Регистрация событий информационной безопасности

Содержание

Слайд 2

Регистрация событий безопасности в ИС

Одним из направлений развития средств обеспечения безопасности информационных

Регистрация событий безопасности в ИС Одним из направлений развития средств обеспечения безопасности
систем является создание и усовершенствование средств регистрации и анализа событий безопасности. Обычно процесс регистрации событий безопасности в ИС принято называть аудитом.

Возможности аудита существуют во многих операционных системах (ОС) и прикладном программном обеспечении (ПО). Часто подсистемы аудита обеспечивают лишь регистрацию информации о различных событиях, возможности анализа зачастую отсутствуют, а если и существуют, то очень ограниченные. Поэтому для эффективного решения задачи регистрации и анализа событий безопасности требуется специальное программное обеспечение, которое использует данные встроенных подсистем аудита операционных систем и прикладного программного обеспечения.

Слайд 3

подключение машинных носителей информации и вывод персональных данных на носители информации; 

запуск (завершение)

подключение машинных носителей информации и вывод персональных данных на носители информации; запуск
программ и процессов (заданий, задач), связанных с обработкой персональных данных; 

попытки удаленного доступа. 

В ИСПДн как минимум подлежат регистрации следующие события: 

Слайд 4

оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные

оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные
с действиями от имени привилегированных учетных записей (администраторов);

оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей;

Обязанности оператора по РСБ: 

Слайд 5

РЕАГИРОВАНИЕ
НА СБОИ

В информационной системе персональных данных должно осуществляться реагирование на сбои при

РЕАГИРОВАНИЕ НА СБОИ В информационной системе персональных данных должно осуществляться реагирование на
регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема памяти. Реагирование на сбои при регистрации обязано предусматривать: - предупреждение администраторов при регистрации событий безопасности; - реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности

Слайд 6

ИНЦИДЕНТ

Согласно международным регламентам, инцидентом информационной безопасности является единичное событие нежелательного и непредсказуемого

ИНЦИДЕНТ Согласно международным регламентам, инцидентом информационной безопасности является единичное событие нежелательного и
характера, которое способно повлиять на бизнес-процессы компании, скомпрометировать их или нарушить степень защиты информационной безопасности.

На практике к этому понятию относятся разноплановые события, происходящие в процессе работы с информацией, существующей в электронной форме или на материальных носителях. К ним может относиться и оставление документов на рабочем столе в свободном доступе для другого персонала, и хакерская атака – оба инцидента в равной мере могут нанести ущерб интересам компании.

Слайд 7

нарушение порядка взаимодействия с Интернет-провайдерами, хостингами, почтовыми сервисами, облачными сервисами и другими

нарушение порядка взаимодействия с Интернет-провайдерами, хостингами, почтовыми сервисами, облачными сервисами и другими
поставщиками телекоммуникационных услуг;

отказ оборудования по любым причинам, как технического, так и программного характера;

нарушение работы программного обеспечения;

нарушение любых правил обработки, хранения, передачи информации, как электронной, так и документов;

неавторизированный или несанкционированный доступ третьих лиц к информационным ресурсам;

выявление внешнего мониторинга ресурсов;

выявление вирусов или других вредоносных программ;

любая компрометация системы, например, попадание пароля от учетной записи в открытый доступ.

Все эти события должны быть классифицированы, описаны и внесены во внутренние документы компании, регламентирующие порядок обеспечения информационной безопасности.

Слайд 8

События информационной безопасности фиксируются документально в журнале учета событий информации.

Журнал событий

События информационной безопасности фиксируются документально в журнале учета событий информации. Журнал событий

Слайд 9

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

обследование автоматизированной системы.
В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга информационной безопасности;

Слайд 10

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

разработка технического проекта,
в котором описывается конфигурация оборудования и программного обеспечения, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;

Слайд 11

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

обучение сотрудников,
которые будут отвечать за эксплуатацию системы мониторинга информационной безопасности;

Слайд 12

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

создание пилотного района
для тестового внедрения системы мониторинга информационной безопасности. Если объектом мониторинга является территориально-распределённая система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте.

Слайд 13

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

промышленное внедрение системы мониторинга.
Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;

Слайд 14

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие
основные этапы:

техническое сопровождение системы
мониторинга информационной безопасности.