Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8695 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 13:

Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности"

< Лекция 12 || Лекция 13: 12345 || Лекция 14 >
Аннотация: Рассматривается взаимодействие групп реагирования на нарушения информационной безопасности и опекаемого сообщества во время ликвидации нарушений; анализируются используемые при этом документы, правила и процедуры.
Ключевые слова: нарушение информационной безопасности, Internet-сообщество, пробел, ПО, computationally secure, incident, response, группа реагирования, опекаемое сообщество, CERT, computer, emergency, team, Internet, группа, сеть, First, forum, AND, security team, потеря конфиденциальности, нарушение целостности, нарушение доступности, неправомочное использование, повреждение, атака, администратор, место, доклад о нарушении, информация, пользователь, доступ, аутентичность, цифровая подпись, целостность, межгрупповое взаимодействие, разделение информации, реакция, доверенные коммуникации, криптографический ключ, шаблон, бланк, список рассылки, список, разделы, определение, research network, тип нарушения, уровень поддержки, раскрытие информации, полнота, очередь, информационные системы, отношение, Дополнение, ресурс, магистральная сеть, кооперация, операторы, конфиденциальность, права, персональные данные, информация о злоумышленнике, информация о частной системе, информация об уязвимостях, информация, бросающая тень, статистическая информация, контактная информация, аутентификация, типы информации, вывод, почта, PGP, Личность, координация реагирования, классификация нарушений, разрешение проблем, письмо, протоколирование, сервер

Основные понятия

Тема реагирования на нарушения информационной безопасности исключительно важна, но, на наш взгляд, она пока не получила достаточного освещения в отечественной литературе. Детальное рассмотрение спецификации Internet-сообщества "Как реагировать на нарушения информационной безопасности " [ 33 ] призвано отчасти восполнить этот пробел. В последующем изложении использована публикация [ 7 ] .

Цель интересующей нас спецификации - сформулировать ожидания Internet-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Потребители имеют законное право (и необходимость) досконально понимать правила и процедуры работы "своей" группы реагирования.

Словосочетание " группа реагирования на нарушения информационной безопасности" обозначает группу, выполняющую, координирующую и поддерживающую реагирование на нарушения, затрагивающие информационные системы в пределах определенной зоны ответственности.

Коллектив, называющий себя группой реагирования, обязан должным образом отвечать на выявленные нарушения безопасности и на угрозы своим подопечным, действуя в интересах конкретного сообщества и способами, принятыми в этом сообществе.

Чтобы считаться группой реагирования, необходимо:

  • предоставлять защищенный канал для приема сообщений о предполагаемых нарушениях;
  • помогать членам опекаемого сообщества в ликвидации нарушений;
  • распространять информацию, относящуюся к нарушению, среди представителей опекаемого сообщества и других заинтересованных сторон.

Деятельность группы реагирования предполагает наличие опекаемого сообщества - группы пользователей, систем, сетей или организаций.

Существуют разные виды групп реагирования. Некоторые заботятся о безопасности весьма обширных сообществ. Так, Координационный центр CERT (Computer Emergency Response Team, см. http://www.cert.org/) опекает Internet. У других масштабы деятельности не столь велики (например, группа DFN-CERT поддерживает немецкую исследовательскую сеть DFN, см. http://www.cert.dfn.de/), у коммерческих или корпоративных групп реагирования они могут быть совсем небольшими. Группы реагирования и безопасности координируют свою работу на всемирном форуме - FIRST (Forum of Incident Response and Security Teams, см. http://www.first.org/).

Под нарушением информационной безопасности понимается любой вид компрометации каких-либо аспектов безопасности систем и/или сетей, к их числу относятся:

  • потеря конфиденциальности информации;
  • нарушение целостности информации;
  • нарушение доступности информационных услуг;
  • неправомочное использование услуг, систем или информации;
  • повреждение систем.

Атаки, даже если они оказались неудачными из-за правильно построенной защиты, могут трактоваться как нарушения.

Иногда администратор может лишь подозревать нарушение. В процессе реагирования необходимо установить, действительно ли оно имело место.

Важно, чтобы каждый член сообщества понимал, на что способна его группа, которая, в связи с этим, должна объяснить, кого она опекает и определить, какие услуги предоставляет. Кроме того, каждая группа реагирования обязана опубликовать свои правила и регламенты. Аналогично, членам сообщества нужно знать, чего ожидают от них, т. е. группа должна также ознакомить с правилами доклада о нарушениях.

Без активного участия пользователей эффективность работы групп реагирования может заметно снизиться, особенно это касается докладов о нарушениях. Пользователей необходимо уведомить, что о нарушениях информационной безопасности следует сообщать. Должны они знать и о том, как и куда направлять свои доклады.

Источники многих нарушений, затрагивающих внутренние системы, лежат за пределами контролируемого сообщества. С другой стороны, некоторые внутренние нарушения воздействуют на внешние системы. Расследование подобных инцидентов требует взаимодействия между отдельными системами и группами. Пользователи должны точно знать, как их группа будет сотрудничать с другими группами и организациями и какая информация будет разделяться.

< Лекция 12 || Лекция 13: 12345 || Лекция 14 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Анатолий Гречман
Анатолий Гречман
Казахстан, Экибастуз, Экибастузский Инженерно-технический Институт, 2014
Μаксим Εфремов
Μаксим Εфремов
Россия