УДК 004.056
СЦЕНАРИИ ОПОВЕЩЕНИЯ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Ю. Ю. Дрянных, В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматриваются сценарии оповещения об инцидентах информационной безопасности и предлагаются инструменты для их реализации с учетом рекомендаций существующих практик по обеспечению информационной безопасности.
Ключевые слова: информационная безопасность, инцидент, мониторинг информационной безопасности.
NOTIFICATION METHODS ABOUT INFORMATION SECURITY INCIDENTS
Yu. Yu. Dryannykh, V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: [email protected]
This article describes scenarios of notifying about incidents of information security and tools for them implementation considering recommendations of current practices on ensuring information security.
Keywords: information security, incident, information security monitoring.
Необходимость обязательного оповещения об инцидентах в кредитно-финансовой сфере регламентируется требованиями Банка России. В рамках организации информационного взаимодействия также возможно добровольное участие юридических лиц, осуществляющих финансовую деятельность и зарегистрированных в установленном порядке в Центральном Банке РФ или являющихся производителем средств защиты информации и/или выполняющих иные работы в области защиты информации, преимущественно в кредитно-финансовой сфере. Так регламент передачи данных участников информационного обмена [1] определяет формат и сроки предоставления информации участником информационного взаимодействия в Центр мониторинга и реагирования на компьютерные атаки FinCERT (Financial Computer Emergency Response Team) в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России.
Обеспечение уведомления для субъектов топливно-энергетического комплекса регламентируется Постановлением Правительства № 861, которое содержит правила информирования в отношении угроз, описанных в документе, и устанавливает сроки уведомления о случившемся и форму отчетности. Информацию об инциденте субъекты могут предоставлять в Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации (GOV-CERT.RU [3]).
На текущий момент планируются изменения, вносимые в законодательство Российской Федерации о защите информации, например, проект Федерального закона «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации»», которые будут устанавливать требования о защите информации в информационных системах, в которых обрабатывается информация, обладателями которой являются госу-
Секция «Методы и средства зашиты информации»
дарственные органы и обяжут операторов данных информационных систем создавать системы зашиты информации и информировать ФСТЭК (Федеральная служба по техническому и экспортному контролю) России и ФСБ (Федеральная служба безопасности) России о компьютерных инцидентах. Отдельно стоит отметить, что Указом Президента Российской Федерации от 15 января 2013 г. № 31с на Федеральную службу безопасности Российской Федерации возложены полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, концепция которой утверждена Президентом РФ 12 декабря 2014 г. № К 1274.
Таким образом, определение и оптимизация способа (сценария) передачи данных в рамках организации информационного взаимодействия по оповещению об инцидентах или компьютерных атаках между операторами информационных систем (также возможно взаимодействие с физическими лицами) и уполномоченными органами является актуальной научно-практической задачей. Существует несколько сценариев организации информационного взаимодействия по оповещению об инцидентах информационной безопасности.
Преимущественно используемым средством коммуникации является электронная почта. Для безопасного оповещения с использованием каналов электронной почты целесообразно рассмотреть следующие решения. Для обеспечения целостности передаваемой информации возможно использование цифровой подписи, так FinCERT предлагает для осуществления информационного обмена использовать открытый ключ электронной подписи, который можно скачать на сайте [2]. GOV-CERT.RU [3] имеет схожее решение, но в своих целях использует программное обеспечение PGP (Pretty Good Privacy). Этот решение подходит не только для обеспечения целостности, но и для обеспечения конфиденциальности, так как позволяет передавать данные в зашифрованном виде. Так, например, ENISA (European Network and Information Security Agency) в своих рекомендациях по созданию CSIRT (Computer Security Incident Response Team) [4] рекомендует использовать этот инструмент или его свободно-распространяемый аналог «GNUPG».
Следующим возможным сценарием организации информационного взаимодействия являться использование web-форм. Многие центры по обработке инцидентов создают web-ресурс, который предполагает заполнение web-формы информацией о случившемся инциденте. Необходимым условием здесь является передача данных по защищенному каналу, например, в рамках https-соединения.
Третьим сценарием организации информационного взаимодействия являются системы, предназначенные для автоматизации управления инцидентами информационной безопасности. Такие системы могут помочь не только в оповещении, но и в процессе реагирования на инциденты. Программное обеспечение данного класса использует защищенный канал передачи данных. Среди наиболее используемых ENISA выделяет «RTIR» и «AIRT»». В рамках реализации третьего сценария также можно использовать решения класса Help Desk, Service Desk, которые могут быть построены на базе как коммерческого, так и свободно-распространяемого программного обеспечения.
Очевидно, что выбор того или иного сценария организации информационного взаимодействия по оповещению об инцидентах или компьютерных атаках между операторами информационных систем и уполномоченными органами может и должен осуществляться с использованием всех трех сценариев, так как уровень зрелости систем зашиты информации операторов информационных систем может быть различным.
С другой стороны, в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 при осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат работы и услуги по организации мониторинга информационной безопасности средств и систем информатизации. В соответствии с утвержденным ФСТЭК России от 16 декабря 2016 г. «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79» для осуществления мониторинга информационной безопасности средств и систем информатизации лицензиату в числе
прочего необходимо развернуть систему управления инцидентами информационной безопасности для централизованной регистрации инцидентов информационной безопасности средств и систем информатизации, регистрации обращений операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, т. е. реализовать третий сценарий организации информационного взаимодействия по оповещению об инцидентах или компьютерных атаках.
Таким образом, организации информационного взаимодействия по оповещению об инцидентах или компьютерных атаках, а также выполнение работ и оказание услуг по мониторингу информационной безопасности средств и систем информатизации невозможно реализовать в полной мере без реализации безопасных сценариев передачи данных, которые, безусловно, должны быть максимально автоматизированы. Что неизбежно порождает дополнительные проблемы такие, как унификация и стандартизация процедур классификации инцидентов, разработки форматов описания и протоколов обмена данных, решение которых повысит эффективность и оперативность оповещения об инцидентах информационной безопасности.
Библиографические ссылки
1. Временный регламент передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (версия 1.0) [Электронный ресурс]. URL: http://www.cbr.ru/credit/Gubzi_docs/inforegl_10.pdf (дата обращения: 10.03.2017).
2. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России [Электронный ресурс] URL: http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=fincert (дата обращения 10.03.2017).
3. Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации : междунар. название GOV-CERT.RU [Электронный ресурс]. URL: http://www.gov-cert.ru (дата обращения: 10.03.2017).
4. Good Practice Guide for Incident Management [Электронный ресурс]. URL: https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management (дата обращения: 07.03.2017).
© Дрянных Ю. Ю., Жуков В. Г., 2017