CC BY
1УДК 004
Булгакова С.А.
студентка
Российский экономический университет им. Г.В. Плеханова
(г. Москва, Россия)
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ
ОБРАБОТКИ ИНЦИДЕНТОВ В СИТУАЦИОННОМ ЦЕНТРЕ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: в настоящей статье был проведен сравнительный анализ существующих методов обработки инцидентов в области информационной безопасности с основным акцентом на их практическое применение в ситуационных центрах управления информационной безопасности, с учетом соответствия требованиям стандартов. Исследование осуществлено с учетом соответствия данным методам требований существующих стандартов в области информационной безопасности. В процессе анализа освещены актуальные проблемы, с которыми сталкиваются ситуационные центры управления информационной безопасностью при использовании того или иного метода обработки инцидента. В результате анализа сформулированы рекомендации для оптимизации процессов управления инцидентами в ситуационных центрах информационной безопасности с учетом современных стандартов и требований безопасности.
Ключевые слова: модель обработки инцидентов, инцидент, информационная безопасность, реагирование, анализ.
В контексте безопасности организаций большое значение имеет мониторинг информационной безопасности и защита информации. Мониторинг ИБ - это процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей [1].
Основная цель исследования заключалась в выявлении ключевых особенностей, эффективности и недостатков каждой из рассматриваемых
моделей обработки инцидентов. Помимо этого, проведена обстоятельная оценка соответствия данных методов нормативным стандартам, что предоставляет важную информацию для принятия обоснованных решений в контексте управления информационной безопасностью.
С точки зрения безопасности ситуационный центр управления информационной безопасностью (далее - ЦУИБ) решает задачи оперативного обнаружения и реагирования на инциденты, выявления и устранения уязвимостей в инфраструктуре для последующего предотвращения нарушения целостности, конфиденциальности или доступности (в том числе предотвращения недопустимых событий). ЦУИБ включает процессы, персонал, технологии.
Специалисты ЦУИБ непрерывно обеспечивают решение задач мониторингом систем для обнаружения возможных аномальных событий, которые потенциально могут привести либо уже привели к нарушению целостности, конфиденциальности или доступности, в том числе предотвращения недопустимых событий.
При обнаружении инцидента решается задача расследования, сбора информации о возможном возникновении инцидента, после чего оценивают вероятность реализации нелегитимных действий с учетом инфраструктуры организации.
При подтверждении инцидента происходит процедура реагирования на нарушение безопасности. Это включает в себя такие действия как остановку атаки, изоляцию конечного хоста, блокировку учетной записи, удаление вредоносного программного обеспечения, восстановление системы и предотвращение дальнейшего распространения угрозы.
Следствием реагирования на инцидент является документирование деятельности специалистов ЦУИБ и предоставление отчета об инцидентах, произошедших в инфраструктуре за определенный период. Эти действия не допускают повторения ситуации и повысить эффективность защитных мероприятий в организации.
Функции и задачи сотрудников ЦУИБ представлены на рисунке 1.
Рис. 1. Функции сотрудника центра управления ИБ.
В последние годы вышел ряд стандартов, посвященных проблематике обработки инцидентов - ГОСТ Р 59709-2022, ГОСТ Р 59710-2022, ГОСТ Р 59711-2022 и ГОСТ Р 59712-2022. В них представлены вопросы регулирования аспектов организации и технического обеспечения процесса обработки инцидентов информационной безопасности (далее - инцидент). В ГОСТах предоставлены требования, которые должны быть выполнены организациями.
Анализ требований стандартов в отношение моделей обработки инцидентов информационной безопасности.
В ГОСТ Р 59709-2022 содержатся определения терминов, которые связаны с обнаружением, предотвращение и устранение последствий компьютерных атак, а также реагирование на инциденты в системах защиты информации [2].
В ГОСТ Р 59710-2022 представлено управление инцидентами в рамках государственных информационных систем. В документе определены этапы регистрации, реагирования, документирования и описывает структурное подразделение, отвечающего за обработку инцидентов [3].
В ГОСТ Р 59711-2022 содержится описание содержания этапов организации деятельности по управлению инцидентами. В документе описаны следующие этапы: разработка политики управления инцидентами, разработка плана реагирования на инциденты, определение подразделения, ответственного за обработку инцидентов, и моментов взаимодействия с ним, реализацию материально-технического оснащения подразделения, организацию обучения сотрудников и проведение тренировок по отработке вышеназванного плана [4].
В ГОСТ Р 59712-2022 представлены этапы управления инцидентами, в частности обнаружение и реагирование на инциденты, реагирование на компьютерные атаки, а также анализ результатов деятельности по управлению инцидентами [5].
На первом этапе решаются задачи расследования, в течение которого регистрируются признаки инцидента, а также его подтверждение. То есть идет определение - произошло легитимное событие или нет. Во втором этапе содержатся локализация определенных активов и источников, выявление и ликвидация последствий инцидента, а также его закрытие. Необходимо зафиксировать все материалы, причины и условия возникновения инцидента. Третий этап связан с регистрацией процесса расследования, выявлением причин и условий, а также последствиями, которые создал инцидент. В завершение процесса производится анализ результатов деятельности центра управления ИБ - насколько эффективна была защита информации, насколько оперативны были сотрудники.
В стандартах подробно описаны стадии управления инцидентами, таких как организация деятельности по управлению инцидентами, обнаружение и регистрация инцидентов, реагирование на них и анализ результатов деятельности.
При обработке инцидентов должны быть выполнены следующие требования информационной безопасности (рис. 2):
Разработка политики управления инцидентами информационной безопасности.
В нее включают цели ведения деятельности по управлению инцидентами, определение зоны ответственности подразделения, отвечающего за управление инцидентами, а также общие сведения о том, что для организации является инцидентом.
Разработка плана реагирования на инциденты (далее - план реагирования), а также мероприятий, входящих в этот план.
В плане реагирования содержатся важные сведения, включающие технические характеристики и компоненты контролируемых активов и источников. В нем происходит определение типов и видов инцидентов, их оценка, перечень ответственных лиц, которые занимаются реагирование на инциденты, описание регистрации действий и реагирования. Необходимо внести порядок обнаружения и регистрации инцидентов, а также обработки инцидентов в целом.
Определение подразделения, ответственного за управление инцидентами информационной безопасности, и порядок взаимодействия с ним,
Подразделения могут быть обособленными (нет подчиненных подразделений), иерархическими (существуют подчиненные подразделения) и удаленными (удаленная деятельность). Рассматриваются виды задач, роли и распределение функций, требования к знаниям и навыкам сотрудников.
Должен быть определен порядок взаимодействия со смежными подразделениями, а также с внешними организациями.
Реализация материально-техническое оснащение.
Необходимо внедрить соответствующие программными и программно-технические средства, а также обеспечить следующую деятельность: сбор информации о событиях безопасности, сбор и обработка информации, необходимых для формирования рекомендаций по предотвращению компьютерных атак, организацию и контроль внутренних процессов, организацию взаимодействия с внешними организациями, обеспечить защиту собранных данных, результатов их обработки и реагирования на них, обеспечить резервное копирования.
Организация обучения и информирования сотрудников, проведение тренировок по отработке мероприятий плана.
Проводится в виде обсуждения, командных тренингов, практических занятий, смешанные.
Рис. 2. Требования стандартов по обработке инцидентов.
Таким образом, в соответствии с требованиями ГОСТов модель обработки инцидентов должна включать: разработка политик безопасности, разработка плана по реагированию на инциденты, непрерывный мониторинг, идентификация и классификация инцидентов, анализ инцидентов, локализация и реагирование на инциденты, изучение расследования инцидентов, документирование инцидентов, обучение сотрудников и проведение тренировок по плану реагирования на инциденты.
В области современной информационной безопасности используются различные стратегии и методы для управления инцидентами, представляющие собой комплексный подход к обеспечению целостности, конфиденциальности и доступности информационной структуры. В данной статье рассматриваются следующие модели обработки инцидентов: реактивная, проактивная, превентивная, детектирующая и корректирующая.
Рис. 3. Реактивная модель обработки инцидентов.
