Bezpieczenstwo systemow informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi ebook

© edu-Libri s.c. 2012

Redakcja merytoryczna i korekta: edu-Libri

Projekt okładki i stron tytułowych: GRAFOS

Wydawnictwo edu-Libri ul. Zalesie 15, 30-384 Kraków e-mail: [email protected]

Skład i łamanie: GRAFOS Druk i oprawa: Sowa Sp. z o.o., Warszawa

ISBN 978-83-63804-00-8 ISBN e-book 978-83-63804-01-5 (PDF) ISBN e-book 978-83-63804-02-2 (epub)

Wstęp

Przygotowaliśmy ten poradnik, kierując się własnym doświadczeniem – a zajmujemy się tymi zagadnieniami od ponad 20 lat – i obserwacjami czynionymi przy okazji licznych spotkań zawodowych, w których uczestniczymy. Ma on być odpowiedzią na specyfikę wyzwań, stawianych coraz częściej z jednej strony przez przepisy, a z drugiej strony przez wykształcone przez kilkanaście lat wzorce dobrych praktyk, w tym normy – międzynarodowe i krajowe. Ustawiają one na dającym się określić, niekiedy bardzo wysokim, poziomie poprzeczkę wymagań, jakie muszą być spełniane przez poszczególne organizacje. Co ciekawe, dotyczą one zagadnień z wielu obszarów i aspektów prowadzenia biznesu, w tym prawa i kilku dyscyplin techniki. Oznacza to, że nie jest możliwe, aby osoby odpowiedzialne za bezpieczeństwo informacji i systemów, w jakich są one przetwarzane, mogły być specjalistami w każdej z nich. A mimo że nie są specjalistami od wszystkiego, to muszą sprostać stawianym im zadaniom. To dlatego w tej dziedzinie tak wielkie znaczenie mają standardy dobrych praktyk.

Poradnik mówiący o tym, jak zapewniać odpowiedni poziom bezpieczeństwa systemów informacyjnych musi odwoływać się do pełnej interpretacji tego zagadnienia, a to oznacza przedstawienie nierozerwalnej triady problemowej: ryzyko – bezpieczeństwo – ciągłość działania. Z jednej strony, rozwiązania zapewniania bezpieczeństwa, jeśli mają być racjonalne, zawsze są odpowiedzią na określone rodzaje ryzyka, co oznacza, że logicznym początkiem zapewniania bezpieczeństwa jest identyfikowanie i analiza poszczególnych rodzajów ryzyka zagrażających organizacji. Z drugiej strony, żadne zabezpieczenia nie mogą być zawsze i w każdych warunkach skuteczne, a więc należy zakładać ich zawodność i na taką okoliczność szykować plany zapewniania ciągłości działania.

Powyższe wnioski są podstawą pomysłu na ten poradnik. Pokazuje on, jak interpretować kwestie bezpieczeństwa systemów informacyjnych, jakimi standardami (normami) i metodami się posługiwać, do jakich wzorców dobrych praktyk sięgać, jakie ośrodki doskonalące te praktyki obserwować, z jakim środowiskiem specjalistów się konsultować. Poradnik jest szczegółowy, w wielu fragmentach ma charakter list kontrolnych, które mają podpowiadać, jakie problemy i rozwiązania rozważać.

Poradnik jest skierowany w pierwszej kolejności do administratorów bezpieczeństwa systemów informacyjnych, ale nie tylko. Także do szeroko rozumianej kadry kierowniczej organizacji różnych branż, charakteru i wielkości, bowiem od tej kadry, znacznie częściej niż od administratorów, zależy faktyczne bezpieczeństwo. Także do specjalistów różnych profesji, którzy do zapewniania bezpieczeństwa mogą się w organizacjach przyczyniać. Rzecz bowiem w tym, że stan bezpieczeństwa budują wszyscy, a zburzyć go może już jedna osoba.

Poradnikowi nadaliśmy formę książki elektronicznej. Taki jest duch czasów, w których pracujemy, ale równocześnie ta forma powinna przysłużyć się i Czytelnikom, i treści. Posługującym się nią specjalistom będzie łatwiej mieć ją pod ręką. Autorom będzie łatwiej rozwijać jej treść, uważamy bowiem, że poradniki elektroniczne nieuchronnie zmierzają ku formule tematycznego repozytorium informacji, które stale jest wzbogacane o nowe treści, w dodatku w różnych formach. Chcielibyśmy, aby nasz poradnik można było w przyszłości aktualizować zgodnie ze zmieniającymi się standardami, wzbogacać o np. znaczące case-study, nowocześnie ilustrować, dopasowywać fragmentami do krystalizujących się specjalizacji w dziedzinie bezpieczeństwa.

4. Zarządzanie reakcją na incydenty związane z naruszaniem bezpieczeństwa informacji

Organizacja, która poważnie traktuje bezpieczeństwo informacji powinna mieć odpowiednią strukturę i zasady:

Reakcja na incydenty z zakresu bezpieczeństwa informacji musi być oparta na jasnych założeniach, wynikać z przemyślanej organizacji i sprawnego współdziałania wszystkich zaangażowanych w nią jednostek. Każda organizacja powinna uczyć się na incydentach związanych z naruszaniem bezpieczeństwa informacji, tworzyć odpowiednie zabezpieczenia oraz systematycznie weryfikować ogólne podejście do zarządzania nimi.

W niniejszym rozdziale zawarto informacje na temat korzyści, jakie można uzyskać dzięki właściwemu podejściu do zarządzania incydentami związanymi z naruszaniem bezpieczeństwa informacji oraz zasad postępowania, aby było to możliwe. Podano argumenty pozwalające przekonać zarządzających organizacją, że program powinien być wprowadzony i stosowany. Opisano przykłady incydentów związanych z naruszaniem bezpieczeństwa informacji, analizując ich możliwe przyczyny, jak również opisano proces planowania i wymaganą do wprowadzenia skutecznej struktury zarządzania incydentami dokumentację. Szybkie, skoordynowane i skuteczne reagowanie na zdarzenia naruszające ochronę informacji wymaga technicznego i proceduralnego przygotowania. Reakcja na incydenty naruszenia bezpieczeństwa może polegać na podejmowaniu działań natychmiastowych, krótko- i długoterminowych. Działania takie powinny być oparte na wcześniej opracowanych, udokumentowanych i przyjętych procedurach, w tym na analizie doświadczeń. Rozdział ten dostarcza porad i wskazówek menedżerom bezpieczeństwa informacji, gestorom systemów informacji lub usług oraz zarządzającym sieciami o tym, jak zbudować skuteczny system zarządzania incydentami naruszania bezpieczeństwa informacji.

Terminologia związana z zarządzaniem incydentami nie jest jeszcze jednoznacznie ustalona. Szereg pojęć określono w normie [PN-I-02000:2002], a część w normie [PN-ISO/IEC 27001:2007], ale niestety są pewne różnice. Najbardziej istotne pojęcia zdefiniowano w specjalistycznym raporcie [ISO/IEC TR 18044:2004]1, niestety nie jest to zatwierdzony standard.

Najistotniejsze jest pojęcie incydentu. W normie [PN-I-02000:2002] napisano „incydent związany z naruszeniem bezpieczeństwa − każde działanie lub okoliczność wpływająca na sklasyfikowaną informację, odbiegające od zatwierdzonych wymagań dotyczących bezpieczeństwa” oraz „incydent związany z naruszeniem bezpieczeństwa systemu informatycznego − niekorzystne zdarzenie związane z systemem informatycznym, które według wewnętrznych reguł lub zaleceń dotyczących bezpieczeństwa jest awarią i/lub powoduje domniemane lub faktyczne naruszenie ochrony informacji albo powoduje naruszenie własności”.

Raport [ISO/IEC TR 18044:2004] wprowadza pojęcie „zdarzenie naruszenia bezpieczeństwa informacji (an information security event) to wystąpienie określonego stanu systemu, usługi lub sieci, który wskazuje na możliwe przełamanie polityki bezpieczeństwa informacji, defekt zabezpieczeń lub wcześniej nierozpoznaną sytuację, która może mieć związek z bezpieczeństwem”.

Natomiast w normie [PN-ISO/IEC 27001:2007] czytamy: „incydent związany z bezpieczeństwem informacji jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji”.

W tym poradniku będziemy używać pojęcia „incydent związany z naruszeniem bezpieczeństwa informacji”,przez co należy rozumieć niepożądane lub niespodziewane pojedyncze zdarzenie (lub ich serię), wpływające na stan systemu, usługę lub sieć, mogące spowodować naruszenie zasad polityki bezpieczeństwa informacji, błędne działanie zabezpieczenia, nieznaną sytuację, która ze znacznym prawdopodobieństwem może wywołać zakłócenia działań biznesowych lub zakłócenia zagrażające bezpieczeństwu informacji.

4.1. Podstawowe zagadnienia i korzyści związane z zarządzaniem incydentami

Realizacja każdego procesu zarządzania wiąże się z określonymi kosztami, dlatego szereg organizacji nie podejmuje systematycznego zarządzania incydentami najprawdopodobniej dlatego, że nie zdaje sobie sprawy z korzyści, jakie można uzyskać. Tymczasem warto zarządzać incydentami, gdyż powoduje to:

Aby zarządzanie reakcją na incydent spełniało właściwie swoje zadanie i przynosiło wspomniane korzyści, należy brać pod uwagę wymienione dalej zagadnienia.

Zaangażowanie kierownictwa wszystkich szczebli. Bez niego zarządzanie reakcją na incydent nie odniesie spodziewanych efektów. Zaangażowanie to powinno się przejawiać w motywowaniu osób odpowiedzialnych za czynności związane z zarządzaniem incydentami, dokonywaniu regularnych przeglądów prowadzonej ewidencji oraz inicjowaniu szkoleń aktualizujących wiedzę pracowników w tym zakresie.

Uświadamianie. Wysoka świadomość pracowników co do możliwych incydentów jest czynnikiem, który w istotny sposób wpływa na poziom ryzyka w organizacji. Świadomi pracownicy są w stanie unikać niekorzystnych zdarzeń, wskazywać na występujące luki i nieprawidłowości, proponować środki zaradcze oraz precyzyjnie określać czynniki ryzyka w odniesieniu do zagrożeń, z jakimi mogą mieć do czynienia.

Aspekty prawne i regulacyjne. Każda organizacja funkcjonuje w określonym systemie prawnym i organizacyjnym. System ten obejmuje ogólny układ legislacyjny, wiele regulacji lokalnych i wewnątrzorganizacyjnych oraz szereg standardów i norm. Znajomość wymagań mających związek z zarządzaniem incydentami, a wynikających z tego systemu, ma duży wpływ na właściwą realizację procedur w tym zakresie. System taki stawia bowiem inne wymagania dużym organizacjom finansowym, a inne organizacjom z kręgu średnich czy małych przedsiębiorstw. Niezależnie jednak od tych różnic należy:

Skuteczność operacyjna i jakość.Ich zapewnienie polega na:

Anonimowość. Osobom udzielającym informacji o źródłach zagrożeń i sprawcach naruszania bezpieczeństwa należy zapewnić anonimowość. Jest to ważne z uwagi na ich bezpieczeństwo, ale również zapewnia kontynuację współpracy z tymi osobami.

4.2. Przykłady incydentów związanych z naruszaniem bezpieczeństwa informacji

Wyszczególnienie wszystkich potencjalnych rodzajów zagrożeń czy incydentów nie jest możliwe. W Internecie można znaleźć raporty zawierające wiele przykładów incydentów, żadna jednak ich lista na pewno nie jest zamknięta. Poniżej przytoczono przykładowe kategorie [ISO/IEC TR 18044:2004], które mogą zagrozić działalności prowadzonej przez organizację.

Po wykonaniu rozpoznania następuje bezpośredni atak2, w wyniku którego dochodzi do naruszenia ochrony fizycznej i przez to nieautoryzowany dostęp do informacji lub kradzież urządzeń zawierających ważne dane, a w konsekwencji:

Najczęstszą przyczyną wystąpienia tego rodzaju incydentów jest słaby lub źle skonfigurowany system operacyjny, niekontrolowane wprowadzanie zmian, awarie sprzętu i oprogramowania umożliwiające dostęp do informacji osobom, które nie mają do nich praw.

Inne przypadki to:

4.3. Procedury w zarządzaniu incydentami

Zarządzanie reakcją na incydent wchodzi w zakres zarządzania bezpieczeństwem a więc i w tym przypadku proces ten można przedstawić przy pomocy modelu PDCA – zwanym również cyklem Deminga (rys. 1.4). Tabela 4.1 przedstawia procedury w układzie modelu PDCA z uwzględnieniem specyfiki zarządzania incydentami.

4.3.1. Planowanie i przygotowanie

Od dokładności przeprowadzenia tego etapu zależy jakość realizowanych w przyszłości prac związanych z zarządzaniem incydentami. Po jego zakończeniu organizacja powinna być w pełni przygotowana do właściwego zarządzania incydentami. Na tym etapie podejmowane są następujące czynności:

Tabela 4.1. Procedury w układzie modelu PDCA stosowane w procesach zarządzania incydentami

Planuj − Planowanie i przygotowanie(ustanowienie SZBI − plan)

Ustanowienie polityki bezpieczeństwa, jej celów, zakresu stosowania, procesów i procedur odpowiadających zarządzaniu ryzykiem oraz zwiększających bezpieczeństwo informacji, tak aby uzyskać wyniki zgodne z ogólnymi zasadami i celami organizacji.

Wykonaj − Stosowanie

(wdrożenie i eksploatacja SZBI − do)

Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur.

Wdrażanie procedur i innych zabezpieczeń zdolnych do zapewnienia natychmiastowego wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa.

Sprawdzaj − Przegląd

(monitorowanie i przegląd SZBI − check)

Ocena lub nawet pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, celów i praktycznych doświadczeń oraz przekazywanie kierownictwu wyników przeglądu.

Realizowanie procedur monitorowania i przeglądu oraz innych zabezpieczeń w celu natychmiastowego identyfikowania naruszeń bezpieczeństwa i incydentów, zakończonych niepowodzeniem lub sukcesem.

Działaj −Doskonalenie

(utrzymanie i doskonalenie SZBI − act)

Podejmowanie działań korygujących i prewencyjnych na podstawie wyników przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie SZBI.

Źródło: opracowanie własne na podstawie: [ISO/IEC TR 18044:2004].

Prace przygotowawcze. Skuteczne i efektywne wprowadzenie w życie schematu zarządzania incydentami jest uwarunkowane podjęciem i zakończeniem z sukcesem kilku działań przygotowawczych, do których należy zaliczyć:

Opracowanie polityki zarządzania incydentami naruszania bezpieczeństwa informacji. Celem polityki jest wskazanie podstawowych zasad zarządzania incydentami naruszania bezpieczeństwa informacji w organizacji, które będą podstawą do opracowania i wdrożenia procesu zarządzania incydentami. Polityka powinna być zatwierdzona przez najwyższe kierownictwo organizacji, a fakt ten powinien być udokumentowany.

Polityka jest przeznaczona dla wszystkich osób posiadających uprawniony dostęp do zasobów informacyjnych organizacji. Powinna być dostępna dla każdego pracownika, współpracownika lub zleceniobiorcy organizacji oraz powinna być uwzględniona w programie uświadamiającym i szkoleniowym.

Polityka powinna:

Wiedza na ten temat pozwala pracownikom organizacji zrozumieć podstawy działania i umocowanie ZRIBI, co z kolei umożliwia zbudowanie zaufania do ZRIBI. Przed opublikowaniem tych informacji należy dokonać ich weryfikacji z prawnego punktu widzenia. Należy wziąć pod uwagę fakt, że w niektórych przypadkach ujawnienie uprawnień danego członka ZRIBI może go narazić na naciski wynikające z podległości służbowej.

Postępowanie z incydentami naruszania bezpieczeństwa informacji. Ustalenie modelu właściwego postępowania z incydentami może polegać na opracowaniu szczegółowej dokumentacji opisującej procesy i procedury takiego postępowania oraz sposoby komunikowania o incydentach. Dokumenty te są używane w przypadku wykrycia zdarzenia i służą za poradnik w zakresie:

Dokumentacja zarządzania incydentami jest przeznaczona dla wszystkich pracowników organizacji, w szczególności:

Dokumentacja zarządzania incydentami powinna zawierać wymienione poniżej elementy.

Dokumentacja postępowania z incydentami powinna określać zarówno natychmiastową, jak i długoterminową reakcję na incydenty. Wszystkie incydenty wymagają bowiem jak najszybszej oceny potencjalnych negatywnych skutków w krótkiej i długiej perspektywie czasu. Dodatkowo, w przypadku wystąpienia zupełnie nieprzewidzianych wcześniej incydentów, podjęcie reakcji może oznaczać konieczność zastosowania rozwiązań tymczasowych (ad hoc). Nawet w takich sytuacjach opis sposobu postępowania z incydentami powinien podawać ogólne wytyczne co do kroków, jakie trzeba wykonać.

