Управление инцидентами информационной безопасности — страница 5

  • Просмотров 1501
  • Скачиваний 8
  • Размер файла 23
    Кб

продать ее конкурентам. Кроме этого, на компьютере хранилась ценная информация, которая не была зарезервирована на другом носителе. Такой инцидент мог произойти в результате того, что в компании не были разработаны процедуры обращения с мобильными компьютерами и хранения на них информации. Вынос компьютера за пределы офиса компании, отсутствие средств шифрования и резервного копирования информации — возможные нарушения, а

следовательно, причины инцидентов. Однако пока документально не зафиксировано, что это нарушения (т.е. в соответствующих документах не описано, что это запрещено), сотрудника невозможно привлечь к ответственности и предотвратить повторное выполнение неправомерных действий. Важно, чтобы были налажены такие процедуры, как мониторинг событий, своевременное удаление неиспользуемых учетных записей, контроль и мониторинг

действий пользователей, контроль над действиями системных администраторов и пр. В одной из компаний был зафиксирован следующий инцидент: при увольнении с работы системный администратор украл разрабатываемый в компании программный продукт и передал его конкурентам, которые выпустили программу на рынок под своим товарным знаком. Кроме этого, он внес изменения в информационную систему, в результате которых после его ухода

функционирование определенных ее компонентов было нарушено. Привлечь администратора к ответственности в данном случае оказалось невозможно, так как, во-первых, не выполнялась регистрация его действий, во-вторых, администратор мог удалить все доказательства своих неправомерных действий и, в-третьих, не была налажена процедура сбора улик об инциденте. Кроме этого, в компании просто не знали, как следует поступать в таких

случаях (например, можно было обратиться в специализированную компанию по расследованию инцидентов или подать заявление в суд). Для описания процедуры управления инцидентами безопасности используется классическая модель непрерывного улучшения процессов, получившая название от цикла Шухарта-Деминга — модель PDCA (Планируй, Plan — Выполняй, Do — Проверяй, Check — Действуй, Act). Стандарт ISO 27001 описывает модель PDCA как основу

функционирования всех процессов системы управления информационной безопасностью. Естественно, что и процедура управления инцидентами подчиняется модели PDCA (см. рисунок). Обнаружение и регистрация инцидента. Инцидент информационной безопасности может заметить пользователь или администратор системы. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, чего не всегда можно сказать о