учебники, программирование, основы, введение в,

 

Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности"

Основные понятия
Тема реагирования на нарушения информационной безопасности исключительно важна, но, на наш взгляд, она пока не получила достаточного освещения в отечественной литературе. Детальное рассмотрение спецификации Internet-сообщества "Как реагировать на нарушения информационной безопасности"призвано отчасти восполнить этот пробел. В последующем изложении использована публикация.
Цель интересующей нас спецификации - сформулировать ожидания Internet-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Потребители имеют законное право (и необходимость) досконально понимать правила и процедуры работы "своей" группы реагирования.
Словосочетание "группа реагирования на нарушения информационной безопасности" обозначает группу, выполняющую, координирующую и поддерживающую реагирование на нарушения, затрагивающие информационные системы в пределах определенной зоны ответственности.
Коллектив, называющий себя группой реагирования, обязан должным образом отвечать на выявленные нарушения безопасности и на угрозы своим подопечным, действуя в интересах конкретного сообщества и способами, принятыми в этом сообществе.
Чтобы считаться группой реагирования, необходимо:

  • предоставлять (защищенный) канал для приема сообщений о предполагаемых нарушениях;
  • помогать членам опекаемого сообщества в ликвидации нарушений;
  • распространять информацию, относящуюся к нарушению, среди представителей опекаемого сообщества и других заинтересованных сторон.

Деятельность группы реагирования предполагает наличие опекаемого сообщества - группы пользователей, систем, сетей или организаций.
Существуют разные виды групп реагирования. Некоторые заботятся о безопасности весьма обширных сообществ. Так, Координационный центр CERT (Computer Emergency Response Team, см. http://www.cert.org/) опекает Internet. У других масштабы деятельности не столь велики (например, группа DFN-CERT поддерживает немецкую исследовательскую сеть DFN, см. http://www.cert.dfn.de/), у коммерческих или корпоративных групп реагирования они могут быть совсем небольшими. Группы реагирования и безопасности координируют свою работу на всемирном форуме - FIRST (Forum of Incident Response and Security Teams, см. http://www.first.org/).
Под нарушением информационной безопасности понимается любой вид компрометации каких-либо аспектов безопасности систем и/или сетей, к их числу относятся:

  • потеря конфиденциальности информации;
  • нарушение целостности информации;
  • нарушение доступности информационных услуг;
  • неправомочное использование услуг, систем или информации;
  • повреждение систем.

Атаки, даже если они оказались неудачными из-за правильно построенной защиты, могут трактоваться как нарушения.
Иногда администратор может лишь подозревать нарушение. В процессе реагирования необходимо установить, действительно ли оно имело место.
Важно, чтобы каждый член сообщества понимал, на что способна его группа, которая, в связи с этим, должна объяснить, кого она опекает и определить, какие услуги предоставляет. Кроме того, каждая группа реагирования обязана опубликовать свои правила и регламенты. Аналогично, членам сообщества нужно знать, чего ожидают от них, т. е. группа должна также ознакомить с правилами доклада о нарушениях.
Без активного участия пользователей эффективность работы групп реагирования может заметно снизиться, особенно это касается докладов о нарушениях. Пользователей необходимо уведомить, что о нарушениях информационной безопасности следует сообщать. Должны они знать и о том, как и куда направлять свои доклады.
Источники многих нарушений, затрагивающих внутренние системы, лежат за пределами контролируемого сообщества. С другой стороны, некоторые внутренние нарушения воздействуют на внешние системы. Расследование подобных инцидентов требует взаимодействия между отдельными системами и группами. Пользователи должны точно знать, как их группа будет сотрудничать с другими группами и организациями и какая информация будет разделяться.