Po wystąpieniu incydentu należy podjąć takie czynności, dzięki którym w sposób systematyczny i dokładny można będzie ustalić przyczyny jego zaistnienia oraz które pozwolą przygotować właściwą dokumentację. Ułatwi ona i usprawni działania w tym zakresie w przyszłości. Do najważniejszych czynności należą:

Stosownie do wniosków wynikających z incydentów, należy dążyć do wprowadzenia udoskonaleń, mając w szczególności na względzie:

W organizacji potrzebne są udokumentowane i sprawdzone procedury, które powinny między innymi:

ZRIBI powinien zagwarantować publiczny dostęp do porad oraz rezultatów z analizy incydentów, w czytelnej i zrozumiałej dla wszystkich pracowników postaci. Niektóre z tych procedur mogą być opatrzone klauzulą „poufne”. Zwłaszcza powinno to dotyczyć informacji szczegółowych o zastosowanych zabezpieczeniach, sposobach śledzenia zdarzeń i sposobach reakcji na zaistniałe incydenty. Ma to na względzie ochronę przed możliwością manipulacji wewnątrz organizacji, jak również wrogimi działaniami z zewnątrz.

Treść procedur zależy od kilku czynników:

Procedura powinna określać podejmowane kroki i osobę (lub osoby), która ma je podejmować. W procedurze powinny być wykorzystane doświadczenia wewnętrzne i zewnętrzne. Procedury są opracowywane przede wszystkim dla znanych typów zdarzeń i incydentów, ale również dla nieznanych. Dla nieznanych typów zdarzeń i incydentów określa się:

Należy zaplanować regularne kontrole oraz testowanie procesu i procedur, tak aby było możliwe ujawnienie i wskazanie potencjalnych wad oraz problemów, mogących wystąpić w trakcie zarządzania zdarzeniami lub incydentami. Jakakolwiek zmiana, która wynika z przeglądu dokonanego po wyjaśnieniu zdarzenia lub incydentu, powinna być drobiazgowo i dokładnie sprawdzona oraz testowana przed wprowadzeniem w życie.

Polityka bezpieczeństwa informacji i polityka zarządzania ryzykiem. Włączenie kwestii zarządzania reakcją na incydent do polityki bezpieczeństwa informacji, polityki zarządzania ryzykiem oraz polityk poszczególnych systemów:

Wszystkie wymienione polityki powinny być aktualne i wyraźnie odnosić się do polityki zarządzania reakcją na incydent. Dodatkowo wymagają one określenia mechanizmów przeglądania w celu zagwarantowania, że wszelkie informacje pochodzące z wykrywania, zgłaszania, monitorowania lub rozwiązywania incydentów, są wykorzystywane do aktualizowania zasad zarządzania i polityk bezpieczeństwa poszczególnych systemów.

Utworzenie Zespołu Reagowania na Incydenty (naruszania) Bezpieczeństwa Informacji (ZRIBI). Powołanie ZRIBI oznacza wskazanie personelu uprawnionego do oceniania, reagowania i wyciągania wniosków z incydentów, a także do koordynacji postępowania będącego reakcją na incydent oraz zapewniania komunikacji między zainteresowanymi stronami. Dobrze zorganizowana działalność ZRIBI może w dużym stopniu przyczynić się do zmniejszenia strat materialnych i finansowych, jak również utrzymywania właściwego wizerunku i reputacji organizacji.

ZRIBI to grupa odpowiednio wyszkolonych i zaufanych osób (członków organizacji), która jest w stanie zapewnić właściwą reakcję na incydent naruszenia bezpieczeństwa informacji, wspomagana czasem przez zewnętrznych ekspertów, np. reprezentujących uznane zespoły reagowania, CERT itp. Przy powoływaniu tego zespołu należy pamiętać że:

Członkami ZRIBI mogą, a nawet powinny być osoby pracujące w różnych jednostkach organizacyjnych. Muszą one być łatwo osiągalne, dlatego też ich dane kontaktowe (oraz osób ich zastępujących) powinny być łatwo dostępne w organizacji. np. zawarte w dokumentacji reagowania na incydent, procedurach i formularzach.

Osoba kierująca pracami ZRIBI (zwykle jest to kierownik ZRIBI) powinna:

Powiązania zarządzania incydentami z innymi obszarami zarządzania. Kierownik i członkowie ZRIBI muszą mieć odpowiednie pełnomocnictwo, aby móc reagować na incydenty. Jednak działania, które mogą przynieść niepożądane efekty dla całej organizacji (finansowe lub związane z wizerunkiem), powinny być uzgadniane z najwyższym kierownictwem. Z tego powodu istotne jest wskazanie w dokumentacji reagowania na incydent przełożonego, którego kierownik ZRIBI informuje o poważnych incydentach.

Ważną sprawą jest również współpraca z mediami.Procedury określające i precyzujące odpowiedzialność za współpracę z mediami powinny być zaakceptowane przez najwyższe kierownictwo i udokumentowane. Powinny one precyzować:

Powiązanie z organizacjami zewnętrznymi. Efektywne i skuteczne wyjaśnianie oraz naprawianie sytuacji powstałych w wyniku incydentu wymaga nawiązywania odpowiednich kontaktów i współpracy między ZRIBI a:

Przygotowanie wsparcia technicznego i organizacyjnego. Duży wpływ na szybkie i efektywne reagowanie na incydenty ma stosowanie środków technicznych i organizacyjnych, do których można zaliczyć:

Środki techniczne wykorzystywane w celu szybkiego wypełniania bazy zdarzeń/incydentów, analizowania zawartych w niej informacji oraz ułatwienia reagowania na incydenty powinny zapewniać:

Wszystkie środki techniczne powinny być starannie dobrane, prawidłowo wdrożone i regularnie testowane (włącznie z testami kopii zapasowych).

Należy zauważyć, że opisane środki techniczne nie obejmują tych, które są wykorzystywane bezpośrednio do wykrywania incydentów oraz automatycznego powiadamiania.