Рассмотрим реактивную модель, схема которой представлена на рисунке 3. Реактивная модель обработки инцидентов предполагает систематический подход к обработке и реагированию на инциденты информационной безопасности по мере их возникновения. Она состоит из следующих ключевых этапов: обнаружение, анализ и оценка, сдерживание, реагирование, изучение и обучение.
Реактивная модель нацелена на эффективное и оперативное реагировании на инциденты. Она предполагает сотрудничество между различными заинтересованными сторонами, такими как группы реагирования на инциденты, ИТ-персонал, руководство, юридические группы и внешние стороны, такие как правоохранительные или регулирующие органы [6].
Рассмотренная модель позволяет своевременно реагировать на возникающие инциденты, предотвращать их повторную реализацию, также модель просто внедрить. С другой стороны, реактивная модель имеет свои недостатки. Применяя ее, сотрудникам ЦУИБ потребуется много времени для реагирования и выстраивания защиты против определенного инцидента. В то же время присутствующие недопустимые действия злоумышленников могут совершаться в инфраструктуре, но специалисты ЦУИБ долго не смогут их обнаружить [6].
В случае дополнения реактивной модели по требованиям ГОСТ произойдет следующее: появится нормативное обеспечение реагирования на инциденты, а также обучение сотрудников и проведение тренировок по плану реагирования на инциденты. То есть, отсутствие улучшения систем, помимо результатов расследования инцидентов, останется, с другой стороны, будет присутствовать повышение навыков реагирования сотрудников ЦУИБ. Таким образом, модель обработки инцидентов не претерпит глобальных изменений, в целом не изменится.
Рис. 4. Проактивная модель обработки инцидентов.
Проактивная модель обработки инцидентов информационной безопасности, схема которой представлена на рисунке 4, совмещает организационный и технический подходы, из-за чего становится возможным не только реагирование на инциденты, но и их предотвращение [7]. В такой модели основное внимание уделяется предупреждению угроз и раннему обнаружению инцидентов, а также приспособлению их последствий для уменьшения риска и минимизации ущерба.
Проактивная модель включает следующие этапы: мониторинг событий, идентификация и классификация инцидентов, планирование реагирования на инциденты, сдерживание и смягчение последствий инцидентов, проведение
расследования и его последующий анализ, предоставляемый в отчетах и документации, а также обучение сотрудников и совершенствование систем.
При соблюдении рассмотренной модели, появляется возможность эффективно управлять инцидентами информационной безопасности, минимизировать их воздействие на инфраструктуру и постоянно улучшать уровень защиты информации, предварительно выявляя потенциальные уязвимости и угрозы. Проактивная модель в целом отвечает требованиям ГОСТ, но есть несколько отличий - отсутствует разработка политик безопасности, а также не проводятся тренировки по плану реагирования на инциденты. Дополнив данную модель, можно ее улучшить, а также усовершенствовать работу сотрудников ЦУИБ.
Рис. 5. Превентивная модель обработки инцидентов.
Превентивная модель обработки инцидентов информационной безопасности, схема которой представлена на рисунке 5, фокусируется на мерах и стратегиях предотвращения возникновения инцидентов, а также на минимизации последствий. Рассмотренная модель опирается на разработанные политики и процедуры безопасности.
Она включает план реагирования на инциденты, политики и процедуры безопасности, строгий контроль доступа, непрерывный мониторинг, оценка
рисков, анализ инцидентов, реагирование на инциденты, изучение расследования инцидентов, обучение сотрудников, регулярный аудит безопасности и тренировки по плану реагирования на инциденты [8].
Превентивная модель позволяет предотвратить возникновение потенциальных уязвимостей и атак, реагировать на потенциальные угрозы, минимизируя риски. Но в то же время у нее есть существенные недостатки, такие как высокая стоимость, ограничения в использовании информационных систем, повышение сложности использования информационных ресурсов и отсутствие документирования процессов и изучения произошедших нелегитимных действий.
Как можно заметить, превентивная модель в целом отвечает рекомендациям ГОСТа, а также включает комплексный подход обработки инцидентов информационной безопасности. Дополнить рассмотренную модель можно изучением произошедших инцидентов и их последующим документированием.
