентов ИБ, реагирование с применением ранее подготовленных инструментов.
  3. Анализ. Подробный аудит произошедшего с извлечением выводов, включая приобщение к решению экспертов, расширение сферы ответственности сотрудников.
  4. Улучшения. Внедрение рекомендаций, полученных на предыдущем этапе, с обновлением программного, аппаратного обеспечения, переобучением персонала.

Подробнее с рекомендациями можно ознакомиться в полном тексте стандарта. Документ включает 50 страниц пояснений по каждому из указанных выше шагов, образцы заполнения отчетов, примеры оценки инцидентов информационной безопасности.

Как предотвратить информационные инциденты?

Избежать большей части угроз можно при соблюдении довольно простых правил. Например, для обслуживания ИТ-систем рекомендуется привлекать только тех специалистов, кто имеет доступ к защищаемой информации.

Дополнительные рекомендации:

  1. Регулярно обновляйте программное обеспечение. Скачивайте обновленные релизы только с официальных сайтов разработчиков.
  2. Используйте многофакторную аутентификацию. Оперативно удаляйте учетные данные тех сотрудников, кто отстранен от должности, уволен и пр.
  3. Проводите аудиты, тестирования на проникновение. Здесь помогут сторонние специалисты, обладающие профильными навыками.
  4. Проводите обучение персонала. Систематическое прохождение курсов, тестов существенно повышает уровень квалификации сотрудников.

Среди эффективных превентивных мер обеспечения информационной безопасности важно выделить комплексный подход к созданию ИБ-систем, с использованием сетевых, инфраструктурных средств защиты информации, средств защиты данных и пользовательских устройств и так далее. Важно настраивать права, полномочия для каждого в отдельности, исходя из должностных обязанностей и отслеживать действия пользователей и события в ИБ-системе. Мониторинг и реагирование на инциденты ИБ рекомендуется проводить с помощью центра мониторинга и реагирования на инциденты (SOC), используя специализированные средства защиты информации и управления событиями (SIEM, SOAR, IRP).

Важным аспектом ИБ является разработка и применение оперативно-распорядительной документации, политик ИБ и контроль за их соблюдением.

Нельзя забывать и про физическую безопасность и создание контролируемой зоны. Например, системы видеонаблюдения, системы контроля и управления доступом (СКУД), охранная сигнализация, защищенные зоны хранения информации (сейфы, серверные помещения). Некоторые компании применяют политику BYOD (Bring Your Own Device), регулируя использование личных ноутбуков и смартфонов сотрудников для работы, чтобы минимизировать риски информационной безопасности.

Резюме: профилактика важнее реагирования

Подведем итоги. Инциденты информационной безопасности являются неотъемлемой частью современной цифровой среды. Однако своевременное внедрение комплексных мер защиты позволяет предотвратить большинство угроз либо существенно минимизировать их последствия. Грамотно выстроенный процесс управления инцидентами снижает вероятность повторения подобных ситуаций благодаря глубокому анализу причин и своевременному применению эффективных превентивных мер.

Хотите глубже разобраться в защите от киберугроз?

Повышайте квалификацию с нашими профессиональными курсами по информационной безопасности. Научитесь предотвращать инциденты и выстраивать надежную защиту.

Станьте экспертом в области информационной безопасности!

Сергей
Автор: Сергей
Пишу о кибербезопасности на простом и понятном языке
Комментарии: