Enviar pesquisa
Carregar
Incident management (part 1)
•
5 gostaram
•
3,480 visualizações
Aleksey Lukatskiy
Seguir
Aperfeiçoamento pessoal
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 83
Baixar agora
Baixar para ler offline
Recomendados
information security awareness course
information security awareness course
Abdul Manaf Vellakodath
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)
April Mardock CISSP
Information Security Awareness
Information Security Awareness
SnapComms
Cyber Risk: Exposures, prevention, and solutions
Cyber Risk: Exposures, prevention, and solutions
Capri Insurance
Disaster Recovery Plan / Enterprise Continuity Plan
Disaster Recovery Plan / Enterprise Continuity Plan
Marcelo Silva
Iso 27001 isms presentation
Iso 27001 isms presentation
Midhun Nirmal
ITIL Incident management
ITIL Incident management
ManageEngine
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
PECB
Recomendados
information security awareness course
information security awareness course
Abdul Manaf Vellakodath
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)
April Mardock CISSP
Information Security Awareness
Information Security Awareness
SnapComms
Cyber Risk: Exposures, prevention, and solutions
Cyber Risk: Exposures, prevention, and solutions
Capri Insurance
Disaster Recovery Plan / Enterprise Continuity Plan
Disaster Recovery Plan / Enterprise Continuity Plan
Marcelo Silva
Iso 27001 isms presentation
Iso 27001 isms presentation
Midhun Nirmal
ITIL Incident management
ITIL Incident management
ManageEngine
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
PECB
Risks threats and vulnerabilities
Risks threats and vulnerabilities
Manish Chaurasia
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Cyber Security Incident Response Planning
Cyber Security Incident Response Planning
PECB
Information security awareness
Information security awareness
CAS
isms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
Security Information Event Management - nullhyd
Security Information Event Management - nullhyd
n|u - The Open Security Community
Information security management system (isms) overview
Information security management system (isms) overview
Julia Urbina-Pineda
Security Audit Best-Practices
Security Audit Best-Practices
Marco Raposo
Business Continuity Planning Presentation Overview
Business Continuity Planning Presentation Overview
Bob Winkler
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
Nada G.Youssef
A to Z of Information Security Management
A to Z of Information Security Management
Mark Conway
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
himalya sharma
Control Implementation Summary (CIS) Template
Control Implementation Summary (CIS) Template
GovCloud Network
Project plan for ISO 27001
Project plan for ISO 27001
technakama
Week 5 Risk Assessment
Week 5 Risk Assessment
Ricky Truong
Building the Security Operations and SIEM Use CAse
Building the Security Operations and SIEM Use CAse
Don Murdoch GSE CyberGuardian CISSP
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Mais conteúdo relacionado
Mais procurados
Risks threats and vulnerabilities
Risks threats and vulnerabilities
Manish Chaurasia
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Cyber Security Incident Response Planning
Cyber Security Incident Response Planning
PECB
Information security awareness
Information security awareness
CAS
isms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
Security Information Event Management - nullhyd
Security Information Event Management - nullhyd
n|u - The Open Security Community
Information security management system (isms) overview
Information security management system (isms) overview
Julia Urbina-Pineda
Security Audit Best-Practices
Security Audit Best-Practices
Marco Raposo
Business Continuity Planning Presentation Overview
Business Continuity Planning Presentation Overview
Bob Winkler
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
Nada G.Youssef
A to Z of Information Security Management
A to Z of Information Security Management
Mark Conway
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
himalya sharma
Control Implementation Summary (CIS) Template
Control Implementation Summary (CIS) Template
GovCloud Network
Project plan for ISO 27001
Project plan for ISO 27001
technakama
Week 5 Risk Assessment
Week 5 Risk Assessment
Ricky Truong
Building the Security Operations and SIEM Use CAse
Building the Security Operations and SIEM Use CAse
Don Murdoch GSE CyberGuardian CISSP
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
Mais procurados
(20)
Risks threats and vulnerabilities
Risks threats and vulnerabilities
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
kill-chain-presentation-v3
kill-chain-presentation-v3
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Cyber Security Incident Response Planning
Cyber Security Incident Response Planning
Information security awareness
Information security awareness
isms-presentation.ppt
isms-presentation.ppt
Security Information Event Management - nullhyd
Security Information Event Management - nullhyd
Information security management system (isms) overview
Information security management system (isms) overview
Security Audit Best-Practices
Security Audit Best-Practices
Business Continuity Planning Presentation Overview
Business Continuity Planning Presentation Overview
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
A to Z of Information Security Management
A to Z of Information Security Management
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