Рис. 6. Детективная/корректирующая модели обработки инцидентов.
Детективная и корректирующая модели обработки инцидентов информационной безопасности по своей структуре, представленной на 6 рисунке, схожи. Они состоят из идентификации инцидента, оценки риска,
непрерывного мониторинга, анализа инцидента, сдерживания, реагирования, расследования и отчетности, а также обучения сотрудников.
Детективная модель обработки инцидентов информационной безопасности направлена на раннее обнаружение, расследование и реагирование на нарушения безопасности [9]. Это позволяет ей не допускать проникновения нарушителей на ранних этапах, детально рассмотреть их атаку, а также предоставить подробный отчет расследования. Но нельзя забывать про отрицательные стороны: модель зависит от обнаружения, что может привести к задержке в реакции, из-за чего произойдет сильное воздействие на инфраструктуру, а также такая модель не сосредоточена на предотвращении инцидентов, что ограничивает совершенствование системы и защиту информации.
В случае дополнения требованиями ГОСТа детективной модели повысится система реагирования, но остальные недостатки будут также присутствовать, препятствуя нормальной работе систем в случае нарушения безопасности.
Корректирующая модель обработки инцидентов информационной безопасности направлена на принятие мер для устранения последствий инцидентов, восстановления нормальной работы системы после возможного нарушения безопасности и в ней содержится набор последовательных шагов для эффективного реагирования на инциденты [10].
В рассмотренной модели довольно много отрицательных сторон. Корректирующая модель направлена на расследование инцидентов, что приводит к большому количеству нарушения безопасности в следствии отсутствия обнаружения и предотвращения. В результате это может привести к потери данных и ресурсов организации, потому как не всегда возможно полное восстановление утраченных данных и ресурсов. Так как рассмотренная модель сконцентрирована на расследовании инцидентов и устранении последствий, без должного анализа причин инцидента существует риск повторения подобных ситуаций в будущем. Дополнение корректирующей модели обработки
инцидентов по рекомендациям ГОСТ может привести к более подробному расследованию и созданию политик безопасности, что в целом поднимет уровень безопасности, но отрицательные стороны все же останутся.
Таким образом, можно отметить, что требования, представленные в ГОСТах, являются важным ориентиром для обеспечения эффективности и надежности систем обработки инцидентов информационной безопасности. Рассмотренные модели обработки инцидентов позволяют определить их соответствие стандартам и выявить потенциальные области улучшения.
Проведенный анализ показал, что соблюдение требований, установленных в ГОСТах, играет важную роль в обеспечении эффективности и надежности систем обработки инцидентов информационной безопасности. Рассмотренные модели обработки инцидентов были оценены, выявлены их положительные и отрицательные стороны, а также обосновано целесообразность дополнение мерами из ГОСТов, что дает их потенциальное улучшение. Эти данные представлены в таблице 1.
Таблица 1. Сравнительный анализ моделей обработки инцидентов
Модель Положительные Отрицательные Дополнение мерами из
стороны стороны ГОСТов
Реактивная Уделяет внимание Отсутствие Появление нормативного
реакции на уже проактивных обеспечения реагирования на
произошедшие мер, инциденты, обучение
инциденты, что недостаточное сотрудников и проведение
позволяет быстро обнаружение и тренировок по плану
реагировать и предотвращение реагирования на инциденты.
восстанавливать инцидентов.
систему.
Проактивная Предупреждение Отсутствие мер Появление нормативного
угроз и раннее по обеспечению обеспечения реагирования на
обнаружение безопасности во инциденты и проведение
инцидентов. внутреннем тренировок по плану
периметре. реагирования на инциденты.
Модель Положительные Отрицательные Дополнение мерами из
стороны стороны ГОСТов
Превентивная Акцент на Требует Появление изучение
предотвращении предвидеть все произошедших инцидентов и их
инцидентов до их потенциальные последующее документирование
возникновения, что угрозы и
может значительно дополнительных
уменьшить риски ресурсов.
внутри
инфраструктуры.
