Организация расследования инцидентов информационной безопасности с использованием технических средств

Ни одна самая совершенная мера по снижению рисков информационной безопасности, будь это досконально проработанная политика или самый современный межсетевой экран, не может полностью предотвратить возникновение в информационной среде событий, потенциально несущих угрозу бизнесу организации.
Сложность и разнообразие среды деятельности современного бизнеса предопределяют наличие остаточных рисков в независимости от качества подготовки и внедрения мер противодействия. Также, всегда существует вероятность реализации новых, не известных до настоящего времени, угроз информационной безопасности. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление нормального функционирования организации и потенциально усилить нанесенный ущерб. Таким образом, любой организации, серьезно относящейся к вопросам обеспечения информационной безопасности, необходимо реализовать комплексный подход для решения следующих задач:
■ обнаружения, информирования и учета инцидентов информационной безопасности;
■ реагирования на инциденты информационной безопасности, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
■ анализа и расследования произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения информационной безопасности информационной безопасности целом.
Решение всех этих задач можно получить, разработав и реализовав эффективный процесс управления инцидентами информационной безопасности.
Тема управления инцидентами информационной безопасности является сегодня одновременно и популярной, и актуальной. Именно во время работы разных этапов процесса управления инцидентами информационной безопасности проявляются конкретные уязвимости активов организации, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, эффективность работы процессов обеспечения информационной безопасности и управления ею.
Создание...

Системы защиты и контроля информации, установленные в организации, не исключают на 100% рисков несанкционированного воздействия злоумышленников на информационные активы. Если инцидент ИБ все-таки произошел, организации необходимо провести его грамотное расследование – выявить уязвимости, пресечь их дальнейшее использование, определить «источник» угрозы, ее исполнителя, грамотно собрать улики и доказательства преступления и предоставить материалы в правоохранительные органы для возбуждения дела об административном и (или) уголовном правонарушении.
На текущий момент проанализированы требования, рекомендации и лучшие практики в области построения процессов управления инцидентами ИБ, представленные как в российских, так и международных документах.
Для того чтобы получить правильное понимание базовых понятий «событие ИБ» и «инцидент ИБ» был проведен их анализ. Понимание этих понятий чрезвычайно важно для успешного выполнения дальнейших работ по разработке процесса управления инцидентами ИБ.
Помимо этого был определен подход к разработке процесса управления инцидентами ИБ. Дальнейшие исследования проводятся в направлении решения следующих задач:
■ анализ этапов работы процесса управления инцидентами ИБ;
■ анализ требований, предъявляемых к процессу управления инцидентами ИБ стандартом ISO/IEC 27001:2005;
■ выделение подпроцессов, входящих в состав процесса управления инцидентами ИБ;
■ непосредственная разработка и формализация подпроцессов, входящих в состав процесса управления инцидентами ИБ;
■ разработка документации, регламентирующей и поддерживающей работу процесса в целом;
■ разработка способов оценки эффективности процесса в целом и отдельных его подпроцессов.
Доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко изменены как в результате ошибок при их изъятии, так и в процессе расследования. Представление подобных доказательств в судебном процессе требует...