Актуальність теми пов'язана з появою нових видів та способів злочинних посягань, пов'язаних з використанням комп'ютерних технологій.
Гончаренко Вадим Сергійович
Доступ до мережі Інтернет та розвиток ринку комунікаційних пристроїв створили абсолютно новий простір для задоволення потреб сучасної людини. У зв'язку з цим динамічним процесом актуальним постає питання протидії використанню інформаційно-телекомунікаційних технологій в протиправних цілях.
Основні міжнародні стандарти та рекомендації системи менеджменту інформаційної безпеки (ISO/IEC 27002:2010, ISO/IEC TR 18044:2004) визначають реагування на комп'ютерні інциденти, як "реагування на інцидент інформаційної безпеки", тому доцільно з'ясувати сутність поняття "інцидент інформаційної безпеки". Згідно з ISO/IEC TR 18044:2004 "Менеджмент інцидентів інформаційної безпеки", інцидент інформаційної безпеки (далі - Інцидент) - це поява одного чи декількох небажаних чи неочікуваних подій інформаційної безпеки, з якими пов'язана значна ймовірність компрометації бізнес операцій чи створення загрози для інформаційної безпеки [1].
Побудова уніфікованої системи реагування на Інциденти є одним з пріоритетних напрямків забезпечення інформаційної безпеки особи, суспільства та держави. Це підтверджується статистичними даними з офіційного сайту DataIossDB (Міжнародний фонд збору інформації про Інциденти в світі) [2] :
Рис. 1. Кількість Інцидентів протягом 2004-2013 рр.
Як зазначається в одній з інструкцій з реагування на Інциденти російської компанії Group-ID (один з лідерів країн СНД із розслідування Інцидентів), "реагування на Інцидент" - сукупність дій, спрямованих на виявлення комп'ютерної інформації, що має відношення до інциденту, і збереження її цілісності та юридичної значущості, а також на збір інших відомостей, що мають відношення до Інциденту[3].
Загальну методику реагування на Інциденти слід розглядати з 2-х позицій:
1. Попередні техніко-організаційні заходи реагування на Інцидент
Після підтвердження Інциденту слід здійснити реєстрацію його подробиць у формі звіту, ввести в базу даних подій / Інцидентів і повідомити співробітників організації (керівництво). В результаті цих дій приймаються захисні заходи (наприклад відключення атакованої інформаційної системи, сервісу або мережі за попередньою згодою керівництва).
Такі заходи реагування мають здійснюватись із врахуванням таких умов:
- критично важливі (не атаковані) ресурси мають бути додатково захищені;
- збір найбільш повної інформації про порушника за умови, якщо він не знає, що знаходиться під спостереженням[1].
2. "Реагування-розслідування"
Для того, щоб вчасно та ефективно дослідити всю необхідну інформацію про Інцидент, відповідальним особам слід визначитись з такими позиціями:
Скомпрометовані об'єкти захисту. Важливо визначити : яка саме система постраждала в результаті Інциденту; який саме сервіс був скомпрометований; які саме дані були скомпрометовані.
Для цієї мети слід використовувати програмні продукти оперативного реагування (пакет программ EnCase Enterprise Edition або netForensics nFX Open Security Platform), які допоможуть визначити, що саме зламано в результаті Інциденту.
- По-перше, потрібно вміти ідентифікувати і зібрати дані, які можуть зникнути в короткий проміжок часу;
- По-друге, потрібно навчитися аналізувати мережеві підключення і активність системи на предмет наявності відхилень від звичайного стану;
- По-третє, всі процеси виконуються в пам'яті, тому аналіз пам'яті також важливий для розслідування.
Засоби вчинення Інциденту. Важливо визначити: чи була помилка в конфігурації; чи була помилка в додатку; чи була помилка в системі; чи була помилка в протоколі.
Суб'єкт вчинення Інциденту (мета). Слід визначити: через яку систему сталося вторгнення; яка була кінцева мета атаки; з якого комп'ютера почалася атака. Знадобиться вміння співвідносити інформацію різних журналів з подіями, які супроводжують Інцидент безпеки. На цьому етапі потрібно вміти з уже зібраної інформації виділити ідентифікатори зловмисника. Це може бути адреса електронної пошти, обліковий запис у додатку, мультимедійний.
Дані про суб'єкта вчинення Інциденту. Визначити: яке програмне забезпечення використовувалося; які файли використовувалися; в якій послідовності відбувалася атака.
Аналіз інформації про Інцидент. Визначити: що є доказом; як збирати докази; як аналізувати докази; як оформити звіт про розслідування.
Журнали, файли - комп'ютерні терміни. Щоб їх можна було долучити до формалізованого процесу розслідування, вони повинні бути оформлені як докази і оброблятися у відповідності з процедурами, що зберігають юридичну значимість доказів[4].
Висновок.
Отже, сутність реагування на Інциденти полягає в тому, що фахівці організації виявляють Інцидент і або своїми силами оперативно реагують на нього, аналізують дані і передають результати аналізу керівництву, або наймають аутсорсера з розслідування комп'ютерних інцидентів, який забезпечить технічне та юридичне супроводження розслідування до передачі справи правоохоронним органам і в суд.
Список використаної літератури:
- ISO/IEC TR 18044:2004 "Менеджмент інцидентів інформаційної безпеки";
- datalossdb.org/statistics - Офіційний сайт Міжнародного фонду збору інформації про комп'ютерні інциденти в світі DataLossDB;
- "Инструкция по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания" Group-IB;
- Клевогін С. Как расследовать компьютерные инциденты?// Системный администратор. - 2012. - № 6. - с. 115.