08

04.2020 主頁 > 其他 > 網絡安全事件響應

網絡安全事件響應

網絡安全事件響應

  隨著針對信息泄露YSTEM保護為主,包括對信息安全事故或違反的控製信息安全保護程序事件後果的識別,預防,登記和消除。有許多技術可以確定用於管理這些參數的基本參數。這些技術是在建立評估公司管理質量標準的國際標準級別上實施的。在這些法規的框架內,對IS事件或事件進行識別和記錄,消除其後果,並在分析其發生原因的基礎上,最終確定各項規定和方法。

  事件的概念

  信息係統管理認證領域的國際法規對這種現象進行了定義。他們認為,信息安全事件是具有不良和不可預測性質的單個事件,可能會影響公司的業務流程,損害它們或破壞信息安全保護的程度。實際上,此概念包括在處理以電子形式或有形媒體存在的信息的過程中發生的各種事件。這些可能包括將文檔自由地留在桌麵上供其他人員使用,以及遭受黑客攻擊-兩種事件均會損害公司的利益。

  存在的主要事件類型包括:

  違反與互聯網提供商,托管,電子郵件服務,雲服務和其他電信服務提供商進行交互的程序;

  由於任何原因造成的設備故障,包括技術和軟件方麵的故障;

  軟件故障;

  違反任何處理,存儲和傳輸電子和文檔信息的規則;

  未經授權或未經授權的第三方訪問信息資源;

  確定對資源的外部監測;

  檢測病毒或其他惡意程序;

  係統的任何妥協,例如,從公共域中的帳戶獲取密碼防止數據泄漏(data leakage prevention)。

  所有這些事件都應進行分類,描述並包括在公司內部文件中,該公司應控製確保信息安全的程序。此外,在監管文件中,有必要建立事件的層次結構,以將事件分為或多或少的重要事件。應該記住,事件的很大一部分是不起眼的,它們發生在官員注意範圍之外。此類事件應予以具體描述,並應在事後調查模式下確定用於識別的措施。

  描述反應措施時,應牢記,發生頻率和信息安全事件總數的變化是提供信息安全的係統工作質量的指標之一,它本身被歸為重大事件。頻繁發生的事件可能表明對公司信息係統的蓄意攻擊,因此它應該成為分析的基礎,並進一步提高保護水平。

  事件管理在整個信息安全係統中的位置

  管理信息安全事件的法規應成為業務流程及其法規的組成部分。假定事件是未經授權的,未經授權的事件,則工作需要依靠將事件和動作分為允許和禁止的機製,該機製確定有權製定此類標準的機構。此外,該法規還定義了對未在文檔中明確指定為重要事件的事件進行分類的方法和方法,以及識別此類事件,對其進行描述並將其隨後包括在法規文件中的機製。

  例如,該法規可能禁止在未對其進行編碼或加密的情況下將機密信息放置在便攜式媒體上,並且不會直接禁止在公司外部刪除此類設備。犯罪襲擊造成的計算機意外丟失將是一個事件,但並沒有明確禁止。因此,文件應建立一種機製,以在不過度官僚主義的情況下按情況補充安全標準和規則。這將使我們能夠迅速應對新的挑戰並及時,不顯著拖延地完善保護措施。

  作為信息安全要素之一的ISO 27001認證係統要求創建一個單獨的過程來管理信息安全事件,這是使業務流程標準化的通用係統的一部分。

  安全事件管理功能

  盡管該標準直接建議實施信息安全事件管理技術,但實際上,這些實踐的實施和實施遇到許多困難。未實施單獨的事件管理程序。該指示器並不表示事件管理係統運行良好或不良,僅表示存在一定的安全漏洞。

  信息安全事件管理基於以下操作:

  定義。該組織沒有用於對事件進行識別和分類的方法,即對其主要參數的描述,因此員工麵臨著需要獨立確定事件標準或將其忽略的需求。根據標準,在另一位員工的帳戶下登錄網絡屬於信息安全事件,但是不會記錄在日誌中,因為員工認為這種行為是標準的並且是允許的,尤其是在人力資源短缺的情況下;

  發生通知。即使可以根據組織采用的方法或員工的個人觀點確定事件為事件,但大多數情況下,組織尚未為此類事件製定標準和通知途徑。即使有人透露了複製與商業秘密有關的文件的事實,也會使雇員感到困惑,因為該問題的確切信息和通知對象是誰:他的頭,安全部門或其他人;

  注冊。這部分標準對於俄羅斯公司來說是最不切實際的,沒有分別識別出事件,也沒有記錄。沒有建立記錄重大事件的會計記錄的做法,隨後將為它們的分析和預測可能的攻擊提供材料;

  消除原因和後果。任何事件都會造成某些痕跡和後果,一方麵,這些痕跡和後果可能會幹擾公司的活動,另一方麵,它也是調查其發生原因的材料。缺乏消除後果的規則可能導致錯誤的累積和證據基礎的完全破壞,從而可以確定情況的罪魁禍首。為恢複穩定性而采取的任何緊急措施都可能意外或有意破壞對數據庫的滲透痕跡;

  事件響應措施。在某些情況下,事件的發生可能需要緊急響應措施,例如,將計算機與網絡斷開連接,中止信息傳輸,與提供者建立聯係。應確定負責製定應對機製及其業務實施的機構和官員;

  調查。調查權限應從IT部門轉移到安全服務部門。作為調查的一部分,應研究會計日誌,並分析在緊急情況下訪問係統的所有用戶和管理員的行為。調查應該是事件管理的主要要素之一。實際上,俄羅斯公司拒絕執行此階段,從而限製了自己消除事件後果的能力。如有必要,調查應在業務調查機構的參與下進行;網絡事件響應(cyber incident response)

  實施預防措施。在大多數情況下,事件不是孤立的,它們的發生表明信息安全係統中已經出現漏洞,並且類似的情況將重複發生。為了避免這些風險,有必要根據調查結果製定一項協議或一項委員會的行動,在其中確定應采取哪些措施來防止類似情況。此外,《勞動法》和內部法規規定了某些紀律措施;

  分析。所有違反規範流程並可能被視為信息安全事件的事件,都應作為分析的基礎,以幫助確定其性質,表現出一致性並提出改善公司信息安全係統運行的建議。

 

by Yvonne 瀏覽 161