5. Улаживание инцидентов

5.1 Обзор
5.2 Оценка
5.3 Возможные типы уведомлений
5.4 Ответные действия
5.5 Взаимодействие с оpганизациями, занимающимися pасследованием пpоисшествий
5.6 Документирование

5.1 Обзор

Эта часть документа даст вам некоторые советы, связанные с тем, что делать, когда происходит нарушение ПРД на СВТ, в сети или в организации. При этом стратегической задачей при нарушении ПРД, независимо от того, атака ли это внешнего злоумышленника или недовольного служащего, должна быть подготовленность ко всевозможным событиям такого рода. Не следует ее заменять выработкой спорадических планов для типов событий, описанных выше.

Традиционная защита СВТ, хотя и играет важную роль в общем плане защиты организации, обычно уделяет мало внимания защите АС от атак, и наблюдению за АС для обнаружения атаки. Также обычно практически ничего не говорится о том, как реально отражать атаку, когда она началась. Результатом является то, что когда атака начинается, многие решения принимаются в спешке и могут помешать выявить причину инцидента, собрать улики для суда, подготовиться к восстановлению АС, и защитить ценные данные, хранящиеся в АС.

5.1.1 Имейте план, которому вы будете следовать в случае инцидента

То, как вы будете улаживать инцидент, должно быть определено до того, как произойдет инцидент. Это включает установление подходящей степени защиты, так чтобы если инцидент станет опасным, потенциальные разрушения были бы ограниченными. Защита включает подготовку рекомендаций по улаживанию инцидента или выработку сиюминутного плана ответных действий вашей организации. Наличие написанного плана во-первых освобождает от двусмысленных ситуаций, возникающих во время инцидента и помогает принять более подходящие и строгие ответные действия. Во-вторых, частью защиты является разработка метода уведомления, чтобы вы знали, кому звонить и соответствующие номера телефонов. Например, важно провести тренировки, в ходе которых персонал компьютерной защиты, системные администраторы, и управляющие имитировали бы действия в ходе инцидента.

Тренировка эффективных ответных действий при инциденте важна по ряду причин. Самым важным является то, что таким образом предотвращается опасность человеческой жизни. Некоторые АС являются системами, от которых зависят человеческие жизни (например, система управления госпиталем или воздушным движением).

Важным, но часто забываемым достоинством является экономичность. Наличие как технического, так и управленческого персонала, готового к инцидентам, требует значительных ресурсов, которые могли бы быть использованы более выгодно, если бы не требовалась их готовность к отражению атаки. Если этот персонал натренирован на улаживание инцидента, им потребуется меньше времени для этого.

Третьим достоинством является защита конфиденциальной информации. Одна из основных опасностей инцидента с компьютерной защитой состоит в том, что нельзя будет восстановить эту информацию. Эффективное улаживание инцидента минимизирует эту опасность. Если инцидент затрагивает секретную информацию, то в любой план улаживания инцидента должны быть включены государственные законы, имеющие отношение к секретной информации.

Четвертое преимущество связано с прессой. Новости об инциденте с компьютерной защитой приводят к падению авторитета организации в глазах текущих или потенциальных клиентов. Эффективное улаживание инцидента минимизирует потенциальное негативное воздействие.

Последнее преимущество эффективного улаживания инцидента связано с судебной ответственностью. Весьма вероятно, что в ближайшем будущем организации будут привлекаться к ответственности в случае, если с одного из СВТ, принадлежащих им, была начата сетевая атака. Аналогично, люди, разрабатывающие "заплатки" (изменения в загрузочных модулях для исправления ошибок), возможно будут привлекаться к ответственности, если их изменения приведут к разрушениям в АС, или окажутся неэффективными при защите. Знание уязвимых мест операционных систем и типовых атак, а также действий, которые нужно предпринять, помогут избежать возможных проблем с законом.

5.1.2 Порядок рассмотрения материала раздела помогает составить план действий

Эта глава составлена таким образом, чтобы список, полученный из оглавления, мог бы послужить отправной точкой при выработке мер по улаживанию инцидентов. Основными моментами, которые должны быть отражены в мерах по улаживанию инцидентов являются:

• Обзор (каковы цели и задачи при улаживании инцидента)
• Оценка (насколько серьезен инцидент)
• Уведомление (кого следует уведомить об инциденте)
• Ответные действия (каковы должны быть ответные действия)
• Законность (каковы последствия инцидента с точки зрения закона)
• Документирование (какие записи должны быть сделан перед инцидентом, в его течение, и после улаживания)

Каждый из этих моментов важен в общем плане улаживания инцидентов. Остаток этой главы детально рассмотрит вопросы, связанные с каждым из этих разделов, и даст некоторые рекомендации, которые следует включить в меры организации по улаживанию инцидентов.

