Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеКаждая компания независимо от масштабов и сферы деятельности располагает данными, которые представляют интерес для злоумышленников. Несмотря на предпринимаемые меры защиты информации, полностью исключить угрозы невозможно. Усилия компании также должны быть направлены на формирование оптимальных сценариев реагирования на атаки и внутренние нарушения, оперативное расследование инцидентов. Разберемся в нюансах этих процессов и рассмотрим программные решения, которые помогут службе безопасности быстрее установить причастных лиц.
Что такое инцидент информационной безопасности
Инциденты условно разделяют на четыре категории опасности по степени приносимого ущерба:
- Первая — события, сопряженные с максимальными рисками, то есть серьезным финансовым и репутационным ущербом для компаний.
- Вторая — инциденты, которые с высокой степенью вероятности негативно повлияют на деятельность компании.
- Третья — инциденты, способные принести незначительный ущерб и сказаться на репутации организации.
- Четвертая — происшествия, которые не принесут серьезных негативных последствий.
В связи с этой классификацией существует приоритетность реагирования на инциденты. Например, в случае вовремя выявленных массовых утечек данных и мощных кибератак у специалистов службы безопасности есть не более 1 часа на принятие мер — это максимальная приоритетность. Высокая дает 4 часа на реагирование и расследование инцидентов, средняя — до 8 часов. Также существует низкая приоритетность, в рамках которой временные промежутки не регламентированы.
Политика информационной безопасности
Меры защиты от угроз и нюансы расследования инцидентов регламентируются внутренними политиками безопасности. Они представляют собой набор правил, норм и практических рекомендаций. На этих регламентах выстраиваются процессы взаимодействия с информационными системами и данными, методы сохранения конфиденциальности и целостности корпоративных сведений.
Компании формируют политики безопасности на базе актуальных законодательных и отраслевых норм с опорой на специфику деятельности, особенности информационных систем, численность штата. Правила обязательно должны быть утверждены, задокументированы и представлены персоналу с указанием мер ответственности за нарушения.
События информационной безопасности
Под событиями информационной безопасности подразумевают идентифицированные состояния информационной системы, которые могут указывать на возможные нарушения внутренних политик безопасности, различные угрозы. Однако это не всегда так — иногда проблемы связаны с техническими временными сбоями или другими происшествиями, не несущими прямой угрозы конфиденциальным данным. Чтобы разобраться с характером событий, в любом случае требуется провести расследование инцидентов информационной безопасности.
Реагирование на инциденты информационной безопасности
Под реагированием понимают комплексные мероприятия по обнаружению событий, угрожающих безопасности информационных систем, их купирование. Цель — не допустить глобальных последствий для организации и как можно скорее вернуться к прежнему режиму работы.
Существует шесть типовых этапов реагирования на инциденты:
- Подготовка. Это этап, не связанный с конкретным инцидентом. Он включает исследование актуальных угроз, оценку степени их опасности, проработку превентивных мер защиты и сценариев действий в случае атак. Также на данном этапе решается, как будет проводиться расследование тех или иных инцидентов информационной безопасности.
- Идентификация события, то есть его обнаружение. Иногда удается выявить инцидент по факту возникновения, но во многих случаях сильно позже.
- Сдерживание — прекращение угрозы, работа над сбором доказательной базы и сохранием конфиденциальности информации.
- Ликвидация последствий инцидента. Например, восстановление документов из бэкапа (резервных копий), переустановка компонентов системы, повторное подключение устройств, проверка на корректность работы и т.д. Точный комплекс мер определяется по результатам расследования инцидентов.
- Возвращение к деятельности, то есть попытки выстроить полноценную работу компании на том же уровне, который был до негативного события.
- Усиление защиты информационных систем: внедрение новых программных и технических инструментов, пересмотр сценариев реагирования, обучение сотрудников и др.
Для профилактики, предотвращения и проведения расследований инцидентов внутренней безопасности целесообразно использовать системы DLP (Data Loss Prevention) — программные продукты, которые созданы для мониторинга информационного периметра, контроля каналов передачи информации, проверки соблюдения политик безопасности. При обнаружении внутренних нарушений в зависимости от настройки они могут реагировать в режиме противодействия, например, блокировать передачу, копирование или печать документов – или в режиме мониторинга с отправкой уведомлений в службу безопасности.
Расследование инцидентов офицером безопасности
Процесс расследования инцидентов условно делится на три этапа:
- Реагирование на инцидент — комплекс мер по обнаружению угрозы и ее ликвидации.
- Анализ событий. В первую очередь офицер службы безопасности пытается определить источник угрозы, будь то конкретный сотрудник или уязвимость в информационных системах.
- Сбор фактов и доказательной базы. Это ключевой этап расследования инцидентов информационной безопасности. Важно доказать вину нарушителей и принять комплекс мер, чтобы предотвратить повторные угрозы.
В анализе событий и сборе доказательной базы по внутренним нарушениям тоже помогут DLP. Например, Solar Dozor формирует детальное досье на каждого сотрудника и хранит всю информацию об активности за рабочей станцией и коммуникациях персоны. Система генерирует подробные отчеты и визуальные срезы в удобных для расследования форматах. Для выявления соучастников инцидента можно анализировать беседы нарушителя в почте и мессенджерах, а также воспользоваться маршрутом движения документов – этот отчет наглядно демонстрирует кому и когда передавались данные, по каким каналам, были ли отправлены на печать или записаны на USB-накопитель. DLP-системы воссоздают контекст инцидента для сбора доказательной базы и упрощения расследования инцидентов.
Меры и способы предотвращения инцидентов информационной безопасности
Система защиты складывается из организационных мер, программных и технических средств обеспечения безопасности. К первым относятся: формирование регламентов компании и порядка работы с данными, контроль соблюдения политик, инструктажи и тренинги для персонала. Обучением нельзя пренебрегать, поскольку знание основ кибербезопасности позволяет в разы снизить риски инцидентов. Что включает информирование сотрудников:
- Знакомство с основами кибергигиены и формирование культуры информационной безопасности.
- Оглашение регламентов компании и мер ответственности за их нарушение.
- Перечисление методов защиты от угроз и способов расследования инцидентов информационной безопасности.
- Формирование основ трудовой дисциплины.
Из программных и технических средств должны присутствовать: межсетевые экраны для фильтрации трафика, прокси, категоризаторы веб-ресурсов, системы предотвращения вторжений, решения для управления доступом к данным и т.д. И, конечно, DLP-система для предотвращения утечек информации, анализа действий пользователей.
