В рамках реагирования на инцидент ИБ существенным фактором является документирование информации о нём в соответствующей базе инцидентов ИБ. Это необходимо для сбора и объединения материалов расследования, а также может использоваться для извлечения уроков из произошедших инцидентов. Документированию подлежат все факты и доказательства по инциденту ИБ и действия, выполняемые специалистом по ИБ при реагировании на данный инцидент, что позволяет оптимизировать деятельность при выявлении подобных инцидентов в будущем.
В рамках применения превентивных мер можно выделить такие, которые проводятся в ходе реагирования на инцидент ИБ с целью уменьшения негативных последствий (блокировка портов и устройств ввода-вывода информации, отключение от сети интернет, от компьютерной сети и т.п.). А также меры, применяемые после закрытия инцидента с целью недопущения подобных впредь (изменение политик безопасности, блокирование нежелательных ресурсов сети интернет и т.п.).
Проведение профилактических мероприятий в основном направлено на работу с персоналом и может включать следующие формы:
- наложение дисциплинарных взысканий на нарушителя;
- создание негативного имиджа нарушителя;
- проведение дополнительных инструктажей и обучения пользователей;
- осуществление рассылок о необходимости соблюдения требований по ИБ;
- внесение изменений в политику ИБ банка и т.п.
В целом, эффективность и оперативность процесса управления инцидентами ИБ зависит от следующих факторов:
- координации и согласованности действий всех вовлеченных в него лиц;
- имеющихся возможностей получения и анализа информации, связанной с инцидентом;
- оперативности и корректности полученных результатов.
К сожалению, далеко не во всех организациях банковской сферы процесс выявления и реагирования на инциденты ИБ (особенно на незначительные) в полной мере реализован и качественно выполняется. Не всегда нарушитель получает по заслугам, производится анализ и извлечение уроков из произошедших инцидентов ИБ, своевременно принимаются превентивные меры и проводятся профилактические мероприятия.
Зачастую, как только последствия инцидента устранены и работоспособность информационных систем восстановлена, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются, что снижает эффективность реагирования на них и СМИИБ в целом.
Внедрение и системное использование СМИИБ позволяет уменьшить негативное воздействие инцидентов ИБ на бизнес, усилить акцент на их предупреждение, улучшить качество результатов оценки и управления рисками ИБ, что в итоге позволяет повысить общий уровень ИБ банка. Опыт использования СМИИБ показывает, что количество выявляемых инцидентов существенно уменьшается, а пользователи и их руководители начинают более ответственно относиться к вопросам обеспечения ИБ.
ЛИТЕРАТУРА
1 Например, ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.
2 СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
3 Инцидент ИБ – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ (ГОСТ 18044-2007).
4 В настоящее время ISO приняла ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management, который заменяет технический отчёт ISO/IEC TR 18044:2004.
5 События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ. Но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной, и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность. Т.е. не все события ИБ будут отнесены к категории инцидентов ИБ (ГОСТ 18044-2007).
6 Например, «Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиента», разработанные Некоммерческим партнёрством «Национальный платёжный совет» и Ассоциацией российских банков, или «Инструкция по реагированию на инциденты, связанные с системами ДБО», разработанная специалистами Group-IB.
7 В сентябре 2012 года Чертановский районный суд Москвы вынес приговор по первому в России уголовному делу о компьютерном фишинге, его фигурантами стали братья Попелыши Е. и Д. и Сарбин А., похитившие 13 млн рублей со счетов клиентов ВТБ24(ЗАО). Суд назначил наказание братьям Попелышам в виде 6 лет лишения свободы условно (!) с испытательным сроком 5 лет, а также штраф в размере 450 000 рублей, по ч.2 ст.272, ч.1 ст.273 и ч.4. ст.159 УК РФ. А. Сарбин признан виновным в пособничестве в совершении мошенничества и приговорен к 4 годам лишения свободы условно с испытательным сроком на 4 года, а также к штрафу на сумму 200 000 рублей.