Проведение расследований инцидентов ИБ: организационные и правовые аспекты

Георгий Гарбузов, CISSP, CISA, MCSE:Security, дирекция информационной безопасности Страховой группы «УралСиб» 03 февраля 2018 ã., суббота

Управление инцидентами информационной безопасности является важной частью системы ИБ в любой современной организации. Есть в процессе управления инцидентами процедура, которую трудно формализовать и предложить выверенный сценарий ее выполнения. Она зависит от множества факторов, решающим из которых является человеческий, а ход ее проведения и результаты подчас непредсказуемы. Речь идет о процедуре расследования инцидентов, и в этом экспресс-обзоре мы коснемся ее организационной стороны.

Цели расследования инцидентов

Расследование инцидентов преследует несколько основных целей:

• локализация и ликвидация последствий инцидентов ИБ;
• установление виновных лиц и их мотивации, обеспечение возможности привлечения их к ответственности;
• анализ инцидентов и принятие  мер по предотвращению подобных в будущем.

Могут быть сформулированы и другие, частные цели, преследуемые конкретным расследованием конкретного инцидента.

Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

• сбор свидетельств и их анализ;
• выявление виновных и установление меры их ответственности;
• установление причин, давших  возможность инциденту произойти;
• вынесение рекомендаций по принятию мер по предотвращению инцидентов;
• хранение и защита материалов расследования.

Остановимся подробнее на некоторых важных этапах.

Работа со свидетельствами

Сбор свидетельств инцидента ИБ — важнейшая часть процесса независимо от того, в каких целях проводится расследование. От качества собранных свидетельств в немалой степени зависит его успех, поэтому свидетельства должны отвечать ряду обязательных требований:

• полнота  (свидетельств достаточно для объективного суждения об инциденте);
• относимость (свидетельство имеет отношение к инциденту);
• достоверность (свидетельства получены из доверенных источников и неизменны);
• допустимость (свидетельства должны  быть получены легальным способом).

На начальном этапе проведения расследования сложно сказать, будут ли иметь свидетельства судебные перспективы (ведь о природе инцидента, виновнике и наличии умысла еще неизвестно), поэтому к обеспечению допустимости, достоверности и полноты следует относиться со всей серьезностью, руководствуясь принципом «дьявол прячется в мелочах». Следует также понимать, что никакие доказательства не имеют заранее установленной силы, а доказательства, собранные с нарушением требований законодательства (в частности, главы 6 ГПК РФ), могут быть признаны недопустимыми. Кроме того, необходимо иметь в виду, что в случае производства по уголовному делу сбор доказательств может осуществляться только следователем или оперуполномоченным, поэтому нужно быть готовым к быстрому установлению контактов с правоохранительными органами в случае необходимости.

Работа со свидетельствами включает следующие шаги

1. Фиксирование состояния объекта на момент развития инцидента  (например,  выполнение побайтового копирования жесткого диска или выполнение дампа оперативной памяти). Это обеспечит сохранность свидетельств и их защиту от модификации. Здесь важно «успеть» узнать об инциденте до того, как работники ИТ-подразделения начнут восстанавливать  работоспособность атакованной системы и полностью   уничтожат   возможные свидетельства.
2. Обеспечение соблюдения принципа хронологической последовательности и связности свидетельств (chain of custody), на основе которых можно установить, как именно свидетельства собирались, хранились и перевозились. Все свидетельства должны быть соответствующим образом промаркированы с возможностью идентификации лица, приобщившего их к делу.

Эти действия обеспечат сохранность свидетельств и помогут обеспечить доверие к ним со стороны лиц, принимающих решения по результатам расследования.

Здесь нужно сделать несколько оговорок. Во-первых, гарантировать такое доверие, разумеется, невозможно, но нужно постараться максимально этому способствовать. Во-вторых, следует иметь в виду, что в случае производства по уголовному делу с высокой долей вероятности исследование будет проводиться в лабораторных условиях с изъятием компьютерных средств. А значит, чтобы бизнес-процессы не прервались, необходимо предусмотреть возможность быстрого переноса роли изымаемого компонента системы на другое оборудование.

Какие свидетельства предпочтительны?

Лучшим свидетельством является свидетельство «первой инстанции», созданное (возникшее) без участия исследователя. Например, журнал аудита системы контроля доступа, системные журналы операционных систем, журналы системы обнаружения вторжений, являющиеся в данном случае электронным документом2. Задача исследователя в данном случае сводится к фиксированию состояния системы (например, выполнению уже упомянутого побайтового копирования жесткого диска) с последующим извлечением и сохранением свидетельств.

Первоочередное внимание нужно уделять тем свидетельствам, которые имеют прямое отношение к инциденту, то есть обладают способностью прямо характеризовать событие (в отличие от косвенных свидетельств, лишь указывающих на существование прямых свидетельств).

Отдельным видом свидетельств являются письменные объяснения лиц, имеющих отношение к инциденту, а также мнения привлеченных специалистов и экспертов.  Все они должны быть соответствующим образом оформлены и приобщены к материалам расследования.

Выявление виновных и анализ инцидента

Итак, все свидетельства собраны, проведен их анализ. На основании результатов анализа нужно, во-первых, установить глубинные причины инцидента для принятия превентивных мер, а во-вторых, попытаться

установить лиц, виновных в возникновении инцидента.

Превентивными мерами могут быть как организационные мероприятия (например, обучение работников или разработка соответствующих регламентов), так и технические меры (установка средств защиты, модернизация или замена компонентов информационных систем и т.д.). Конкретные меры каждая организация разрабатывает и реализует самостоятельно.

Выявление нарушителя — задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации  виновника (виновников) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца — в целях компенсации нанесенного материального ущерба).

Заключение

К сожалению, в одной короткой статье невозможно рассмотреть все аспекты такого сложного процесса. Слишком много неизвестных в этом уравнении — и квалификация того, кто проводит расследование, и тип события, и способ реализации, и цели расследования, и масса других факторов. Единственно верного решения не существует, и у каждой организации, занимающейся управлением инцидентами ИБ, имеется свой, уникальный опыт, а в статье лишь предпринята попытка осветить некоторые важные составляющие процесса, что, возможно, окажется полезным для этих организаций.

Комментарий эксперта

Михаил Романов
директор по развитию бизнеса компании StoneSoft в России, СНГ и странах Балтии

Вопрос лояльности сотрудников, работающих в компании, всегда интересует руководство. Контроль действий пользователей является частью повседневной работы любой службы информационной безопасности, однако этичность и законность предпринимаемых службой действий не всегда однозначна. Для разрешения этих противоречий и применяется корпоративная политика информационной безопасности. Все сотрудники организации должны ознакомиться с ней в обязательном порядке и неукоснительно выполнять прописанные там требования.

Контроль действий пользователей начинается с четкого установления правил, что кому разрешено, и правил осуществления мониторинга и контроля действий пользователей, закрепленных в соответствующей Политике. Там же устанавливаются правила разбора инцидентов безопасности и различного рода нарушений.

От того, как построена эта работа, во многом зависит и обстановка в организации. Например, многие предприятия пытаются контролировать все телефонные переговоры и переписку своих сотрудников по электронной почте, стало популярным и модным внедрение различных DLP-систем. Возникает много противоречивых требований: с одной стороны, нельзя нарушать приватность и личную тайну, с другой — необходимо эффективно решать вопросы обеспечения защиты собственности и конфиденциальной информации компании. В современной обстановке без комплексного подхода решение данных проблем невозможно. Сейчас многие возлагают все надежды на DLP-системы, однако нужно понимать, что эти системы могут предоставить решение только одного из технических компонентов проблемы. Они никогда не будут эффективно работать без решения организационных вопросов разграничения доступа (проактивная защита), без создания системы правил работы с информацией, глубокой проработки правовых вопросов, поскольку основным угрожающим фактором тут является собственно человек — работник организации.

При создании систем контроля действий пользователей в первую очередь необходимо думать о разумном балансе и эффекте, который хочет получить компания. Чрезмерные меры безопасности и контроля могут негативно отразиться на внутреннем психологическом климате компании и привести к уходу ценных сотрудников, а дополнительные технические меры безопасности и связанные с этим расходы на их внедрение и эксплуатацию, в свою очередь, могут быть просто и не по карману компании. И, наоборот, попустительское отношение к проблеме может привести к серьезным инцидентам безопасности и нанести существенный ущерб компании. Соответственно поиск компромисса, так называемой золотой середины, сегодня и является одной из самых трудных задач, решаемых в области информационной безопасности.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

7

Всего голосов: 11