Взаимодействие между группой реагирования, опекаемым сообществом и другими группами
Каждый пользователь услуг группы реагирования на нарушения информационной безопасности должен заранее, задолго до возникновения реального инцидента, узнать как можно больше об этих услугах и порядке взаимодействия с группой.
Ясное изложение правил и процедур помогает пользователям понять, как сообщать о нарушениях и какую поддержку ожидать. Окажет ли группа содействие в расследовании инцидента? Поможет ли она избежать подобных нарушений в будущем? Доскональное понимание ее возможностей и ограничений в предоставляемых услугах сделает взаимодействие между пользователями и группой более эффективным.
Целесообразно, чтобы каждая группа реагирования разместила рекомендации и процедуры на своем информационном сервере (например, на Web-сервере). Тем самым пользователи получат свободный доступ к документам, хотя остается проблема поиска "своей" группы.
Независимо от источника, пользователь должен проверять аутентичность информации о группе. Настоятельно рекомендуется защищать подобные жизненно важные документы цифровой подписью, чтобы убедиться, что они на самом деле опубликованы определенной группой реагирования и их целостность не была нарушена.
В некоторых случаях группа реагирования может эффективно работать лишь в тесном взаимодействии с опекаемым сообществом. Но в условиях современных международных сетей гораздо более вероятно, что в большинство нарушений будут вовлечены третьи стороны.
Межгрупповое взаимодействие может включать в себя получение рекомендаций от других групп, распространение знаний о возникших проблемах, а также совместную работу по ликвидации нарушения, затронувшего одно или несколько опекаемых сообществ.
При установлении взаимоотношений, обеспечивающих подобное взаимодействие, группы должны решить, какого рода соглашения могут существовать между ними (например, как разделяется информация о защите, может ли раскрываться факт существования взаимоотношений, и если может, то перед кем).
После того как одна из сторон решила разделять информацию с другой либо две стороны заключили соглашение о разделении информации или совместной работе, как того требует скоординированная реакция на нарушение информационной безопасности, появляется необходимость в доверенных коммуникационных каналах.
Цели организации доверенных коммуникаций состоят в следующем:

  • обеспечение конфиденциальности;
  • обеспечение целостности;
  • обеспечение аутентичности.

Важный фактор эффективной защиты - обеспечение аутентичности криптографических ключей, используемых в доверенных коммуникациях.
Коммуникации критичны для всех аспектов реагирования. Группа может действовать наилучшим образом, только собрав и систематизировав всю относящуюся к делу информацию. Специфические требования (в частности, звонок по определенному номеру для проверки аутентичности ключей) должны быть оговорены с самого начала.

Порядок публикации правил и процедур деятельности групп реагирования
Правила и процедуры группы реагирования должны быть опубликованы и доведены до пользователей. Рекомендуется следовать при этом определенному шаблону. Заполненный шаблон будем называть бланком. Как правило, он должен заверяться электронной подписью группы.
Далее мы поясним назначение некоторых полей шаблона и возможные способы их заполнения.
Любой документ должен начинаться с идентифицирующей информации, которую в данном случае составляют специальные требования:

  • дата последнего изменения; она необходима для проверки актуальности сведений, поскольку детали работы группы со временем изменяются;
  • список рассылки; почтовые списки - удобное средство распространения обновлений среди большого числа пользователей, обычно в них перечислены коллективы, с которыми группа реагирования активно взаимодействует;
  • расположение документа; текущая версия документа должна быть доступна в рамках оперативных информационных сервисов группы. В таком случае пользователи смогут легко получить дополнительную информацию о группе, проанализировать недавние изменения.

В следующем разделе бланков должна быть приведена исчерпывающая контактная информация:

  • название группы реагирования;
  • почтовый адрес;
  • часовой пояс (эта информация полезна при реакции на нарушения, затрагивающие несколько часовых поясов);
  • номер телефона;
  • номер факса;
  • адрес электронной почты;
  • открытые ключи и способы шифрования; использование конкретных механизмов зависит от того, доступны ли партнерам по коммуникациям соответствующие программы, ключи и т.п. Наличие подобной информации дает возможность пользователям определить, способны ли они организовать защищенное взаимодействие с группой реагирования и каким образом это сделать;
  • члены группы;
  • часы работы.