Control Implementation Summary (CIS) Template
Control Implementation Summary (CIS) Template
Project plan for ISO 27001
Project plan for ISO 27001
Week 5 Risk Assessment
Week 5 Risk Assessment
Building the Security Operations and SIEM Use CAse
Building the Security Operations and SIEM Use CAse
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
Destaque
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
Aleksey Lukatskiy
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Evgeniy Shauro
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
Security and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
Russian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
Security apocalypse
Security apocalypse
Aleksey Lukatskiy
Secure Mobile Office
Secure Mobile Office
Aleksey Lukatskiy
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
Destaque
(20)
Incident management (part 2)
Incident management (part 2)
Incident management (part 3)
Incident management (part 3)
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Incident management (part 4)
Incident management (part 4)
Incident management (part 5)
Incident management (part 5)
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Security and football: what's difference
Security and football: what's difference
Russian Finance Security Regulations
Russian Finance Security Regulations
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Security apocalypse
Security apocalypse
Secure Mobile Office
Secure Mobile Office
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Semelhante a Incident management (part 1)
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Denis Batrankov, CISSP
Presentation IS criteria
Presentation IS criteria
a_a_a
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Expolink
5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
Информационная безопасность
Информационная безопасность
Datamodel
Leta: "Принципы построения систем защиты информации"
Leta: "Принципы построения систем защиты информации"
Expolink
КСИБ
КСИБ
pesrox
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
UISGCON
Semelhante a Incident management (part 1)
(20)
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Security Measurement.pdf
Security Measurement.pdf
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Measurement of security efficiency
Measurement of security efficiency
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Presentation IS criteria
Presentation IS criteria
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
5.про soc от jet
5.про soc от jet
Astana r-vision20161028
Astana r-vision20161028
Информационная безопасность
Информационная безопасность
Leta: "Принципы построения систем защиты информации"
Leta: "Принципы построения систем защиты информации"
КСИБ
КСИБ
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
Mais de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
Mais de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Incident management (part 1)
1.
Управление
инцидентами Версия 1.1 Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/431
2.
О курсе
Цель курса: Систематизация сведений и понимание конкретных шагов по управлению инцидентами Определите свою цель Создать программу управления инцидентами «с нуля» Улучшить существующую программу управления инцидентами Оценить существующую программу управления инцидентами в соответствие с лучшими практиками Мы не рассматриваем Причины инцидентов и мотивацию злоумышленников Какие средства защиты позволяют бороться с злоумышленниками Детали расследования для различных систем и сценариев InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/431
3.
О курсе
Преподаватель Консультант • Рассматривает • Ищет пути все решения для альтернативы конкретной компании Мы рассматриваем многие из существующих подходов управления инцидентами Некоторые могут показаться избыточными Применение их в конкретной организации зависит от множества условий и целей InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/431
4.
Программа курса InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 4/431
5.
Что нас сподвигает
задуматься …о целенаправленной работе с инцидентами? Что-то произошло? Это инцидент? Что произошло? Инцидент опасен или подождет? Мы с ним справимся самостоятельно? Как это произошло? Детали? Кто должен с ним бороться? Должен ли я сообщать в милицию? Или в ФСБ? Можно ли отследить хакера? Как? Надо ли отпугнуть хакеров или собрать о них сведения? Меня взломали! Быстрее вернуть все в исходное состояние! Или нет? Почему именно я? Как наказать хакеров? Что сделать, чтобы не повторилось? Надо ли сообщать другим компаниям? Разве IPS и МСЭ не достаточно? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/431
6.
Разве IPS недостаточно?
А это инцидент ИБ, инцидент ИТ или просто ложное срабатывание? Система корреляции поможет вам объединить множество событий в единую последовательность и устранить ложные срабатывания А вы знаете, что делать после того, как увидели сигнал тревоги на консоли системы защиты? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/431
7.
Что такое
инцидент? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/431
8.
Что такое инцидент?
Ситуация, которая может представлять собой нарушение нормального хода бизнеса, убыток, чрезвычайную ситуацию или кризис, либо приводить к их возникновению BS 25999 Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ ГОСТ Р ИСО/МЭК 18044 Любое событие, не являющее частью нормального функционирования сервиса и требующее ответной реакции InfoSecurity 2008 ITIL © 2008 Cisco Systems, Inc. All rights reserved. 8/431
9.
