Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Реактивний підхід

Средства защиты информации | Править] Программные средства защиты информации | Защита информации от несанкционированного доступа | Основні та допоміжні активи | Якісна оцінка ризиків | Порівняння двох підходів | Визначення рівня зрілості використовуваної в організації системи управління ризиками | Информационная безопасность | Править] Существенные признаки понятия | Править] Организационно-технические и режимные меры и методы |


Читайте также:
  1. Підхід до змін і тенденцій, які виникають
  2. Поняття типу і типології держав (формаційний та цивілізаційний підхід).
  3. Розділ I. Теоретичний підхід до умов трудового договору: поняття, значення, види
  4. Стратегічний підхід до вибору моделі проникнення на міжнародний ринок
  5. Структурний підхід

В даний час багато ІТ-спеціалісти випробовують колосальний тиск з боку користувачів, що вимагають щонайшвидше виконувати всі завдання і при цьому заподіювати якомога менше незручностей. В результаті багато ІТ-спеціалістів важають, що при виникненні проблем з безпекою вони повинні лише забезпечити контроль над ситуацією, з'ясувати, що сталося, і щонайшвидше відновити працездатність систем, зачеплених проблемою. Деякі з них можуть спробувати визначити основну причину проблеми, проте в умовах крайній обмежених ресурсів навіть це може виявитися недозволеною розкішшю. Хоча реактивний підхід може стати тактично ефективною відповіддю на ризики безпеки, які були використані зловмисниками і привели до порушення безпеки, накладення деяких обмежень на реактивний підхід може допомогти організаціям всіх типів краще використовувати свої ресурси.

Колишні проблеми з безпекою можуть допомогти організаціям спрогнозувати появу проблем в майбутньому і підготуватися до їх виникнення. Це означає, що організація, яка реагує на інциденти з використанням зважених і раціональних методик, визначаючи причини, які привели до виникнення інциденту, буде краще захищена від виникнення подібних проблем в майбутньому і зможе швидше реагувати на інші виникаючі проблеми.

Детальний розгляд реагування на інциденти виходить за межі даного стандарту, проте наступні шість кроків допоможуть підвищити швидкість і ефективність реагування.

Оберігайте життя людей і піклуйтеся про їх безпеку. Це завдання завжди має бути першочерговим. Наприклад, якщо схильні до проблеми комп'ютери є частиною системи життєзабезпечення, замість їх відключення рекомендується логічно ізолювати ці системи в мережі шляхом зміни конфігурації маршрутизаторів і комутаторів, не порушуючи працездатності систем допомоги пацієнтам.

Обмежте пошкодження. Обмеження заподіяних атакою пошкоджень допомагає зменшити додатковий збиток. Швидко забезпечуйте захист важливих даних, програмних продуктів і устаткування. Украй поважно зменшити збиток, заподіяний обчислювальним ресурсам, проте підтримка працездатності систем під час атаки може привести, врешті-решт, до ширшого поширення проблеми. Наприклад, виявивши в середовищі програму-черв'як, можна спробувати зменшити заподіюваний нею збиток, відключивши сервери від мережі. Проте в деяких випадках відключення серверів принесе більше шкоди, чим користі. Аби зробити правильний вибір, використовуйте здоровий глузд і знання про використовувані системи і мережі. Якщо при порушенні системи безпеки відключення від мережі уражених систем не надасть несприятливої дії або несприятливий ефект буде менший, ніж отримувані вигоди, слід щонайшвидше зробити відповідні заходи. Якщо ізоляція серверів не дозволяє зменшити збитку, що завдається, забезпечте активний моніторинг дій зловмисника, аби щонайшвидше усунути наслідки атаки. Перед завершенням роботи будь-якого сервера збережете всі файли журналів. Інформація, що міститься в цих файлах, надалі може використовуватися співробітниками і юристами організації як докази.

Оціните збиток. При атаці сервера негайно зробіть копію інформації, що зберігається на жорстких дисках сервера, і збережете цю копію для подальшого судового розгляду. Оціните заподіяний збиток. Розмір заподіяного атакою збитку необхідно визначити щонайшвидше (відразу після узяття ситуації під контроль і створення копій даних, що зберігаються на жорстких дисках), оскільки це дозволить прискорити відновлення працездатності організації, а копії жорстких дисків слід зберегти для подальшого аналізу. Якщо оцінити збиток в стислі терміни не представляється можливим, необхідно ввести в дію план робіт в аварійній ситуації, який дозволить відновити нормальну роботу і ефективність бізнесу. На цьому етапі організація може визнати доцільним почати судове розслідування інциденту. Тому необхідно завчасно (до виникнення інцидентів) налагодити співпрацю з відповідними правовими органами, аби при виникненні серйозних проблем знати, до кому слід звертатися і що необхідно робити. Крім того, необхідно негайно звернутися в юридичну службу організації, аби вона визначила, чи може бути збуджене переслідування в цивільному порядку за фактом нанесення виявленого збитку.

Визначення причини збитку. Аби виявити джерело атаки, необхідно виявити що піддалися атаці ресурси і знайти уразливості, які були використані для діставання доступу або порушення роботи служб. Для цього слід вивчити конфігурацію систем, перелік встановлених оновлень, системні журнали і журнали аудиту як в системах, що безпосередньо піддалися атаці, так і на мережевих пристроях, що передавали трафік цим системам. Частенько це допомагає виявити як джерело атаки, так і ресурси, що постраждали в результаті атаки. Ці дії повинні виконуватися на комп'ютерних системах, що знаходяться в експлуатації, а не на копіях дисків, створених на кроці 3. Ці копії необхідно зберегти без змін для можливого судового розгляду, що дозволить правоохоронним органам або юридичній службі організації використовувати їх для виявлення зловмисників і притягування до відповідальності. При необхідності створення резервних копій для тестування і визначення причин збитку створіть ще одну копію даних вихідної системи, але не використовуйте копії, створені на кроці 3.

Виправлення пошкоджень. В більшості випадків необхідно щонайшвидше усунути нанесені пошкодження і відновити нормальну роботу організації і дані, втрачені в результаті атаки. План і процедури забезпечення безперервної роботи організації повинні включати стратегію відновлення. Крім того, група реагування на інциденти має бути в змозі виконати операції по відновленню працездатності або надати відповідальному підрозділу необхідні рекомендації. В процесі відновлення працездатності виконуються заходи, що дозволяють обмежити поширення проблеми і ізолювати її. Перед введенням відновлених систем в експлуатацію необхідно поклопотатися, аби вони не піддалися повторному зараженню. Для цього необхідно усунути уразливості, використані в ході інциденту.

Аналіз результатів і зміна політик. Після документування і відновлення необхідно ретельно проаналізувати процес. Разом з робочою групою визначите правильно виконані операції і допущені помилки. В більшості випадків виявиться, що для підвищення ефективності дій при виникненні інцидентів в майбутньому необхідно змінити існуючі процеси. Крім того, в плані реагування на інциденти неминуче виявляться вади. На цьому етапі необхідно виявити можливості удосконалення. Всі виявлені недоліки мають бути усунені в ході чергового етапу процесу планерування дій при інцидентах, що дозволить підвищити ефективність реагування на інциденти в майбутньому.


Дата добавления: 2015-11-14; просмотров: 60 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Самостійна оцінка рівня зрілості системи управління ризиками в організації| Розвиток стандарту

mybiblioteka.su - 2015-2024 год. (0.006 сек.)