Opracowanie programu uświadamiania i programu szkoleń. Zarządzanie reakcją na incydent jest procesem, który wymaga nie tylko środków technicznych, ale przede wszystkim ludzi. Powinno być ono wspierane przez osoby odpowiednio przeszkolone w zakresie ochrony informacji. Świadomość zadań oraz uczestnictwo w szkoleniach wszystkich pracowników organizacji są bardzo ważne dla odniesienia sukcesu w zarządzaniu incydentami. Z tego powodu zarządzanie reagowaniem na incydenty obejmuje promocję wiedzy o polityce bezpieczeństwa jako części korporacyjnego programu uświadamiającego i szkoleniowego. Program uświadamiający i związane z nim materiały muszą być dostępne dla wszystkich pracowników, włączając w to osoby nowo zatrudnione, współpracowników i zleceniobiorców. Powinien istnieć specjalny program szkoleniowy dla członków ZRIBI, grup wsparcia technicznego oraz dla administratorów systemów i osób związanych z ochroną informacji. Należy pamiętać, że każda z grup zaangażowanych bezpośrednio w zarządzanie reagowaniem na incydenty może wymagać szkoleń na różnym poziomie, w zależności od typu, częstotliwości oraz znaczenia ich powiązania z zarządzaniem reakcją na incydent. Szkolenia powinny obejmować:

W niektórych przypadkach może być wymagane, aby w wyraźny sposób zaznaczyć informacje na temat zarządzania incydentami w innych programach szkoleniowych (np. dla kadry zarządzającej lub dotyczących ogólnej tematyki bezpieczeństwa organizacji). Takie podejście może wydatnie przyczynić się do podniesienia efektywności i skuteczności programu szkoleniowego dla poszczególnych grup pracowników.

Przed operacyjnym wykorzystaniem dokumentacji zarządzania reakcją na incydent wszystkie zaangażowane w to osoby muszą poznać procedury wykrywania oraz opisywania zdarzeń i incydentów, a wybrane osoby powinny posiąść dogłębną wiedzę na temat wszystkich związanych z tym procesów. Następstwem powinny być regularne szkolenia, które dodatkowo powinny być wsparte przez szkolenia specjalistyczne oraz ćwiczenia symulujące sytuacje potrzeby wsparcia dla członków ZRIBI, administratorów i pracowników związanych z bezpieczeństwem informacji.

4.3.2. „Stosowanie” − wdrożenie i eksploatacja

Zgodnie z rysunkiem 1.4 i tabelą 4.1 „stosowanie” to faza, która obejmuje wdrożenie systemu zarządzania incydentami i jego eksploatację. W niniejszym podrozdziale zawarto przegląd kluczowych procesów realizowanych w ramach systemu zapewniania bezpieczeństwa informacji, omówiono procesy wykrywania, dokumentowania i zgłaszania zdarzeń naruszania bezpieczeństwa informacji, oceny zdarzenia/incydentu i podejmowania decyzji w przypadku wystąpienia incydentu naruszenia bezpieczeństwa informacji, jak również reagowania na zdarzenia naruszające ochronę informacji, w tym analizę kryminalistyczną.

Do kluczowych działań procesu zapewniania bezpieczeństwa informacji zalicza się:

Wszystkie zgromadzone informacje, które odnoszą się do zdarzeń i incydentów, powinny być przechowywane w bazie danych zarządzanej przez ZRIBI. Informacje zgłaszane w trakcie wszystkich faz procesu powinny być możliwie jak najbardziej kompletne i aktualne, aby umożliwić właściwą ocenę sytuacji oraz podejmowanie decyzji i działań (rys. 4.1).

Rysunek 4.1. Przepływ informacji w procesie zarządzania incydentami

Źródło: opracowanie własne na podstawie: [ISO/IEC TR 18044:2004].

Cele kolejnych faz procesu, po wykryciu, opisaniu i zgłoszeniu zdarzenia są następujące:

Wymienione wskazówki mogą dotyczyć:

Wykrywanie i zgłaszanie występowania zdarzeń naruszania bezpieczeństwa informacji. Zdarzenia mogą być wykrywane przez osoby, które zauważą coś niepokojącego, lub przez urządzenia albo środki techniczne (np. detektory wykrywania pożaru/dymu, systemy antywłamaniowe, zapory ogniowe, systemy IDS, narzędzia antywirusowe), które przesyłają sygnały alarmowe.

Niezależnie od źródła wykrycia zdarzenia naruszenia bezpieczeństwa informacji każda osoba powiadomiona o tym fakcie lub taka, która sama zauważyła coś niezwykłego, jest odpowiedzialna za zainicjowanie dalszego postępowania i za poinformowanie innych. Istotne jest, aby cały personel był świadomy możliwości zaistnienia naruszenia bezpieczeństwa informacji oraz miał dostęp do wytycznych opisujących zgłaszanie różnych typów zdarzeń.

Osoba zgłaszająca zdarzenie powinna wypełnić odpowiedni formularz, podając jak najwięcej dostępnych informacji. Istotne są nie tylko dokładność i kompletność informacji, niekiedy przede wszystkim czas.

Kiedy zawodzą domyślne drogi zgłaszania incydentów (np. poczta elektroniczna, strony WWW), a szczególnie w sytuacji kiedy system jest zaatakowany, a formularze zgłoszenia mogą być przeglądane i czytane przez osoby nieuprawnione, należy wykorzystać zapasowe środki powiadamiania.

W wielu przypadkach, zanim zdarzenie zostanie zgłoszone w celu podjęcia działań przez grupę wsparcia technicznego, może ono być rozwiązane przez użytkowników, jeśli są odpowiednio przygotowani do takiej sytuacji.

Należy zagwarantować, aby zdarzenia związane z naruszaniem bezpieczeństwa informacji oraz wady systemów informacyjnych były zgłaszane w sposób umożliwiający szybkie podjęcie działań korygujących. Powinny zostać wdrożone formalne procedury zgłaszania zdarzeń naruszenia bezpieczeństwa. Wszyscy pracownicy, a także wykonawcy i użytkownicy systemów informacyjnych reprezentujący stronę trzecią powinni być uświadomieni w zakresie procedur zgłaszania różnych typów zdarzeń oraz słabości, które mogą mieć wpływ na bezpieczeństwo aktywów organizacji. Zaleca się ponadto, aby byli zobowiązani do niezwłocznego zgłaszania w wyznaczonym, zawsze dostępnym punkcie kontaktowym wszystkich zdarzeń związanych z bezpieczeństwem informacji oraz podatnościami zasobów na naruszenia tego bezpieczeństwa.

Procedury zgłaszania powinny określać:

W środowiskach, gdzie występuje poważne ryzyko wrogiej ingerencji, można wprowadzić specjalny rodzaj sygnału alarmowego „działanie pod przymusem” (jest to metoda tajnego informowania, że podejmowane działania są wykonywane „pod przymusem” np. terrorysty). Zaleca się, aby procedury obsługi zgłoszenia alarmu pod przymusem odzwierciedlały wskazywaną sytuację wysokiego ryzyka.

Przy zachowaniu należytej staranności w odniesieniu do poufności, analizy incydentów związanych z naruszeniem bezpieczeństwa informacji mogą być wykorzystane do podnoszenia świadomości użytkowników jako przykład tego, co może się zdarzyć, jak reagować na takie incydenty oraz jak ich unikać w przyszłości. Aby móc poprawnie postępować ze zdarzeniami związanymi z bezpieczeństwem informacji oraz incydentami naruszania tego bezpieczeństwa, niezbędnym może okazać się gromadzenie materiału dowodowego tak szybko, jak to możliwe.

Awarie lub inne nienormalne zachowania systemu informacyjnego mogą wskazywać na atak lub rzeczywiste naruszenie bezpieczeństwa i należy je zawsze zgłaszać jako zdarzenia związane z bezpieczeństwem informacji.

Wszyscy pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią, korzystający z systemów informacyjnych i usług powinni być zobowiązani do zgłaszania zaobserwowanych lub podejrzewanych niedoskonałości rozwiązań zapewniania bezpieczeństwa do kierownictwa albo bezpośrednio do swojego dostawcy usług, tak szybko, jak to możliwe, aby uniknąć incydentów związanych z naruszeniem bezpieczeństwa informacji. Mechanizm zgłaszania powinien być prosty, dostępny i osiągalny.

Nie należy, pod żadnym pozorem, próbować sprawdzać na własną rękę istnienia podejrzewanej słabości. Może to być zinterpretowane jako potencjalne niewłaściwe korzystanie z systemu i może spowodować szkody w systemie informacyjnym lub usłudze oraz pociągnąć za sobą konsekwencje prawne wobec osoby wykonującej takie próby.

Gromadzenie danych o naruszeniach bezpieczeństwa informacji. Jeśli działania podejmowane po wystąpieniu incydentu związanego z bezpieczeństwem informacji obejmują kroki prawne (natury cywilnoprawnej lub karnej), to zaleca się zgromadzenie, zachowanie i przedstawienie materiału dowodowego zgodnie z zasadami obowiązującymi w systemie prawnym. Zaleca się, przy zbieraniu i przedstawianiu materiału dowodowego, opracowanie i stosowanie procedur wewnętrznych na potrzeby postępowania dyscyplinarnego prowadzonego w organizacji.

W ogólnym przypadku zasady związane z materiałem dowodowym dotyczą:

Dopuszczalność materiału dowodowego jest osiągana, gdy systemy informacyjne organizacji są zgodne z opublikowanymi normami lub ogólnie przyjętymi zasadami tworzenia takiego materiału dowodowego.

Z kolei waga materiału dowodowego jest odpowiednia, gdy zapewniona jest jakość i kompletność zabezpieczeń używanych do ochrony materiału dowodowego (tzw. proces zabezpieczania materiału dowodowego). Mówi się w takim przypadku o utrzymaniu mocnego śladu dowodowego. Na ogół można to uzyskać pod następującymi warunkami:

Zaleca się:

Gdy incydent związany z naruszeniem bezpieczeństwa informacji jest wykryty po raz pierwszy, może nie być oczywiste, czy sprawa znajdzie finał w sądzie. Z tego powodu istnieje zagrożenie, że potrzebny materiał dowodowy zostanie zniszczony umyślnie lub przypadkowo, zanim zostanie określona rzeczywista waga incydentu. Przed decyzją o podjęciu odpowiednich działań prawnych, zaleca się zaangażowanie prawnika lub policji w celu określenia, jaki materiał dowodowy należy zabezpieczyć.

Materiały dowodowe mogą mieć charakter, który wykracza poza obszar działania i poza kompetencje organizacji. W takich przypadkach należy upewnić się, że organizacja jest uprawniona do zbierania informacji wymaganej jako materiał dowodowy. W celu zwiększenia szansy dopuszczenia materiału dowodowego zaleca się uwzględnienie wymagań uregulowań zewnętrznych wobec organizacji oraz wymagań prawa powszechnego.

Ocena zdarzenia naruszenia bezpieczeństwa informacji. Organizacja powinna zadbać o mechanizmy umożliwiające określanie i monitorowanie rodzajów, rozmiarów i kosztów incydentów związanych z naruszaniem bezpieczeństwem informacji. Zaleca się wykorzystywanie informacji zebranych w trakcie oceny takich incydentów do identyfikowania zdarzeń powtarzających się lub o znacznych konsekwencjach. Ocena incydentów może wskazać potrzebę rozszerzenia istniejących lub wdrożenia dodatkowych zabezpieczeń w celu zmniejszenia w przyszłości częstości występowania naruszeń bezpieczeństwa, rozmiaru szkód i kosztów z nimi związanych. Podobnie, incydenty takie powinny być analizowane w procesie przeglądu polityki bezpieczeństwa (patrz punkt 5.1.5).