Что такое инцидент?
Действительное, предпринимаемое или вероятное нарушение безопасности, вызванное либо ошибкой людей, либо неправильным функционированием, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, либо нарушением конфиденциальности, целостности, доступности, учетности или бесспорности, влияющие на систему, сервис и/или сеть и их составные части ISO/IEC TR 18044:2004 Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 13335-1-2006 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/431
10.
Что такое инцидент?
Любое событие, которое не является частью стандартного функционирования услуги и которое приводит или может привести к остановке в предоставлении этой услуги или к снижению еѐ качества ГОСТ Р ИСО/МЭК 20000-200х (проект) Событие, указывающее на свершившуюся, пред- принимаемую или вероятную реализацию угрозы ИБ Стандарт Банка России СТО БР ИББС-1.0 Событие, которое может привести к прерыванию операций, разрушениям, потерям, чрезвычайным ситуациям или кризису ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/431
11.
Разница между терминами
ИТ ИБ • Направлены вовнутрь • Природа источника не (как правило) важна (внешняя / • Событие указывает на внутренняя) причину • Событие как правило • Фокусируются на является первым звеном доступности, в цепочке производительности, • Фокусируются на качестве сервиса поведении, доступе к ресурсам, использовании привилегий субъектов доступа Событие = причина, факт и следствие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/431
12.
Инцидент: госорганы и
коммерсанты Госорган Коммерсант • Совершение • Событие, которое действий, может причинить причинивших ущерб ущерб охраняемым законом правам физического или юридического лица InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/431
13.
От какого термина
отталкиваться? Все зависит от определения ИБ ИБ – это не универсальное, не стандартное понятие Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO В одной и той же компании, разные CISO могут по-разному заниматься ИБ В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях ИБ – это понятие, зависящее от множества факторов/элементов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/431
14.
Термин «безопасность»
Безопасность – отсутствие опасности В.Даль Безопасность – состояние, при котором не угрожает опасность С.Ожегов Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ФЗ «О безопасности» InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/431
15.
Термин «безопасность»
Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) ФСТЭК ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность А как же борьбы со спамом? Или шантаж DDoS? Безопасность - состояние защищенности объекта от внешних и внутренних угроз InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/431
16.
Термин «безопасность»
Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/431
17.
Как я понимаю
ИБ?! Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса Очень емкое и многоуровневое определение Может без изменения применяться в ЛЮБОЙ организации Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/431
18.
Стейкхолдеры ИБ
• ИТ • ИБ Внутри • • Юристы Служба внутреннего контроля предприятия • • HR Бизнес-подразделения • Руководство • Пользователи Снаружи • • Акционеры Клиенты предприятия • • Партнеры Аудиторы • ФСТЭК • ФСБ Регуляторы • • Роскомнадзор СВР • МО • ФАИТ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/431
19.
Информационная сфера
Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений В данном определении информационная инфраструктура включает в себя также и технологии обработки информации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/431
20.
Интересы стейкхолдеров
Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны ИБ Юристы Регуляторы • Конфиденциальность • Соответствие • Соответствие • Целостность • Защита от • Доступность преследования • Новые законы Пользователи Акционеры ИТ • Тайна переписки • Рост стоимости акций • Доступность • Бесперебойный • Контроль топ- сервисов Интернет менеджмента • Интеграция • Комфорт работы • Прозрачность • Снижение CapEx InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/431
21.
Интересы бизнеса
Рост (доли рынка, маржинальности, доходности…) Экспансия (новые рынки, новые целевые аудитории) Рост продуктивности сотрудников Соответствие требованиям Инновации и новые бизнес-практики Реинжиниринг бизнес-процессов Взаимоотношения с клиентами (лояльность) … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/431
22.
Как минимум, инцидент
– это… Черви, вирусы, ботнеты и иной вредоносный код Недоступность ресурса в результате DoS или DDoS Несанкционированный доступ Злоупотребления сотрудников, включая утечки данных Модификация команд управления АСУ ТП Обнаружение уязвимости Ошибки персонала Загрузка пиратского ПО InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/431
23.
Что такое
управление инцидентами? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/431
24.
Ключевые задачи управления
инцидентами Установить способ проникновения в систему Выяснить мотивацию и цели злоумышленника Установить личность злоумышленника Реализовать меры, исключающие повторение инцидента Возмещение нанесенного ущерба Устранение уязвимостей, ставших причиной инцидента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/431
25.