Может быть представлена более детальная контактная информация, например, разные способы контакта для разных услуг, список оперативных информационных сервисов и т.п.
Каждая группа реагирования должна иметь устав, который определяет, что она должна делать и на каком основании. В уставе должны присутствовать по крайней мере следующие разделы:

  • виды деятельности;
  • клиентура;
  • спонсоры и вышестоящие организации;
  • полномочия.

Определение клиентуры должно задать рамки, в пределах которых группа будет предоставлять свои услуги.
Сообщества пользователей могут пересекаться. Например, поставщик услуг Internet обеспечивает реагирование для своих потребителей, возможно, имеющих собственные группы.
Сведения о компаниях-спонсорах и вышестоящих организациях помогут пользователям выяснить возможности группы, что необходимо для формирования доверительных отношений с клиентами.
Полномочия существенно зависят от специфики группы. Например, компетенция корпоративной группы определяется руководством, общественная группа может поддерживаться и выбираться на началах самоуправления, играть консультативную роль и т.п.
Не все группы наделяются правами на вмешательство в работу всех систем в пределах контролируемого периметра. Иными словами, область управления отличается от круга пользователей; в других случаях она может быть устроена иерархически, и тогда этот факт нужно зафиксировать с указанием подчиненных групп.
Описание полномочий группы может сделать ее уязвимой для судебных исков, поэтому в данном вопросе следует опираться на помощь юристов.
В рассматриваемой спецификации приводится пример устава для вымышленной группы реагирования XYZ-CERT университета XYZ.
Виды деятельности. Целью группы XYZ-CERT является помощь сотрудникам университета XYZ в реализации профилактических мер, снижающих риск нарушений информационной безопасности, и помощь в реагировании на все-таки произошедшие нарушения.
Клиентура. Опекаемое сообщество группы XYZ-CERT - сотрудники, студенты и аспиранты университета XYZ. Это определено в политике университета по отношению к вычислительным ресурсам, с ней можно ознакомиться по адресу http://www.../policies/pcf.html. Услуги группы распространяются только на производственные системы.
Спонсоры и вышестоящие организации. Спонсором группы XYZ-CERT является компания ACME Canadian Research Network, предлагающая свои услуги в Канаде и США в качестве вышестоящей организации для различных университетских групп реагирования, если они того пожелают.
Полномочия. Группа XYZ-CERT работает под покровительством и с полномочиями, делегированными отделом компьютерных услуг университета XYZ. Предполагается, что XYZ-CERT взаимодействует с системными администраторами и пользователями университета XYZ и, по возможности, избегает авторитарных решений. Однако, под давлением обстоятельств, члены группы могут обратиться в отдел компьютерных услуг, чтобы "употребить власть". Все они входят в комитет системных администраторов и сполна наделены правами и обязанностями, полагающимися администраторам вычислительных ресурсов в соответствии с политикой, либо представлены в руководстве университета. Члены университетского сообщества, желающие обжаловать действия группы XYZ-CERT, должны обратиться к заместителю директора по техническим вопросам или в университетское бюро прав и обязанностей.

Описание правил группы реагирования
Критически важно, чтобы группа реагирования определила свои правила, которые регламентируют следующие аспекты:

  • типы нарушений и уровень поддержки;
  • кооперация, взаимодействие и раскрытие информации;
  • коммуникации и аутентификация.

