Информационная безопасность: Обнаружение инцидента
- 21.03.2013 10:21
Под инцидентом информационной безопасности понимается нежелательное событие или совокупность событий, которое имеет потенциальную возможность скомпрометировать бизнес-процессы предприятия или непосредственно угрожает ее ИБ (ISO/IEC TR 18044:2004). В основной массе систем ИБ этот этап автоматизируется.
Тем не менее, инциденты, связанные, к примеру, с нарушением должностного регламента администратора или пользователя не могут быть обнаружены автоматически. Если на столе сотрудника оставлены конфиденциальные документы, то это инцидент ИБ, обработку которого должно произвести некое SIEM-решение.
Но обнаружить его можно лишь с помощью персонала. Необходимо озаботиться тем, чтобы все события, которые составляют потенциальную угрозу безопасности, были соответствующим образом классифицированы, а наиболее опасные из них были запрещены. Лишь тогда будет эффективна работа систем ИБ. Без документов, которые описывают запрещенные события и действия, обнаружение инцидентов формализовано быть не может.
Небезопасные события, которые происходят внутри IT-системы на уровне аппаратуры или приложений фиксируются. Их обнаружение и занесение в единый журнал инцидентов ИБ - чисто техническая рутинная процедура. При сложной IT-инфраструктуре, процедура обнаружения может быть достаточно ресурсоемкой, однако обеспечение оперативности ее функционирования является приоритетным. К примеру, при продвижении сайтов, обнаруживаются аналогичные процессы.
Регистрация, определение категории и приоритета инцидента
Фиксация информации об инциденте ИБ в соответствующем журнале проводится на основании регламента и предполагает её длительное хранение, позволяющее осуществить детальное расследование причин. На основе этих сведений осуществляется категоризация инцидента, а также присвоение уровня приоритета, соответствующего по значимости события и потенциального влияния на процессы бизнеса.
Если событие ИБ является повторным, или для категории, к которой оно относится, уже определены меры, которые осуществляются в данном случае, тогда запуск сценария защиты возможен в автоматическом режиме. Для того чтобы, разнородные инциденты, занесенные в журнал, эффективно обрабатывались необходимо провести «нормализацию».
Сиречь, привести данные к виду, который может быть обработан системой. Еще одним звеном обработки данных является фильтрация поступающей информации, с целью исключения дублирующих событий, избыточную и ошибочную информацию. Некоторые системы осуществляют объединение взаимосвязанных событий, которые поступают из различных источников, анализируя ранее заложенные признаки.