О терминологии
Incident handling – обработка инцидентов Incident management – управление инцидентами Incident response – реагирование на инциденты InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 25/431
26.
Обработка инцидентов
Обнаружение и составление отчетов Получение и анализ событий, отчетов об инцидентах и сигналов тревог Систематизация Категоризация, приоритезация и связывание событий и инцидентов Анализ Что произошло? Каков ущерб? К какой угрозе может привести? Какие шаги надо сделать для отражения и восстановления? Реагирование на инциденты Планирование, координация и реализация отражения инцидента, координации и распространения информации, обратной связи и follow-up (чтобы инцидент не повторился) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 26/431
27.
Управление инцидентами
Управление инцидентами – это не только обработка инцидентов и реагирование на них, но и активность, предотвращающая их Также включает в себя Управление уязвимостями Управление артефактами Артефакт – явление или объект, наблюдаемые при исследовании объекта, не свойственное этому объекту и искажающее результаты исследования (например, трояны, руткиты, эксплойты) Часто этот пункт называется сбором доказательств Обучение и повышение осведомленности пользователей InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 27/431
28.
Связь терминов
Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress. CMU/SEI-2004-TR-015 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 28/431
29.
Не только управление
инцидентами Эффективные процессы управления инцидентами необходимы, но они не являются единственными, что влияет на уровень защищенности предприятия Необходимы также Стратегия информационной безопасности предприятия Классификатор защищаемых информационных ресурсов Организационные и технические меры защиты Выстроенные процессы обеспечения и управления ИБ Квалифицированный персонал InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 29/431
30.
Управление инцидентами и
ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 30/431
31.
Классические ошибки при
расследовании инцидентов Срочное восстановление работоспособности с попутным уничтожением следов и доказательств Вина за инцидент без разбора возлагается на ИТ- департамент Сокрытие ИТ-департаментом инцидента «Это же регламентные работы!» Если вина посторонних очевидна, то их все равно никто не ищет Хакеров в Интернете поймать нереально К расследованию привлекается малоквалифицированный персонал Отсутствие мер по профилактике и управлению инцидентами в будущем InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 31/431
32.
Проблемы управления инцидентами
Отсутствие связи с целями организации и бизнеса Отсутствие поддерживающих управление инцидентами политик и процедур Основная проблема – неразбериха на стадии развития инцидента, когда от правильности первых действий зависит результативность и эффективность управления Предоставление избыточных или дублирующих услуг Неопределенные и неформализованные процессы и роли Отсутствие контроля Отсутствие коммуникаций, координации и разделения данных с другими командами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 32/431
33.
Произошел
инцидент! Знаете ли вы что делать или зачем нужна ли формализация процесса управления инцидентами? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 33/431
34.
Нужна ли формализация?
Управление инцидентами сродни первой помощи Ценна каждая секунда – промедление смерти подобно Нельзя суетиться Важно четкое знание алгоритма действий Действия не должны быть сложные Регулярные тренировки и пересмотр алгоритма действий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 34/431
35.
Процессы управления инцидентами
Одна из первых публикаций по управлению инцидентами появились в 1990-м году После этого появлялось немало публикаций, описывающих в той или иной степени процессный подход к управлению инцидентами Число процессов – от 5 до 11 Общие особенности Не все начинают с подготовки Не все извлекают уроки Составление отчетов осуществляется в разном месте жизненного цикла управления инцидентами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 35/431
36.
Процессы управления инцидентами
Общие Редкие • Подготовка • Подтверждение • Идентификация инцидента • Локализация • Координация • Устранение причин • Первичное • Восстановление (экстренное) реагирование • Извлечение уроков • Дупликация данных • Follow-up • Коммуникации • Защита доказательств • Определение области применения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 36/431
37.
Процессы управления инцидентами
Институт Карнеги Меллона предложил процессную модель управления инцидентами, которая включает 5 основных процессов Подготовка (а также поддержка и улучшение) Защита инфраструктуры Обнаружение событий Систематизация событий Реагирование В зависимости от задач и структуры CSIRT не все из этих процессов могут быть реализованы на практике Но стремиться к этому стоит InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 37/431
38.
Процесс «Подготовка»
Планирование управления инцидентами и возможностями CSIRT Сохранение и поддержание этих возможностей Совершенствование существующих возможностей на основе «разборов полетов», извлеченных уроков и регулярной оценки деятельности CSIRT и связанных подразделений Внедрение новых и изменение существующих мер управления инцидентами после «успешного» инцидента Выработка рекомендаций по улучшению защиты инфраструктуры (для следующего процесса) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 38/431
39.
Особенности подготовки
Подготовить – значит разработать и выстроить твердый фундамент системы безопасности Включает технические и не-технические компоненты Применение лучших методов Наисложнейшая, но наиболее важная фаза Без хорошей подготовки вы обречены на провал Во время отражения масштабной атаки поздно думать о применении лучших фундаментальных методов и процессов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 39/431
40.
Особенности подготовки (окончание)
Знать врага Понимать, что движет злоумышленниками Понимать их технические возможности и приемы Создать группу реагирования и заранее распределить функции Обладают ли они нужной квалификацией? Защитить системы Подготовить инструменты Сетевая телеметрия Инструменты отражения Четко осознавать свои возможности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 40/431
41.
Идентификация инцидентов
Идентификация - как Вы узнаете о том, что Вы или Ваш пользователь атакованы ? Не нужно ждать, пока Ваш пользователь позовет на помощь или пока рухнет Ваша сеть Какие инструменты доступны? Что можно сделать сегодня при ограниченном бюджете? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 41/431
42.
Процесс «Защита инфраструктуры»
Реализация изменений, останавливающих или предотвращающих инциденты или потенциальные возможности для проявления инцидентов (уязвимости и т.п.) Внедрение улучшений, полученных на предыдущем этапе и в результате иных процессов анализа улучшений Оценка инфраструктуры путем сканирования или мониторинга сетевого трафика, а также анализа рисков Составление списка текущих инцидентов, обнаруженных уязвимостей и других событий безопасности, обнаруженных во время оценки (для следующего процесса) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 42/431
43.
Процесс «Обнаружение событий»
Обнаружение событий и уведомление о них Получение информации (отчетов) о событиях Активное слежение за индикаторами (IDS, мониторинг сети и т.п.) Анализ метрик, демонстрирующих появление рисков и вредоносного поведения на предприятии Составление списка всех подозрительных событий (для следующего процесса) Переназначение событий, выходящих за пределы данного процесса Прекращение обработки событий, не перешедших на следующий этап InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 43/431
44.
Процесс «Систематизация событий»
Классификация и корреляция событий Приоритезация событий Связывание событий с соответствующими процедурами обработки инцидентов Составление перечня категорированных событий (для следующего процесса) Переназначение событий, выходящих за пределы данного процесса Прекращение обработки событий, не перешедших на следующий этап InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 44/431
45.
Процесс «Реагирование»
Анализ событий Планирование стратегии реагирования Координация и реализация технического, административного и юридического реагирования, которое позволяют сдерживать, устранять или отражать инциденты, а также реализация действий по восстановлению пострадавших систем Общение с внешними сторонами Переназначение событий, выходящих за пределы данного процесса Прекращение реагирования «Разбор полетов» и передача информации на первый этап InfoSecurity 2008 45/431 © 2008 Cisco Systems, Inc. All rights reserved.
46.
Связь процессов InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 46/431
47.
Рекомендации NIPC для
пострадавших Реагируйте быстро Установите контакт с правоохранительными органами В России это может бесперспективно Если вы не уверены в своих действиях, то ничего не отключайте и не останавливайте, чтобы не уничтожить следы, артефакты и доказательства Строго следуйте всем предписаниям и процедурам Для любых контактов по факту расследования используйте только телефон E-mail может быть под контролем Свяжитесь с CSIRT (отделом ИБ) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 47/431
48.
Рекомендации NIPC для
пострадавших Используйте регистрацию входящих соединений и телефонных звонков Заранее установите отношения с правоохранительными органами и юридическими конторами Если вы уверены, что они хоть что-то понимают в расследовании компьютерных инцидентов Сделайте копии всех файлов, которые злоумышленник мог или может изменить или стереть Определите основные точки для поиска доказательств. Обеспечьте их сохранность Не вступайте в контакт с подозреваемым Вам нужно управление инцидентами! InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 48/431
49.
Пошаговая процедура SANS
SANS – институт подготовки специалистов в области информационной безопасности (США) В середине 90-х годов подготовил документ «Computer security incident handling. Step by step» Cisco – один из участников разработки данного документа 6 последовательных процессов обработки инцидента 31 детальная процедура, 97 конкретных действий Специальные действия для 6 специальных типов инцидентов (вредоносный код, сканирование, DoS, шпионаж, мистификация, неавторизованный код) 10 немедленных действий в ситуации, когда вы готовы и не знаете, что делать (аналог рекомендаций NIPC) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 49/431
50.