Должны быть специфицированы типы нарушений, на которые группа способна реагировать, а также уровень поддержки, предоставляемой для каждого из заданных типов.
Уровень поддержки может меняться в зависимости от таких факторов, как загруженность группы и полнота доступной информации. Подобные факторы должны быть описаны, а их влияние разъяснено. Поскольку список известных типов нарушений нельзя составить в исчерпывающей полноте по отношению ко всем возможным или будущим инцидентам, необходимо описать поддержку для "прочих" нарушений.
Следует определить, будет ли группа действовать на основе получаемой информации об уязвимостях, которые делают возможными будущие нарушения. Согласие учитывать такую информацию в интересах своих пользователей рассматривается как дополнительная профилактическая услуга, а не как обязательный сервис.
По поводу кооперации, взаимодействия и раскрытия информации необходимо проинформировать пользователей, с какими родственными группами налажено взаимодействие.
Правила докладов и раскрытия информации должны разъяснять, кто и в каких случаях имеет право получать доклады группы, предполагается ли работа силами другой группы или непосредственное взаимодействие с членом другого сообщества по вопросам, касающимся именно этого пользователя.
Необходимость взаимодействия с другими группами реагирования возникает часто. Например, корпоративная группа сообщает о нарушении национальной группе, которая, в свою очередь, передает доклад в другие страны, чтобы охватить все информационные системы, ставшие жертвами широкомасштабной атаки.
У некоторых поставщиков есть собственные группы реагирования, у других нет. В последнем случае группа должна работать непосредственно с поставщиком, чтобы предложить улучшения или изменения, проанализировать техническую проблему или протестировать предлагаемые решения. Если продукты поставщика оказываются вовлеченными в нарушение, он играет особую роль в реагировании.
Группы реагирования и пользователи должны соблюдать действующее законодательство, которое существенно различается в разных странах. Группа реагирования может давать рекомендации по техническим деталям атаки или запрашивать совета по правовым последствиям нарушения. В законодательстве нередко содержатся специфические требования к предоставлению докладов и соблюдению конфиденциальности.
Время от времени от прессы поступают запросы на информацию и комментарии. Явные правила, касающиеся передачи информации такого рода, весьма полезны; они должны разъяснять все вопросы как можно подробнее, поскольку пользователи весьма болезненно воспринимают контакты с журналистами.
Подразумеваемый статус любых сведений, получаемых группой и имеющих отношение к информационной безопасности, - "конфиденциально", однако, строгое следование этому положению превращает группу в информационную "черную дыру", что может уменьшить ее привлекательность как партнера для пользователей и других организаций. Необходимо определить, что именно докладывается или раскрывается, кому и когда.
Возможно, разные группы будут являться субъектами разного законодательства, требующего раскрытия информации или, напротив, ограничивающего его, особенно, если речь идет о группах из разных стран. Кроме того, они могут руководствоваться требованиями на доклады, налагаемыми спонсорскими организациями. Все такие ограничения должны быть специфицированы, чтобы прояснить ситуацию для пользователей и других групп.
Необходимо иметь политику, определяющую методы защиты и контроля коммуникаций. Это важно для взаимодействия как между группами, так и между группой и пользователями. В дополнение к максимально полному шифрованию критичной информации ее следует снабжать цифровой подписью.
Для упомянутой выше вымышленной группы реагирования XYZ-CERT определены специальные правила.
Типы нарушений и уровень поддержки. Группа XYZ-CERT уполномочена заниматься всеми видами нарушений безопасности, а также угрозами нарушений в университете XYZ.
Уровень поддержки, предоставляемой группой XYZ-CERT, зависит от типа и серьезности нападения, типа опекаемого сообщества, числа пострадавших, а также от количества наличных ресурсов, хотя в любом случае некоторый ресурс в течение рабочего дня будет выделен. Ресурсы выделяются в соответствии со следующими приоритетами, перечисленными по убыванию:

  • угрозы физической безопасности людей;
  • атаки на уровне суперпользователя или системном уровне на любую административную информационную систему или часть инфраструктуры магистральной сети;
  • атаки на уровне суперпользователя или системном уровне на любую машину, предоставляющую крупный сервис, многопользовательский или специализированный;
  • компрометация конфиденциальных счетов пользователей на сервисах ограниченного доступа или компрометация установок программного обеспечения, особенно тех, что используются администраторами и приложениями, работающими с конфиденциальными данными;
  • атака на доступность сервисов, перечисленных в предыдущем пункте;
  • любое из перечисленных выше нападений, направленных на другие системы и исходящих из университета XYZ;
  • масштабные атаки любого типа, например: перехват пакетов, атаки в IRC путем морально-психологического воздействия, атаки на пароли;
  • угрозы, причинение беспокойства и другие противоправные действия, направленные на отдельных пользователей;
  • компрометация отдельных счетов пользователей в многопользовательских системах;
  • компрометация настольных систем;
  • подделка, неправильное представление и другие относящиеся к безопасности нарушения местных правил: подделка новостей и электронной почты, несанкционированное использование роботов IRC;
  • атака на доступность отдельных счетов пользователей, в частности применение почтовых бомб.

