Стандарты информационной безопасности

       

Описание услуг группы реагирования


Услуги, оказываемые группой реагирования, можно разделить на две категории:

  • действия в реальном времени, непосредственно связанные с главной задачей - реагированием на нарушения;

  • профилактические действия, играющие вспомогательную роль и осуществляемые не в реальном масштабе времени.

Вторая категория и часть первой состоит из услуг, которые являются дополнительными в том смысле, что их предлагают не все группы реагирования.

Реагирование на нарушения обычно включает оценку входящих докладов ("классификация нарушений") и работу над поступившей информацией вместе с другими группами, поставщиками услуг Internet и иными организациями ("координация реагирования"). Третья группа услуг - помощь локальным пользователям в восстановлении нормальной работы после нарушения ("разрешение проблем") - обычно состоит из дополнительных сервисов, предоставляемых лишь частью групп.

Классификация нарушений обычно включает в себя следующие действия:

  • оценка докладов: входящая информация интерпретируется, классифицируется по степени важности, соотносится с продолжающимися событиями и выявляемыми тенденциями;

  • верификация; определяется, действительно ли имеет место нарушение и каковы его масштабы.

Под координаций реагирования обычно понимается:

  • категорирование информации: информация, относящаяся к нарушению (регистрационные журналы, контактная информация и т.д.) категорируется согласно политике раскрытия сведений;

  • координация: в соответствии с политикой раскрытия сведений о нарушении извещаются другие стороны.

Перечислим действия, предоставляемые в рамках услуг по разрешению проблем:

  • техническая поддержка (например, анализ "взломанных" систем);

  • искоренение проблем: устранение причин нарушения (использованных уязвимостей) и его проявлений (например, прерывание сеанса пользователя-нарушителя);

  • восстановление: помощь в возвращении систем и услуг к состоянию, имевшему место до нарушения безопасности.

В профилактические действия входят:

  • предоставление информации. Под этим понимается поддержка архива известных уязвимостей, заплат, способов разрешения прошлых проблем или организация списков рассылки с рекомендательными целями; предоставление средств безопасности (например, средств аудита);


  • обучение и подготовка кадров;

  • оценка продуктов;

  • оценка защищенности организации, консультационные услуги.

Еще один важный момент - использование форм для докладов о нарушениях. Оно упрощает работу как пользователей, так и групп реагирования. Пользователи могут заготовить ответы на некоторые важные вопросы заранее, в спокойной обстановке. Группа сразу, в первом сообщении, получает всю необходимую информацию, что закладывает основу эффективного реагирования.

В зависимости от целей и набора услуг конкретной группы, может использоваться несколько форм. Например, форма для сообщения о новой уязвимости может существенно отличаться от доклада о нарушении. Лучше всего предоставлять формы в рамках оперативных информационных услуг группы. Точные ссылки на них должны присутствовать в документах, описывающих группу, вместе с перечнем правил пользования и руководством по порядку работы с формами. Если для "докладов по форме" поддерживаются отдельные адреса электронной почты, они также должны быть указаны.

Один из примеров - форма для доклада о нарушениях координационного центра CERT, представленная на Web-сервере http://www.cert.org/.

Документы, описывающие группу реагирования, не являются контрактом, но возможность последующих судебных санкций может вытекать из описания услуг и целей. По этой причине рекомендуется размещать в конце бланков соответствующий отвод (письменный отказ), предупреждающий пользователей о возможных ограничениях.

Группа XYZ-CERT предоставляет соответствующие задачам услуги.

Реагирование на нарушения. XYZ-CERT помогает системным администраторам в технических и организационных аспектах реагирования на нарушения. В частности, оказывается помощь или даются советы о следующих аспектах реагирования:

  1. Классификация нарушений:
    • выяснение того, действительно ли имеет место нарушение;
    • определение масштаба нарушения.

  2. Координация реагирования:
    • выяснение первоначальной причины нарушения (использованной уязвимости);
    • облегчение контактов с другими системами, возможно, затронутыми нарушением;
    • облегчение контактов со службой безопасности университета XYZ и/или правоохранительными органами, если это необходимо;
    • предоставление отчетов другим группам реагирования;
    • составление уведомлений для пользователей, если это необходимо.

  3. Разрешение проблем:
    • устранение уязвимостей;
    • ликвидация последствий нарушения;
    • оценка возможных дополнительных действий с учетом их стоимости и риска (например, исчерпывающее расследование или дисциплинарные действия: сбор улик после нарушения, накопление информации во время инцидента, установка ловушек для злоумышленников и т.п.);
    • возможный сбор улик для судебного преследования или дисциплинарных акций.

Кроме того, группа XYZ-CERT накапливает статистическую информацию о нарушениях, затрагивающих университетское сообщество, и, при необходимости, информирует сообщество, помогая ему защититься от известных атак.

Чтобы воспользоваться услугами группы XYZ-CERT по реагированию на нарушения, следует направить электронное письмо по контактному адресу.

Профилактические действия. Группа XYZ-CERT координирует и предоставляет следующие услуги в объеме, возможно, зависящем от наличия ресурсов:

  1. Информационное обслуживание:
    • список контактных координат уполномоченных лиц по безопасности в отделах (административных и технических). Эти списки общедоступны по таким каналам, как Web;
    • списки рассылки для информирования уполномоченных лиц о появлении новой информации, относящейся к их компьютерной среде, которые доступны только для системных администраторов университета XYZ;
    • хранилище защитных заплат, распространяемых поставщиками или источниками, для различных операционных систем. Хранилище общедоступно, если это позволяют лицензионные соглашения. Доступ к нему предоставляется по обычным каналам - Web и/или ftp;
    • хранилище защитного инструментария и документации для использования системными администраторами. По возможности предоставляются предварительно скомпилированные версии, готовые к установке. Как обычно, доступ предоставляется через Web или ftp;
    • подготовка краткого изложения инцидента для различных информационных ресурсов, включая основные списки рассылки и телеконференции. Результирующие аннотации распространяются через списки рассылки с ограниченным доступом или через Web, в зависимости от критичности и срочности информации.

  2. Повышение квалификации:
    • члены группы XYZ-CERT периодически проводят семинары по различным аспектам информационной безопасности; системные администраторы университета XYZ приглашаются на эти занятия.

  3. Аудит безопасности:
    • проверка целостности основных файлов;
    • присвоение уровней безопасности. Машины и подсети в университете XYZ проверяются на предмет присвоения им уровня безопасности. Информация об уровнях доступна университетскому сообществу, чтобы упростить установку соответствующих прав доступа;
    • централизованное протоколирование для машин, поддерживающих удаленное протоколирование в Unix-стиле. Регистрационные журналы автоматически просматриваются анализирующей программой, а события или тенденции, указывающие на потенциальные проблемы безопасности, доводятся до сведения соответствующих системных администраторов; - сохранение записей о нарушениях безопасности. Хотя эти записи остаются конфиденциальными, периодически готовятся и распространяются статистические отчеты.

Детальное описание перечисленных выше услуг вместе с инструкциями по присоединению к спискам рассылки, скачиванию информации или получению таких услуг, как централизованное протоколирование или проверка целостности файлов, доступны через Web-сервер группы XYZ-CERT.

На этом мы завершаем рассмотрение спецификации Internet-сообщества "Как реагировать на нарушения информационной безопасности".

<

Содержание раздела