logo
Материалы для PDF / Информационная безопасность

Реагирование на нарушения режима безопасности

Программа безопасности, принятая организацией, должна предус­матривать набор оперативных мероприятий, направленных на обнаруже­ние и нейтрализацию нарушений режима информационной безопаснос­ти. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и ско­ординированные.

Реакция на нарушения режима безопасности преследует три главные цели:

В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), который отвеча­ет за реакцию на нарушения. Все должны знать координаты этого челове­ка и обращаться к нему при первых признаках опасности. В общем, как при пожаре, нужно знать, куда звонить и что делать до приезда пожарной команды.

Важность быстрой и скоординированной реакции можно продемон­стрировать на следующем примере. Пусть локальная сеть предприятия состоит из двух сегментов, администрируемых разными людьми. Далее, пусть в один из сегментов был внесен вирус. Почти наверняка через не­сколько минут (или, в крайнем случае, несколько десятков минут) вирус распространится и на другой сегмент. Значит, меры нужно принять не­медленно. «Вычищать» вирус необходимо одновременно в обоих сегмен­тах; в противном случае сегмент, восстановленный первым, заразится от другого, а затем вирус вернется и во второй сегмент.

Нередко требование локализации инцидента и уменьшения наноси­мого вреда вступает в конфликт с желанием выявить нарушителя. В поли­тике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь, следует заботиться об уменьшении ущерба. Чтобы найти нарушителя, нужно заранее выяснить контактные ко­ординаты поставщика сетевых услуг и договориться с ним о самой воз­можности и порядке выполнения соответствующих действий. Более по­дробно данная тема рассматривается в статье Н. Браунли и Э. Гатмэна «Как реагировать на нарушения информационной безопасности (RFC 2350, ВСР 21)» (Jet Info, 2000, 5).

Чтобы предотвратить повторные нарушения, необходимо анализи­ровать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники вредоносного ПО? Какие пользователи имеют обык­новение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Необходимо отслеживать появление новых уязвимых мест и как можно быстрее ликвидировать ассоциированные с ними окна опасности. Кто-то в организации должен курировать этот процесс, принимать крат­косрочные меры и корректировать программу безопасности для приня­тия долгосрочных мер.