Типы нарушений, не перечисленные выше, получают приоритет в соответствии со своей наблюдаемой серьезностью и масштабом.
Непосредственная помощь конечным пользователям не предоставляется; предполагается, что они будут взаимодействовать со своим системным или сетевым администратором или уполномоченным по отделу. С этими сотрудниками XYZ-CERT и будет работать.
В группе понимают, что уровень подготовки системных администраторов в университете XYZ может быть очень разным. Группа XYZ-CERT намерена предоставлять информацию и помощь в форме, понятной всем, тем не менее, она не может повышать квалификацию администраторов "на лету", равно как и администрировать системы вместо них. В большинстве случаев предоставляются ссылки на информацию, необходимую для принятия соответствующих мер.
Группа XYZ-CERT стремится информировать системных администраторов университета XYZ о потенциальных уязвимостях, по возможности до того, как их используют для нападений.
Кооперация, взаимодействие и раскрытие информации. Существуют законодательные и этические ограничения на раскрытие информации группой XYZ-CERT (многие из этих ограничений упомянуты в политике университета по отношению к вычислительным ресурсам; безусловно, все они будут соблюдаться), но группа подтверждает свою приверженность духу сотрудничества, создавшему Internet. Поэтому, принимая необходимые меры для сокрытия личной информации членов опекаемого сообщества и организаций-партнеров, группа, по возможности, станет свободно разделять информацию, если это целесообразно с точки зрения отражения или предупреждения нападений.
Далее в тексте под "пострадавшими сторонами" понимаются законные владельцы, операторы и пользователи вычислительных систем. В этот круг не входят неавторизованные пользователи, а также авторизованные пользователи, работающие с вычислительными системами неавторизованным образом; таким злоумышленникам не гарантируется сохранение конфиденциальности группой XYZ-CERT. Они могут иметь или не иметь законных прав на конфиденциальность; если такие права существуют, они, конечно, будут соблюдаться.
Информация, которая, возможно, будет распространяться, классифицируется следующим образом:

  • персональные данные пользователей. Это информация о конкретных пользователях или, в некоторых случаях, о конкретных приложениях, которая должна считаться конфиденциальной по юридическим, контрактным и/или этическим причинам. Персональные данные пользователей не будут раскрываться в узнаваемой форме за пределами группы XYZ-CERT; исключения оговорены ниже. Если личность пользователя скрыта, информация может распространяться свободно;
  • информация о злоумышленнике аналогична персональным данным пользователя, но относится к злоумышленнику. Хотя информацию о злоумышленнике (в частности, идентифицирующие данные) не сделают общедоступной (если только она уже не стала достоянием общественности, например, по причине возбуждения судебного преследования), ее будут свободно пересылать системным администраторам и группам реагирования, прослеживающим нарушение;
  • информация о частной системе - это техническая информация о конкретных системах или организациях. Она не будет разглашаться без согласия соответствующих организаций. Исключения оговорены ниже;
  • информация об уязвимостях - техническая информация об уязвимостях или атаках, включая исправления и сопутствующие меры. Она распространяется свободно, хотя и будут прилагаться все усилия, чтобы заинтересованный в ней поставщик получил ее раньше других;
  • информация, бросающая тень, - сообщение о том, что нарушение имело место, а также сведения о его масштабе или серьезности. Не будет распространяться без разрешения соответствующих организаций или пользователей. Исключения оговорены ниже;
  • статистическая информация - это информация, бросающая тень, снабженная удаленными идентифицирующими данными. Она распространяется по усмотрению отдела компьютерных услуг;
  • контактная информация позволяет обратиться к системным администраторам и группам реагирования. Она будет распространяться свободно, если только контактное лицо или организация не попросит об обратном или если группа XYZ-CERT не решит, что такое распространение вызовет недовольство.

Потенциальные получатели информации от группы XYZ-CERT также отнесены к различным категориям:

  • по роду своей деятельности, в том числе по соблюдению конфиденциальности, администраторы университета XYZ имеют право получать всю информацию, необходимую для эффективной реакции на нарушения безопасности, затрагивающие вверенные им системы;
  • системные администраторы университета XYZ также, в силу возложенных на них обязанностей, допущены к работе с конфиденциальной информацией. Однако, если эти лица не являются членами группы XYZ-CERT, они будут получать только те сведения, которые нужны им для проведения расследования или обеспечения безопасности вверенных им систем;
  • пользователи университетских систем допущены к информации, которая касается безопасности их собственных компьютерных счетов, даже если это означает утечку "информации о злоумышленнике" или "информации, бросающей тень" на другого пользователя;
  • университетское сообщество не будет получать никакой информации ограниченного распространения, если только стороны, затронутые нарушением, не дадут разрешения на распространение сведений. Статистическая информация может предоставляться общественности. Группа XYZ-CERT не считает себя обязанной информировать общественность о нарушениях, хотя и может делать это; в частности, вероятно, известит все заинтересованные стороны о том, каким образом они были атакованы, или одобрит распространение этими сторонами подобной информации;
  • широкая общественность не получит никакой информации ограниченного распространения. На самом деле, к ней не будут обращаться, хотя группа XYZ-CERT понимает, что сведения, сообщенные университетскому сообществу, могут стать всеобщим достоянием;
  • сообщество специалистов по информационной безопасности рассматривается наравне с широкой общественностью. Хотя члены группы XYZ-CERT могут принимать участие в дискуссиях в рамках этого сообщества, например, посредством телеконференций, списков рассылки (включая раскрывающий все детали список "bugtraq") и совещаний разного рода, они (члены группы) рассматривают такие форумы как обращение к широкой общественности. Хотя технические вопросы (в том числе уязвимости) могут обсуждаться сколь угодно подробно, все примеры, взятые из опыта группы XYZ-CERT, будут изменены, чтобы сделать невозможной идентификацию затронутых сторон;
  • пресса также рассматривается как часть широкой общественности. Группа XYZ-CERT не будет вступать с ней в непосредственные контакты по поводу нарушений безопасности, если только речь не идет о распространении сведений, уже ставших всеобщим достоянием;
  • другие организации и группы реагирования, являющиеся партнерами в расследовании нарушения безопасности, в некоторых случаях допустят к конфиденциальной информации. При этом добропорядочность внешних организаций подлежит проверке, а передаваемая информация будет сводиться к минимуму, полезному для ликвидации нарушения. Вероятнее всего, доступ к информации доверят организациям, хорошо известным группе XYZ-CERT;
  • поставщики, как правило, рассматриваются XYZ-CERT наравне с внешними группами реагирования. Приветствуется желание поставщиков всех видов сетевого и компьютерного оборудования, программного обеспечения и услуг повышать безопасность своих продуктов. С этой целью им будет передаваться информация об уязвимостях, обнаруженных в их продуктах, вместе с техническими деталями, позволяющими идентифицировать и ликвидировать проблему;
  • правоохранительные органы получат от группы XYZ-CERT всю информацию, необходимую для проведения расследования, в соответствии с политикой по отношению к вычислительным ресурсам.