Na tym etapie działań bardzo często potrzebne są specjalistyczne kompetencje, które zapewnia często grupa wsparcia technicznego złożona ze specjalistów różnych specjalności. Członek grupy wsparcia technicznego, który otrzymał wypełniony formularz zgłoszenia zdarzenia, powinien zapoznać się z jego treścią i potwierdzić ten fakt, wprowadzić formularz do bazy zdarzeń/incydentów. W dalszej kolejności powinien dokonać oceny w celu określenia, czy zdarzenie można zakwalifikować jako incydent, czy jako fałszywy alarm. Kopię wypełnionego formularza należy przekazać osobie zgłaszającej i jej bezpośredniemu przełożonemu.

Dane, ślady i dowody gromadzone na tym etapie mogą być później wykorzystane w trakcie dochodzenia lub wewnętrznego postępowania wyjaśniającego, wobec tego osoby zobowiązane do gromadzenia informacji i dokonywania oceny powinny być specjalnie przeszkolone w tym zakresie. Niezbędne jest odnotowywanie:

Jeśli zdarzenie jest określone jako prawdopodobny incydent, a członek grupy wsparcia technicznego ma odpowiednią wiedzę i kompetencje, wtedy może przeprowadzić dalszą ocenę. Rezultatem może być podjęcie działań zapobiegawczych, takich jak wskazanie potrzeby dodatkowych zabezpieczeń i polecenie ich przygotowania.

W przypadku zajścia zdarzeń identyfikowanych jako poważne incydenty powinien zostać poinformowany kierownik ZRIBI, natomiast w sytuacjach kryzysowych (w celu uruchomienia planu ciągłości działania) również najwyższe kierownictwo i kierownik zarządzania ciągłością działania.

Członek grupy wsparcia technicznego powinien zawrzeć w formularzu zgłoszenia zdarzenia lub incydentu jak najwięcej informacji. Oprócz części opisowej formularz powinien zawierać następujące informacje:

Przy określaniu potencjalnego lub rzeczywistego negatywnego wpływu incydentu na procesy biznesowe organizacji w związku z naruszeniem bezpieczeństwa informacji, pierwszym krokiem jest rozważenie, jakie mogą z tego wyniknąć konsekwencje. Mogą to być np.:

Wypełniony formularz powinien być przekazany do ZRIBI w celu przejrzenia i wprowadzenia do bazy zdarzeń/incydentów. Jeśli jest prawdopodobne, że postępowanie wyjaśniające potrwa dłużej, powinien zostać przygotowany raport.

Należy podkreślić, że członek grupy wsparcia technicznego dokonujący oceny, bazując na wytycznych pochodzących z dokumentacji postępowania z incydentami, powinien być świadomy:

Drugi etap oceny oraz potwierdzenie bądź nie, że zdarzenie jest incydentem, leży w kompetencji ZRIBI. Osoba przyjmująca zgłoszenie w ZRIBI powinna:

Jeśli istnieje niepewność, co do autentyczności zdarzenia lub kompletności informacji, to członek ZRIBI powinien dokonać oceny w celu określenia, czy incydent jest rzeczywisty, czy też jest fałszywym alarmem. Jeśli jest fałszywym alarmem, to zgłoszenie zdarzenia powinno być uzupełnione, dodane do bazy zdarzeń/incydentów i przekazane do kierownictwa ZRIBI. Kopię zgłoszenia należy przesłać do grupy wsparcia technicznego, osoby dokonującej zgłoszenia i jej bezpośredniego przełożonego.

Jeśli incydent jest rzeczywisty, wtedy członek ZRIBI (angażując w razie potrzeby innych członków ZRIBI) powinien dokonać dalszej oceny, której celem jest potwierdzenie, najszybciej jak to możliwe, tego:

Przeglądając potencjalne lub faktyczne niepożądane skutki incydentu dla procesów biznesowych organizacji w zakresie naruszenia bezpieczeństwa informacji, niezbędne jest potwierdzenie, jakie są z tym związane konsekwencje.

Reagowanie na incydenty naruszenia bezpieczeństwa informacji. Należy zagwarantować stosowanie spójnego i skutecznego podejścia do zarządzania incydentami związanymi z naruszaniem bezpieczeństwa informacji. Powinno to opierać się na wprowadzeniu uprawnień i odpowiedzialności za rozwiązania bezpieczeństwa oraz procedur skutecznej obsługi zdarzeń związanych z naruszaniem bezpieczeństwa informacji jako reakcji na ich zgłoszenia. Zaleca się też wdrożenie zasad ciągłego doskonalenia w zakresie reagowania, monitorowania, oceny i całościowego zarządzania takimi incydentami.

Wszędzie tam, gdzie jest to wymagane, zaleca się gromadzenie dowodów w celu zapewnienia zgodności z przepisami prawa.

Zaleca się wprowadzenie odpowiedzialności kierownictwa oraz procedur zapewniających szybką, skuteczną i uporządkowaną reakcję na incydenty związane z naruszaniem bezpieczeństwa informacji. Oprócz zgłaszania zdarzeń z tym związanych oraz słabości, zaleca się wykorzystywanie monitorowania systemów alarmowania do wykrywania incydentów związanych z naruszaniem bezpieczeństwa informacji. W procesie zarządzania takimi incydentami jest wskazane:

Zaleca się zapewnienie, że cele zarządzania incydentami związanymi z bezpieczeństwem informacji są uzgodnione z kierownictwem oraz że osoby odpowiedzialne za zarządzanie incydentami związanymi z naruszaniem bezpieczeństwa informacji rozumieją priorytety organizacji związane z obsługą takich incydentów.

Incydenty związane z naruszaniem bezpieczeństwa informacji mogą wykraczać poza granice organizacji lub kraju. Obsługa takich incydentów zwiększa potrzebę koordynacji i wymiany informacji na ich temat z organizacjami zewnętrznymi.

