Услуги

Расследование инцидентов информационной безопасности

В последнее время количество преступлений в сфере компьютерных технологий только растет, ибо технический прогресс принес нам не только высокое качество жизни, но и различные новые виды киберпреступности. Постиндустриальные сферы экономики являются наиболее прибыльными, поэтому преступники тоже активно их «осваивают», ведь основная цель злоумышленников – это получение больших денег быстрым и легким путем. Проблем у специалистов информационной безопасности прибавляется с каждым днем, т.к. надо оперативно и грамотно реагировать на инциденты ИБ, а также уметь их расследовать.
    Инцидент ИБ — это системное событие, в рамках которого произошло нарушение политики безопасности организации.
Реагирование на инцидент — это действия, направленные на обнаружение компьютерной информации, относящейся к инциденту, сохранение ее целостности и юридической значимости и сбор других сведений, имеющих отношение к инциденту.
Расследование инцидента — исследование компьютерной  и другой имеющей отношение информации с целью выявления всех обстоятельств инцидента  и причастных к нему лиц.
    Обрисуем кратко, как должна быть построена система управления инцидентами в организации:
1.    Обнаружение и регистрация инцидента.
2.    Устранение причин и последствий инцидента.
3.    Расследование инцидента.
4.    Осуществление корректирующих и превентивных мероприятий.
Специалисты ИБ классифицируют инциденты по различным признакам, например, бывают внешние и внутренние инциденты.
Внешний инцидент — инцидент, источником которого является нарушитель, не связанный с пострадавшей организацией непосредственно (например, хакерская группировка).
Внутренний инцидент — инцидент, источником которого является нарушитель, который связан с пострадавшей компанией непосредственно (например, сотрудник компании).
    Инциденты также могут быть классифицированы:
     - по величине и видам ущерба (например, высокий или низкий материальный ущерб, прямой финансовый ущерб, репутационные издержки, штрафы регуляторов и т.д.);
     - по последствиям инцидента (нарушения целостности, конфиденциальности или доступности информации).
    Типы инцидентов ИБ, которые наиболее часто встречаются в организациях:
-    заражение компьютерными вирусами;
-    несанкционированный доступ (НСД) к информационной системе компании;
-    сбои в работе сетей и систем;
-    нарушение политики ИБ компании;
-    физическое хищение (документов, средств вычислительной техники, носителей данных);
-    раскрытие конфиденциальной информации.
С какими целями проводится расследование инцидентов?
- локализировать и предотвратить последствия инцидентов ИБ;
- установить виновных и обозначить их мотивацию, по возможности привлечь их к ответственности;
- проанализировать причины инцидента и принять меры по предотвращению в будущем.
Какой алгоритм действий при расследовании инцидента?
-  собрать все  свидетельства и провести их анализ;
-  найти виновных и установить меру их ответственности;
-  выявить  причины инцидента;
-  наметить рекомендации по принятию мер по предотвращению инцидентов;
-  обеспечить хранение и защиту материалов расследования.
    При проведении расследования исследователь, как правило, выявляет активных пользователей, подозрительные процессы в системе, анализирует системные и др. журналы (лог-файлы и т.д.), изучает конфигурацию системного ПО, оборудования и т.д., ищет подозрительные файлы, возможные следы атаки, проверяет систему на наличие вирусов, проводит контроль целостности данных.
    Как проводится работа с электронными свидетельствами?  
1)    Фиксируется состояние исследуемого объекта на момент развития инцидента (например, дамп оперативной памяти). Для этого используются специальные программы и утилиты.
2)    Обеспечивается  хронология сбора свидетельств и их связность.
3)    Должна быть обеспечена целостность, подлинность и аутентичность доказательств.
Исследователи отвечают лично за сохранность электронных доказательств и соблюдение вышеперечисленных принципов. Работа с электронными доказательствами осуществляется специалистами по компьютерной форензике (Computer forensics).
Computer Forensics (форензика) - занимается поиском, идентификацией, получением данных из компьютерных систем и их специальной обработкой с целью использования в качестве доказательств в ходе расследования инцидента. Это может быть, как внутреннее расследование, так и расследование в рамках гражданского или уголовного дела. Специалисты по компьютерной форензике используют специальное программное обеспечение и методики работы, которые прописаны в нормативных документах.
Как мы видим, расследование инцидентов ИБ – это серьезная задача, которая по силам только квалифицированным специалистам. В  компании «ITCS» есть профессиональные исследователи, которые проведут расследование инцидента ИБ, а также выработают рекомендации по устранению причин и последствий инцидентов ИБ.

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами