Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности"

Описание услуг группы реагирования

Услуги, оказываемые группой реагирования, можно разделить на две категории:

• действия в реальном времени, непосредственно связанные с главной задачей - реагированием на нарушения;
• профилактические действия, играющие вспомогательную роль и осуществляемые не в реальном масштабе времени.

Вторая категория и часть первой состоит из услуг, которые являются дополнительными в том смысле, что их предлагают не все группы реагирования.

Реагирование на нарушения обычно включает оценку входящих докладов ("классификация нарушений") и работу над поступившей информацией вместе с другими группами, поставщиками услуг Internet и иными организациями ("координация реагирования"). Третья группа услуг - помощь локальным пользователям в восстановлении нормальной работы после нарушения ("разрешение проблем") - обычно состоит из дополнительных сервисов, предоставляемых лишь частью групп.

Классификация нарушений обычно включает в себя следующие действия:

• оценка докладов: входящая информация интерпретируется, классифицируется по степени важности, соотносится с продолжающимися событиями и выявляемыми тенденциями;
• верификация ; определяется, действительно ли имеет место нарушение и каковы его масштабы.

Под координаций реагирования обычно понимается:

• категорирование информации: информация, относящаяся к нарушению (регистрационные журналы, контактная информация и т.д.) категорируется согласно политике раскрытия сведений;
• координация: в соответствии с политикой раскрытия сведений о нарушении извещаются другие стороны.

Перечислим действия, предоставляемые в рамках услуг по разрешению проблем:

• техническая поддержка (например, анализ "взломанных" систем);
• искоренение проблем: устранение причин нарушения (использованных уязвимостей) и его проявлений (например, прерывание сеанса пользователя-нарушителя);
• восстановление: помощь в возвращении систем и услуг к состоянию, имевшему место до нарушения безопасности.

В профилактические действия входят:

• предоставление информации. Под этим понимается поддержка архива известных уязвимостей, заплат, способов разрешения прошлых проблем или организация списков рассылки с рекомендательными целями; предоставление средств безопасности (например, средств аудита);
• обучение и подготовка кадров ;
• оценка продуктов ;
• оценка защищенности организации, консультационные услуги.

Еще один важный момент - использование форм для докладов о нарушениях. Оно упрощает работу как пользователей, так и групп реагирования. Пользователи могут заготовить ответы на некоторые важные вопросы заранее, в спокойной обстановке. Группа сразу, в первом сообщении, получает всю необходимую информацию, что закладывает основу эффективного реагирования.

В зависимости от целей и набора услуг конкретной группы, может использоваться несколько форм. Например, форма для сообщения о новой уязвимости может существенно отличаться от доклада о нарушении. Лучше всего предоставлять формы в рамках оперативных информационных услуг группы. Точные ссылки на них должны присутствовать в документах, описывающих группу, вместе с перечнем правил пользования и руководством по порядку работы с формами. Если для "докладов по форме" поддерживаются отдельные адреса электронной почты, они также должны быть указаны.

Один из примеров - форма для доклада о нарушениях координационного центра CERT, представленная на Web-сервере http://www.cert.org/.

Документы, описывающие группу реагирования, не являются контрактом, но возможность последующих судебных санкций может вытекать из описания услуг и целей. По этой причине рекомендуется размещать в конце бланков соответствующий отвод (письменный отказ), предупреждающий пользователей о возможных ограничениях.

Группа XYZ-CERT предоставляет соответствующие задачам услуги.

Реагирование на нарушения. XYZ-CERT помогает системным администраторам в технических и организационных аспектах реагирования на нарушения. В частности, оказывается помощь или даются советы о следующих аспектах реагирования:

1. Классификация нарушений:
   • выяснение того, действительно ли имеет место нарушение;
   • определение масштаба нарушения.
2. Координация реагирования:
   • выяснение первоначальной причины нарушения (использованной уязвимости);
   • облегчение контактов с другими системами, возможно, затронутыми нарушением;
   • облегчение контактов со службой безопасности университета XYZ и/или правоохранительными органами, если это необходимо;
   • предоставление отчетов другим группам реагирования;
   • составление уведомлений для пользователей, если это необходимо.
3. Разрешение проблем:
   • устранение уязвимостей;
   • ликвидация последствий нарушения;
   • оценка возможных дополнительных действий с учетом их стоимости и риска (например, исчерпывающее расследование или дисциплинарные действия: сбор улик после нарушения, накопление информации во время инцидента, установка ловушек для злоумышленников и т.п.);
   • возможный сбор улик для судебного преследования или дисциплинарных акций.

Кроме того, группа XYZ-CERT накапливает статистическую информацию о нарушениях, затрагивающих университетское сообщество, и, при необходимости, информирует сообщество, помогая ему защититься от известных атак.

Чтобы воспользоваться услугами группы XYZ-CERT по реагированию на нарушения, следует направить электронное письмо по контактному адресу.

Профилактические действия. Группа XYZ-CERT координирует и предоставляет следующие услуги в объеме, возможно, зависящем от наличия ресурсов:

1. Информационное обслуживание:
   • список контактных координат уполномоченных лиц по безопасности в отделах (административных и технических). Эти списки общедоступны по таким каналам, как Web;
   • списки рассылки для информирования уполномоченных лиц о появлении новой информации, относящейся к их компьютерной среде, которые доступны только для системных администраторов университета XYZ;
   • хранилище защитных заплат, распространяемых поставщиками или источниками, для различных операционных систем. Хранилище общедоступно, если это позволяют лицензионные соглашения. Доступ к нему предоставляется по обычным каналам - Web и/или ftp;
   • хранилище защитного инструментария и документации для использования системными администраторами. По возможности предоставляются предварительно скомпилированные версии, готовые к установке. Как обычно, доступ предоставляется через Web или ftp;
   • подготовка краткого изложения инцидента для различных информационных ресурсов, включая основные списки рассылки и телеконференции. Результирующие аннотации распространяются через списки рассылки с ограниченным доступом или через Web, в зависимости от критичности и срочности информации.
2. Повышение квалификации:
   • члены группы XYZ-CERT периодически проводят семинары по различным аспектам информационной безопасности; системные администраторы университета XYZ приглашаются на эти занятия.
3. Аудит безопасности:
   • проверка целостности основных файлов;
   • присвоение уровней безопасности. Машины и подсети в университете XYZ проверяются на предмет присвоения им уровня безопасности. Информация об уровнях доступна университетскому сообществу, чтобы упростить установку соответствующих прав доступа;
   • централизованное протоколирование для машин, поддерживающих удаленное протоколирование в Unix-стиле. Регистрационные журналы автоматически просматриваются анализирующей программой, а события или тенденции, указывающие на потенциальные проблемы безопасности, доводятся до сведения соответствующих системных администраторов; - сохранение записей о нарушениях безопасности. Хотя эти записи остаются конфиденциальными, периодически готовятся и распространяются статистические отчеты.

Детальное описание перечисленных выше услуг вместе с инструкциями по присоединению к спискам рассылки, скачиванию информации или получению таких услуг, как централизованное протоколирование или проверка целостности файлов, доступны через Web-сервер группы XYZ-CERT.

На этом мы завершаем рассмотрение спецификации Internet-сообщества "Как реагировать на нарушения информационной безопасности ".