Коммуникации и аутентификация. Проанализировав типы информации, с которой имеет дело группа XYZ-CERT, можно сделать вывод, что телефоны без средств шифрования можно считать достаточно безопасными. Нешифрованная электронная почта не особенно защищена, однако ее можно использовать для передачи данных низкой степени критичности.
Если по электронной почте нужно передать критичные данные, будет применяться PGP. С точки зрения безопасности, передача файлов по сети рассматривается наравне с электронной почтой: критичные данные должны шифроваться.
Когда необходимо получить уверенность в подлинности партнера, например, перед началом действий на основе информации, предоставленной группе XYZ-CERT, или перед раскрытием конфиденциальной информации, с высокой степенью надежности будет проверяться его личность и репутация.

Описание услуг группы реагирования
Услуги, оказываемые группой реагирования, можно разделить на две категории:

  • действия в реальном времени, непосредственно связанные с главной задачей - реагированием на нарушения;
  • профилактические действия, играющие вспомогательную роль и осуществляемые не в реальном масштабе времени.

Вторая категория и часть первой состоит из услуг, которые являются дополнительными в том смысле, что их предлагают не все группы реагирования.
Реагирование на нарушения обычно включает оценку входящих докладов ("классификация нарушений") и работу над поступившей информацией вместе с другими группами, поставщиками услуг Internet и иными организациями ("координация реагирования"). Третья группа услуг - помощь локальным пользователям в восстановлении нормальной работы после нарушения ("разрешение проблем") - обычно состоит из дополнительных сервисов, предоставляемых лишь частью групп.
Классификация нарушений обычно включает в себя следующие действия:

  • оценка докладов: входящая информация интерпретируется, классифицируется по степени важности, соотносится с продолжающимися событиями и выявляемыми тенденциями;
  • верификация; определяется, действительно ли имеет место нарушение и каковы его масштабы.

Под координаций реагирования обычно понимается:

  • категорирование информации: информация, относящаяся к нарушению (регистрационные журналы, контактная информация и т.д.) категорируется согласно политике раскрытия сведений;
  • координация: в соответствии с политикой раскрытия сведений о нарушении извещаются другие стороны.

Перечислим действия, предоставляемые в рамках услуг по разрешению проблем:

  • техническая поддержка (например, анализ "взломанных" систем);
  • искоренение проблем: устранение причин нарушения (использованных уязвимостей) и его проявлений (например, прерывание сеанса пользователя-нарушителя);
  • восстановление: помощь в возвращении систем и услуг к состоянию, имевшему место до нарушения безопасности.

В профилактические действия входят:

  • предоставление информации. Под этим понимается поддержка архива известных уязвимостей, заплат, способов разрешения прошлых проблем или организация списков рассылки с рекомендательными целями; предоставление средств безопасности (например, средств аудита);
  • обучение и подготовка кадров;
  • оценка продуктов;
  • оценка защищенности организации, консультационные услуги.

Еще один важный момент - использование форм для докладов о нарушениях. Оно упрощает работу как пользователей, так и групп реагирования. Пользователи могут заготовить ответы на некоторые важные вопросы заранее, в спокойной обстановке. Группа сразу, в первом сообщении, получает всю необходимую информацию, что закладывает основу эффективного реагирования.
В зависимости от целей и набора услуг конкретной группы, может использоваться несколько форм. Например, форма для сообщения о новой уязвимости может существенно отличаться от доклада о нарушении. Лучше всего предоставлять формы в рамках оперативных информационных услуг группы. Точные ссылки на них должны присутствовать в документах, описывающих группу, вместе с перечнем правил пользования и руководством по порядку работы с формами. Если для "докладов по форме" поддерживаются отдельные адреса электронной почты, они также должны быть указаны.
Один из примеров - форма для доклада о нарушениях координационного центра CERT, представленная на Web-сервере http://www.cert.org/.
Документы, описывающие группу реагирования, не являются контрактом, но возможность последующих судебных санкций может вытекать из описания услуг и целей. По этой причине рекомендуется размещать в конце бланков соответствующий отвод (письменный отказ), предупреждающий пользователей о возможных ограничениях.
Группа XYZ-CERT предоставляет соответствующие задачам услуги.
Реагирование на нарушения. XYZ-CERT помогает системным администраторам в технических и организационных аспектах реагирования на нарушения. В частности, оказывается помощь или даются советы о следующих аспектах реагирования:

  1. Классификация нарушений:
    • выяснение того, действительно ли имеет место нарушение;
    • определение масштаба нарушения.
  2. Координация реагирования:
    • выяснение первоначальной причины нарушения (использованной уязвимости);
    • облегчение контактов с другими системами, возможно, затронутыми нарушением;
    • облегчение контактов со службой безопасности университета XYZ и/или правоохранительными органами, если это необходимо;
    • предоставление отчетов другим группам реагирования;
    • составление уведомлений для пользователей, если это необходимо.
  3. Разрешение проблем:
    • устранение уязвимостей;
    • ликвидация последствий нарушения;
    • оценка возможных дополнительных действий с учетом их стоимости и риска (например, исчерпывающее расследование или дисциплинарные действия: сбор улик после нарушения, накопление информации во время инцидента, установка ловушек для злоумышленников и т.п.);
    • возможный сбор улик для судебного преследования или дисциплинарных акций.

Кроме того, группа XYZ-CERT накапливает статистическую информацию о нарушениях, затрагивающих университетское сообщество, и, при необходимости, информирует сообщество, помогая ему защититься от известных атак.
Чтобы воспользоваться услугами группы XYZ-CERT по реагированию на нарушения, следует направить электронное письмо по контактному адресу.
Профилактические действия. Группа XYZ-CERT координирует и предоставляет следующие услуги в объеме, возможно, зависящем от наличия ресурсов:

  1. Информационное обслуживание:
    • список контактных координат уполномоченных лиц по безопасности в отделах (административных и технических). Эти списки общедоступны по таким каналам, как Web;
    • списки рассылки для информирования уполномоченных лиц о появлении новой информации, относящейся к их компьютерной среде, которые доступны только для системных администраторов университета XYZ;
    • хранилище защитных заплат, распространяемых поставщиками или источниками, для различных операционных систем. Хранилище общедоступно, если это позволяют лицензионные соглашения. Доступ к нему предоставляется по обычным каналам - Web и/или ftp;
    • хранилище защитного инструментария и документации для использования системными администраторами. По возможности предоставляются предварительно скомпилированные версии, готовые к установке. Как обычно, доступ предоставляется через Web или ftp;
    • подготовка краткого изложения инцидента для различных информационных ресурсов, включая основные списки рассылки и телеконференции. Результирующие аннотации распространяются через списки рассылки с ограниченным доступом или через Web, в зависимости от критичности и срочности информации.
  2. Повышение квалификации:
    • члены группы XYZ-CERT периодически проводят семинары по различным аспектам информационной безопасности; системные администраторы университета XYZ приглашаются на эти занятия.
  3. Аудит безопасности:
    • проверка целостности основных файлов;
    • присвоение уровней безопасности. Машины и подсети в университете XYZ проверяются на предмет присвоения им уровня безопасности. Информация об уровнях доступна университетскому сообществу, чтобы упростить установку соответствующих прав доступа;
    • централизованное протоколирование для машин, поддерживающих удаленное протоколирование в Unix-стиле. Регистрационные журналы автоматически просматриваются анализирующей программой, а события или тенденции, указывающие на потенциальные проблемы безопасности, доводятся до сведения соответствующих системных администраторов; - сохранение записей о нарушениях безопасности. Хотя эти записи остаются конфиденциальными, периодически готовятся и распространяются статистические отчеты.

Детальное описание перечисленных выше услуг вместе с инструкциями по присоединению к спискам рассылки, скачиванию информации или получению таких услуг, как централизованное протоколирование или проверка целостности файлов, доступны через Web-сервер группы XYZ-CERT.
На этом мы завершаем рассмотрение спецификации Internet-сообщества "Как реагировать на нарушения информационной безопасности".

 

 
На главную | Содержание | < Назад....Вперёд >
С вопросами и предложениями можно обращаться по nicivas@bk.ru. 2013 г.Яндекс.Метрика