Детективная Основное внимание Отсутствие мер Появление нормативного
уделяется по обеспечению обеспечения реагирования на
выявлению безопасности во инциденты и проведение
инцидентов на внутреннем тренировок по плану
ранних стадиях, что периметре, реагирования на инциденты.
позволяет особенно если
оперативно они
реагировать маскируются.
Корректирующая Уделяет особое Времязатратная Появление нормативного
внимание и ресурсоемкая, обеспечения реагирования на
расследованию может быть инциденты и проведение
инцидентов, а неэффективной в тренировок по плану
также разработке и условиях реагирования на инциденты.
внедрению мер по активной
устранению киберугрозы
корневых причин
Таким образом, можно заключить, что хотя каждую модель можно расширить мерами, взятыми из стандартов, лишь некоторые из них претерпят значительные изменения, обеспечивая более всестороннюю безопасность информационных ресурсов организации.
СПИСОК ЛИТЕРАТУРЫ:
1. ГОСТ Р 59547-2021. Защита информации. Мониторинг информационной безопасности. Общие положения. М: Российский институт стандартизации, 2021. 18 с.;
2. ГОСТ Р 59709-2022. Защита информации. Управление компьютерными инцидентами. Термины и определения. М: Российский институт стандартизации, 2022. 15 с.;
3. ГОСТ Р 59710-2022. Защита информации. Управление компьютерными инцидентами. Общие положения. М: Российский институт стандартизации, 2022. 10 с. ;
4. ГОСТ Р 59711-2022. Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами. М: Российский институт стандартизации, 2022. 23 с.;
5. ГОСТ Р 59712-2022. Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты. М: Российский институт стандартизации, 2022. 15 с.;
6. Ланских Ю.В., Коновалова Я.В. Архитектурное решение задачи повышения эффективности управления информационной инфраструктурой предприятия. Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника, 2017. Режим доступа: https://cyberleninka.ru/article/n/arhitektumoe-reshenie-zadachi-povysheniya-efFektivnosti-upravleniya-informatsionnoy-infrastrukturoy-predpriyatiya;
7. Дубровин М.Г. Концепция проактивного мониторинга и управления объектами ИТ-инфраструктуры. ИТНОУ: информационные технологии в науке, образовании и управлении, 2020. Режим доступа: https:/^yberieшnka.m/artide/n/kontseptsiya-proaktivnogo-moшtoringa-i-upravl eniya-ob ektami -Ц-тй^ткШгу;
8. Гунаван Б., Ратмоно Б.М., Абдулла А.Г. Стратегическое управление кибербезопасностью. Форсайт, 2023. Режим доступа: https://cyberleninka.ru/article/n/strategicheskoe-upravlenie-kiberbezopasnostyu;
9. Марков А.С., Цирлов В.Л. Безопасность доступа: подготовка к cissp. Вопросы кибербезопасности, 2015 г. Режим доступа: https://cyberleninka.ru/article/n/bezopasnost-dostupa-podgotovka-k-cissp;
10. Маркосян М.В., Агаджанян Р.Б., Байджанова Д.О. Метод проектирования информационной системы идентификации несоответствий в процедурах управления корректирующими и превентивными действиями. Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика,
2018. Режим доступа: https:^yberlenmka.m/artide/n/metod-proektirovaniya-informatsionnoy-sistemy-identifikatsii-nesootvetstviy-v-protsedurah-upravleniya-korrektiruyuschimi-i
Bulgakova S.A.
Plekhanov Russian University of Economics (Moscow, Russia)
COMPARATIVE ANALYSIS OF EXISTING INCIDENT
HANDLING METHODS AT THE SITUATIONAL INFORMATION SECURITY MANAGEMENT CENTER
Abstract: in this article, a comparative analysis of existing incident handling methods in the field of information security was carried out, with a focus on their practical application in situational information security management centers, taking into account compliance with the requirements of standards. The study was carried out taking into account the compliance of these methods with the requirements of existing standards in the field of information security. In the course of the analysis, the actual problems faced by situational information security management centers when using a particular incident handling method are highlighted. As a result of the analysis, recommendations have been formulated for optimizing incident management processes in information security situational centers, taking into account modern security standards and requirements.
Keywords: incident handling model, incident, information security, response, analysis.