5.1.3 Возможные цели эффективного улаживания инцидента

Прежде всего следует уделить внимание целям, достигаемым при улаживании инцидента. Конечно, в зависимости от организации, важность целей будет меняться, но один из возможных вариантов приведен ниже:

• Гарантировать целостность критических АС
• Поддержать и восстановить данные
• Поддержать и восстановить службы
• Определить, что случилось
• Избежать эскалации и дальнейших инцидентов
• Избежать нежелательной огласки
• Определить, кто это сделал
• Наказать атакующего

Важно определить приоритеты действий, предпринимаемых во время инцидента, до того, как инцидент произойдет. Иногда инцидент может быть настолько сложен, что просто невозможно делать все одновременно для его ликвидации; нужно расставить приоритеты. Хотя эти приоритеты могут меняться от организации к организации, предлагаемые ниже приоритеты могут послужить отправной точкой при определении ответных действий организации:

1. Защитить человеческие жизни - человеческая жизнь всегда является самым важным;
2. Защитить критические и секретные данные (с точки зрения организации и закона);
3. Защитить другие данные, включая частные, научные, и другие данные, так как потеря данных дорого обходится в терминах ресурсов;
4. Предотвратить разрушение АС (например, потерю или изменение системных файлов, разрушение дисковых накопителей, и т.д.); разрушение АС может привести к затратам времени на ее восстановление;
5. Минимизировать разрушение вычислительных ресурсов; во многих случаях лучше выключить АС или отключить ее от сети, чем рисковать данными или самой АС.

Важным следствием определения приоритетов является то, что если затрагиваются вопросы человеческой жизни и национальной безопасности, то в этом случае гораздо более важно сохранить данные, чем программное обеспечение и оборудование. Хотя разрушение или стирание чего-либо в ходе инцидента нежелательно, АС можно заменить; потеря же или компрометация данных (особенно секретных данных) обычно неприемлема при любых условиях.

То, как будет улаживаться инцидент, должно быть определено до того, как случится инцидент. Это включает в себя соответствующие защитные меры, чтобы, в случае серьезного инцидента, можно было ограничить разрушения. Защита включает подготовку рекомендаций по улаживанию инцидента или конкретный план действий, которые предпримет ваша организация. Наличие написанного плана позволяет избежать неясностей, возникающих в ходе инцидента, и ведет к более уместным и более строгим мерам. Во-вторых, частью защитных мер является разработка метода уведомления, чтобы вы знали, кому звонить, и как с ним связаться. Например, каждый член группы компьютерной безопасности Министерства Энергетики США носит с собой карточку с рабочими и домашними телефонами других членов группы, а также с номерами их пэйджеров. В-третьих, ваша организация должна разработать процедуры создания архивных копий для каждого СВТ и АС. Наличие архивных копий позволяет избежать большей части угроз даже при серьезном инциденте, так как архивные копии делают невозможным серьезные потери данных. В-четвертых, вы должны сделать АС защищенными. Это включает ликвидацию уязвимых мест, выработку эффективных правил работы с паролями, и другие процедуры СРД, которые будут рассмотрены позже в этом документе. Наконец, проведение тренировок также является частью защиты. Например, важно проводить тренировки, в ходе которых персонал, обеспечивающий защиту СВТ, системные администраторы и управляющие имитировали бы действия при улаживании инцидента.

5.1.4 Рекомендации по разработке ПРД

Любой план ответных действий в инциденте с защитой должен составляться на основе ПРД. Правительственные и коммерческие организации, работающие с секретной информацией, имеют специфические ПРД.

ПРД вашей организации, определяющие как следует улаживать инциденты (это рассматривалось в пунктах 2.4 и 2.5), помогут сформировать основной план ваших действий. Например, не имеет смысла создавать механизмы наблюдения и слежения за злоумышленниками, если ваша организация не планирует предпринимать никаких действий по отношению к злоумышленникам в случае их поимки. Другие организации могут иметь свои ПРД, которые окажут влияние на ваши планы. Телефонные компании часто дают информацию о номерах телефонов только правоохранительным органам.

Раздел 5.5 также отмечает, что если планируется предпринимать какие-либо правовые действия, то существуют специфические рекомендации, которым нужно следовать, чтобы быть уверенным, что вся собранная информация может использоваться в качестве улик.

Назад | Содержание | Вперед