Пошаговая процедура SANS
• Установка политик • Поддержка руководства • Организация команды • План коммуникаций в экстренных случаях • Простой репортинг Подготовка • Тренинг для членов команды • Руководство для взаимодействия между департаментами • Добейтесь внимания со стороны системных и сетевых администраторов • Интерфейс взаимодействия с правоохранительными органами и другими CSIRT • Выделите персону, ответственную за инцидент • Какие события относятся к инцидентам Идентификация • Будьте осторожны в поддержке доверенной цепочки взаимодействия • Координация с Интернет-провайдером • Уведомьте соответствующие структуры (при необходимости) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 50/431
51.
Пошаговая процедура SANS
(продолжение) • Разверните командный пункт на месте инцидента • Не привлекайте к себе внимания • Обходите потенциально скомпрометированный код Локализация • Сделайте резервную копию • Оцените риск продолжения работы атакованных систем • Проконсультируйтесь с владельцем системы • Смените пароли • Определите причины и симптомы инцидента Устранения • Усильте защиту • Обеспечьте анализ уязвимостей причин • Устраните причину инцидента • Определите последнюю «чистую» резервную копию InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 51/431
52.
Пошаговая процедура SANS
(окончание) • Восстановите системы • Проверьте системы Восстановление • Решите, когда восстановить бизнес-операции • Мониторьте системы Извлечение • Разработайте отчет об уроков инциденте InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 52/431
53.
Готовы ли вы?
Рекомендации NIPC и SANS просты, но Знаете ли вы, что скрывается за каждой из них? Готовы ли вы к их реализации? Можете ли вы ждать или должны реагировать немедленно? Доверяете ли вы внешним организациям или правоохранительным органам? Есть ли специализированные структуры в вашем регионе? Может быть стоит задуматься о выстраивании процесса управления инцидентами? В полном или урезанном варианте InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 53/431
54.
Аналогия InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 54/431
55.
Сработала сигнализация автомобиля!
Сел голубь или действительно взлом? Что делать в первую очередь? Надо ли отпугнуть грабителей? Надо ли звонить в милицию? По какому номеру? Почему именно моя машина? Что сделать, чтобы не повторилось? Как наказать грабителей? Надо ли сообщить о попытке взлома соседям и в милицию? Может самому найти виновников? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 55/431
56.
Управление
инцидентами важно, но кто должен это делать? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 56/431
57.
Виды расследования инцидентов
Правоохранительные органы МВД, Прокуратура, ФСБ… Как услуга Детективные агентства, специализированные фирмы, специализированные сервисы… Корпоративное (собственными силами) Для традиционных инцидентов Для выпускаемых продуктов и услуг InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 57/431
58.
Органы
расследования инцидентов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 58/431
59.
Стоит ли звонить
в правоохранительные органы? Квалификация правоохранительных органов в данном вопросе не очень высока Зависит от региона РФ Заранее уточните этот вопрос при установлении контакта с правоохранительными органами Чего вы хотите добиться? Поимки? Наказания? Уголовного или административного? Возмещения ущерба? Вы обязаны сообщить в правоохранительные органы? Стоит ли овчинка выделки? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 59/431
60.
Органы расследования США
U.S. Secret Service FBI NSA • Основной орган • Расследование • Расследование по инцидентов ИБ инцидентов, расследованию • Аналитика и имеющих «электронных» подготовка отношение к инцидентов рекомендаций национальной • Ведет дело на • Взаимодействие безопасности протяжении всего с частными • В суд дела жизненного службами передаются цикла – от компьютерных через ФБР приема расследований заявления до • Ведет дело на передачи дела в протяжении всего суд жизненного • Обучение цикла InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 60/431
61.
Органы расследования России
Управление К УБЭП и др. ФСБ • Основной орган • УБЭП • Расследование по • Уголовный инцидентов, расследованию розыск имеющих «электронных» • ВОХР отношение к инцидентов национальной • И т.п. • Ведет дело на безопасности протяжении • В суд дела всего передаются жизненного через цикла – от прокуратуру приема заявления до передачи дела в суд InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 61/431
62.
Стандартная процедура расследования
Получение сообщения об инциденте Начало производства по делу в соответствие с действующим законодательством Установление причины инцидента Сбор и анализ доказательств Выявление виновных Привлечение к ответственности в соответствие с действующим законодательством InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 62/431
63.
Особенности расследований в
США Прецедентное право Решение суда является указанием для других судов действовать также Объективное вменение Нарушитель признается виновным при наступлении в результате его действий общественно опасных последствий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 63/431
64.
Особенности расследований в
РФ Прецедентного права нет Есть «судебная практика», сформулированная в указаниях Верховного Суда РФ Формально, это рекомендация. Фактически – прецедент. Субъективное вменение Необходимо доказать объективную сторону преступления (факт преступления и участие конкретного лица) и субъективную (осознание противоправного характера действий подозреваемого, их последствий, а также прямого умысла) По «компьютерным делам» такой подход часто приводит к прекращению дела InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 64/431
65.
Другие отличия
Роль прокуратуры Роль адвокатуры Кадровое обеспечение Контроль за деятельностью правоохранительной системой Институт «сделки с правосудием» США Институт прекращения уголовного дела на этапе предварительного следствия по нереабилитирующим основаниям Россия InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 65/431
66.
Особенности проведения
расследования Если представители правоохранительных органов не имеют опыта работы с компьютерными преступлениями, то необходимо Включить (настоять на включении) в первичные следственные действия представителей службы ИБ Ваши представители должны иметь право решающего голоса Консультировать правоохранительные органы Обеспечить качественный сбор и надежное сохранение доказательств Кто проводит экспертизу? Экспертов в органах внутренних дел нет Денег на оплату внешних экспертов нет Либо личные связи ОВД, либо оплата из внебюджетных средств InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 66/431
67.
Особенности проведения
расследования (окончание) Кто обеспечивает доказательную силу собранных при расследовании материалов? Отсутствие опыта у правоохранительных органов приводит к ошибкам в сборе доказательств Оспаривание таких доказательств в суде и на этапе предварительного следствия Необходимо контролировать и «направлять» сбор доказательств Надо ли самостоятельно собирать доказательства? Собранные лично или внешними экспертами доказательства не являются доказательствами в уголовном процессе Могут поставить под сомнение материалы, собранные правоохранительными органами Афишировать такие доказательства не стоит InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 67/431
68.
Особенности взаимодействия
Правоохранительные органы обязаны оперативно реагировать на поступающие заявления невзирая на общественную значимость и сумму нанесенного ущерба На практике, в регионах идет отказ от возбуждения дела или начинается волокита – перенаправление жалобы в другие подразделения ОВД, укрытие жалобы от учета и т.д. Стоит ли подавать жалобу в прокуратуру или суд на бездействие ОВД Только если вам важно наказать виновных в бездействии и укрывательстве преступлений, а также вы хотите, чтобы вас признали официально потерпевшим Если попытаться «идти до конца», то через длительное время дело прекращается в связи с неустановлением лица, подлежащего привлечению к уголовной ответственности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 68/431
69.
Вас атакуют из-за
границы? Шантаж с помощью бесплатных почтовых сервисов (gmail.com, hotmail.com…) Загрузка вредоносного ПО с зарубежного Web-сайта DDoS-атака с зарубежных IP-адресов Использование зарубежного прокси-сервера Использование зарубежного анонимайзера Использование помощи зарубежных коллег/друзей Атаки на филиал заграницей Требование перевода денег через WebMoney или в зарубежный банк InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 69/431
70.
Вас атакуют из-за
границы? (окончание) Как получить доказательства? Собрать самостоятельно – в суде использовать нельзя Обратиться в правоохранительные органы Две схемы взаимодействия Через Следственный комитет при МВД РФ Интерпол Интерпол Местная ОВД СК МВД в другой в России полиция стране Через прокуратуру или ФСБ Генеральная МИД другой Местная Следователь МИД РФ Прокуратура прокуратура страны полиция InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 70/431
71.
Как происходит взаимодействие
с иностранными государствами Международное следственное поручение Подробное описание расследуемого дела Перечень запрашиваемых следственных действий Страна, в которой будут проводиться следственные действия Местная полиция производит следственные действия и отправляет все назад На все уходит около месяца Результаты приходят на национальном языке страны Некоторые страны не считают обязательным исполнять международные следственные поручения Если подозреваемый относится к национальным или религиозным меньшинствам или состоит в браке с гражданином другой страны, то поручение также может остаться без должного внимания InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 71/431
72.
