Особенности реагирования на инциденты ИБ

В СООТВЕТСТВИИ С СТО 1.3-2016

Объект исследования: особенности реагирования на инциденты ИБ в соответствии с СТО БР ИББС-1.3-2016.

Результаты, полученные лично автором: выявлены рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных в рамках деятельности по выявлению инцидентов ИБ и реагированию на них.

С 1 января 2017 года вводится рекомендованный Банком России стандарт обеспечения информационной безопасности организаций банковской системы СТО БР ИББС-1.3-2016. Данный стандарт распространяется на организации банковской системы РФ, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.

В стандарте рассматриваются рекомендации по организации обработки технических данных при выявлении инцидентов ИБ и реагировании на них.

Рекомендуется для каждого инцидента ИБ обеспечить сбор технических данных и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ. Профиль инцидента ИБ описывает способ выявления инцидента, источник информации об инциденте и его содержание, сценарий реализации инцидента, дату, время его выявления и другие параметры.

Выделяются этапы сбора технических данных, связанных с инцидентами ИБ: предварительное планирование и создание условий для сбора технических данных, сбор технических данных и обеспечение безопасного хранения, транспортировки машинных носителей информации и защита от воздействий, которые могут повредить их информационное содержимое.

В большинстве случаев процесс поиска и анализа содержательной информации не может быть формализован, а результат его выполнения определяется опытом и компетенцией аналитика. Для повышения качества и оперативности поиска и анализа содержательной информации рекомендуется:

– использование специализированных технических средств и систем централизованного сбора, анализа и хранения журналов регистрации;

– использование известных маркеров «скрытого» несанкционированного управления объектами информационной инфраструктуры.

Практическую и методическую помощь при выполнении процедур реагирования на инциденты ИБ можно получить, обратившись в МВД России (территориальные подразделения) и в FinCert Банка России.

Рекомендуется выделение и назначение работникам службы ИБ отдельной функциональной роли (выделение отдельного функционального подразделения) в рамках реализации процессов обработки технических данных.

Возможен самостоятельный сбор технических данных с объектов информационной инфраструктуры клиентов юридических лиц клиентами организации БС РФ, в этом случае рекомендуется разработать детальный план действий клиентов по сбору и передаче технических данных и обеспечить возможность доступа клиентов к содержанию указанного плана.

Организации БС РФ рекомендуется обеспечить наличие должной компетенции работников и привлеченных специалистов для выполнения деятельности по сбору технических данных, поиску содержательной информации и анализу: работники должны получить необходимые знания своих функций, прав и обязанностей, связанных со сбором и обработкой технических данных в рамках реагирования на инциденты ИБ, получить необходимые для этого знания.

Организации БС РФ как минимум следует обеспечить наличие должной компетенции работников и привлеченных специалистов для выполнения деятельности по обеспечению наличия, хранения и сбора технических данных.

Рекомендуется учитывать, что разные технические средства и системы (источников технических данных) могут формировать разный состав сведений об одном и том же инциденте ИБ, поэтому рекомендуется обеспечивать формирование, сбор и сопоставление всех возможных технических данных об инциденте ИБ с максимально возможной избыточностью.

Рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем, реализовать систему централизованного сбора и хранения журналов регистрации.

Материал поступил в редколлегию 22.03.2017

УДК 004.414

Е.А. Проничева

Научный руководитель: доцент кафедры «Системы информационной безопасности», к.т.н., О.М.Голембиовская

katya.pronicheva@mail.ru