Как происходит взаимодействие
с иностранными государствами (окончание) Что если атака прошла через несколько государств? Материалы местной полиции передаются… автору международного поручения, который формирует новое поручение в новую США страну… Полученные результаты должны быть переведены … Чехия и нотариально заверены Поручение Где взять деньги на перевод и нотариальное заверение? Англия Украина InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 72/431
73.
Сложность международного
расследования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 73/431
74.
Кто еще может
помочь в расследовании? Детективные агентства Специализированные компании IB Group - http://group-ib.ru/ Операторы связи Центр независимой комплексной экспертизы и сертификации систем и технологий http://www.cnkes.ru/ CERT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 74/431
75.
Мировые CERT InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 75/431
76.
Корпоративное или государственное?
Корпоративное расследование Государственное расследование Проводится силами СБ или Проводится следственными специализированной компанией органами Сбор доказательств на Сбор доказательств в добровольной основе соответствии с УПК РФ Доказательства не имеют Результаты имеют доказательную доказательной силы в уголовном силу процессе Сохранение в тайне факта Возможен факт утечки инцидента информации Наказание виновных только среди Применение к виновным сотрудников (гражданская / уголовного наказания дисциплинарная ответственность) Ущерб возмещается в порядке Ущерб возмещается по приговору гражданского судопроизводства суда вместе с наказанием или неправовыми методами виновных (если их найдут) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 76/431
77.
Резюме
«Следователь» Достоинства Недостатки Служба • Гарантия сокрытия • Отсутствие опыта безопасности факта утечки • Невозможность предприятия • Оперативность привлечение к • Низкая стоимость ответственности виновного • Риск использования неправовых методов Правоохранитель • Полное • Риск утечки ные органы расследование информации • Возможность • Неоперативность компенсации ущерба • Отсутствие • Привлечение к квалификации в ответственности регионах виновного • Все равно • Бесплатно потребуется что-то делать до прихода милиции InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 77/431
78.
Резюме (окончание)
«Следователь» Достоинства Недостатки Специализирова • Оперативность • Высокая стоимость нные компании • Высокая • Риск использования квалификация неправовых методов • Невозможность привлечения к ответственности виновного Друзья и • Низкая стоимость • Риск утечки знакомые информации • Некомпетентность и неэффективность • Риск использования неправовых методов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 78/431
79.
Так может и
не стоит создавать свою CSIRT? Даже в случае приглашения специализированной компании или правоохранительных органов вам потребуется Сообщить им об инциденте Собрать первичную информацию Не дать уничтожить следы нарушителя Координировать усилия между департаментами компании и внешними специалистами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 79/431
80.
С чего начать
построение программы управления инцидентами? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 80/431
81.
Какова ваша стратегия?
Защитить и забыть Задержать и наказать • Событие – реальный инцидент? • Событие – реальный инцидент? • Если это инцидент, блокируйте вторжение • Если это инцидент, то уведомьте • Как был получен доступ и сколько систем правоохранительные органы атаковано? • Документируйте инцидент • Восстановите системы в предатакованное • Изолируйте атакованную систему состояние • Заставьте нарушителя идти в honeypot (если • Устраните способ проникновения возможно) • Документируйте инцидент и ваши шаги • Идентифицируйте личность нарушителя • Извлеките уроки • Как был получен доступ? • Уведомьте руководство об инциденте • Устраните проблемы на всех неатакованных еще системах • Блокируйте вторжение, когда собраны доказательства или возникла угроза бизнесу • Документируйте текущее состояние атакованных систем • Восстановите атакованные системы • Устраните способ проникновения • Оцените стоимость обработки инцидента в рублях и человеко-часах • Защите собранные доказательства • Извлеките уроки • Уведомьте руководство об инциденте InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 81/431
82.
С чего начать?
Соберите информацию Какие из процессов управления инцидентами у вас уже реализованы? В каком объеме? Роли и обязанности участников Описанные процедуры и процессы Насколько существующие процессы увязаны с целями организации и стратегией ИБ? Какие технологии, оборудование и оргмеры применяются? Какие из активностей выполняются в рамках других процессов? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 82/431
83.
С чего начать?
(окончание) Поймите Насколько вас устраивают существующие процессы? Что нуждается в улучшении? Чего вам не хватает? Что вы хотите добавить сейчас, а что оставить на потом? Что вы не будете реализовывать из описываемых далее процессов (например, «защиту инфраструктуры»)? Может быть вы хотите внедрить только один из подпроцессов (например, расследование или взаимодействие с правоохранительными органами)? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 83/431
Baixar agora