Wybór właściwego postępowania. W większości przypadków kolejną czynnością członka ZRIBI jest identyfikacja działania, które należy podjąć jak najszybciej w celu zajęcia się incydentem, zapisania szczegółów na formularzu zgłoszenia i w bazie zdarzeń/incydentów oraz powiadomienie o wszystkim właściwych osób lub grup. Może to skutkować zastosowaniem awaryjnych zabezpieczeń (np. wyłączeniem zaatakowanego systemu) lub zidentyfikowaniem innych stałych zabezpieczeń oraz powiadomieniem o działaniach właściwych osób lub grup. Jeśli nie zostało to jeszcze zrobione, to incydent może być sklasyfikowany przy użyciu zdefiniowanej wcześniej skali ważności i − jeśli jest wystarczająco poważny − należy poinformować o tym najwyższe kierownictwo. W przypadku sytuacji kryzysowej, należy powiadomić osobę odpowiedzialną za plan ciągłości działania (w celu ewentualnego uruchomienia tego planu), kierownika ZRIBI i najwyższe kierownictwo.

Przykładowym działaniem, które w przypadku umyślnych ataków na system należy natychmiast podjąć, może być pozostawienie podłączenia do Internetu lub innej sieci w celu:

Jednak, podejmując taką decyzję, należy brać pod uwagę, że:

Jeśli tylko taka decyzja zostanie podjęta, to musi być zapewniona techniczna możliwość szybkiego i pewnego odcięcia lub wyłączenia zaatakowanego systemu. Istotne jest stosowanie odpowiedniej metody uwierzytelniania, tak aby nieupoważnione osoby nie mogły podjąć takiej decyzji.

W dalszej kolejności należy wziąć pod uwagę, że zapobieganie ponownemu wystąpieniu incydentu ma zwykle wysoki priorytet i może w efekcie doprowadzić do wniosku, że atakujący wyeksponował słabość, która powinna być usunięta lub skorygowana, a korzyści osiągnięte w wyniku śledzenia go nie uzasadniają wysiłku w to włożonego, szczególnie w przypadku kiedy atakujący nie jest złośliwy i spowodował małe szkody lub nie spowodował żadnych.

W odniesieniu do incydentów, które są spowodowane przez coś innego niż atak umyślny, należy zidentyfikować ich źródło. W trakcie wdrażania zabezpieczeń może się okazać, że konieczne jest wyłączenie systemu lub wyizolowanie odpowiednich jego części, a następnie ich wyłączenie (za wcześniejszą zgodą osób odpowiedzialnych za systemy informatyczne i funkcje biznesowe). Może to zająć dużo czasu, jeśli podatność ma istotne znaczenie dla budowy systemu lub jest to podatność krytyczna. Inną reakcją może być uruchomienie mechanizmów śledczych.

Dane, co do których istnieje prawdopodobieństwo, że w wyniku incydentu mogły zostać naruszone, powinny być porównane z danymi przechowywanymi na kopiach zapasowych w celu wykrycia nielegalnych operacji modyfikacji, usunięcia lub wstawienia. Warto także rozważyć sprawdzenie integralności logów, którymi atakujący mógł manipulować, aby ukryć ślady ataku.

Informowanie o incydencie naruszenia bezpieczeństwa informacji, dalsze działania. W kolejnym kroku członek ZRIBI powinien szczegółowo uzupełnić zgłoszenie incydentu, uzupełnić bazę incydentów, powiadomić kierownika ZRIBI oraz inne osoby (jeśli uzna to za niezbędne). Taka aktualizacja powinna polegać na zweryfikowaniu i ewentualnym skorygowaniu opisu tego:

Po wyjaśnieniu incydentu trzeba sporządzić raport zawierający szczegóły dotyczące zastosowanych zabezpieczeń oraz wyciągniętych wniosków. Należy dodać go do bazy zdarzeń/incydentów, powiadomić kierownika ZRIBI oraz inne osoby (jeśli to niezbędne).

Za wszystkie zgromadzone do tej pory informacje odnoszące się do incydentu (w tym zapewnienie bezpiecznego ich zachowania do dalszej analizy oraz do prowadzenia dochodzenia) odpowiada ZRIBI. Oznacza to, że np. dla incydentu związanego z systemami informatycznymi, już po wstępnym jego wykryciu wszystkie łatwo ulotne dane powinny być zebrane zanim zaatakowany system zostanie wyłączony.

Dane do zebrania to zawartość pamięci RAM, pamięci cache, rejestrów oraz szczegóły o wszystkich pracujących procesach. Przede wszystkim w zależności od natury incydentu:

Członek ZRIBI jest także odpowiedzialny za ułatwienie przywrócenia zaatakowanego systemu do bezpiecznego stanu operacyjnego oraz, jeśli to możliwe na tym etapie, aby nie był on więcej podatny na naruszenie jego ochrony w podobny sposób, jak to już miało miejsce.

Jeśli jest prawdopodobne, że postępowanie wyjaśniające zajmie więcej czasu, niż zakładają wytyczne postępowania, należy przygotować wewnętrzny raport. Członek ZRIBI, który ocenia incydent − bazując na wytycznych − powinien mieć na uwadze, że:

Kiedy występuje problem (lub nawet zachodzi podejrzenie co do jego wystąpienia) z podstawowymi środkami komunikacji (np. z pocztą elektroniczną), np. z uwagi na to, że i te środki są celem ataku, a naruszenie bezpieczeństwa jest poważne, to wtedy informacje zwrotne o incydencie powinny być przekazywane do odpowiednich osób osobiście bądź za pomocą telefonu lub wiadomości tekstowych.

Jeśli wydaje się to konieczne, to kierownik ZRIBI, w porozumieniu z osobą odpowiedzialną za bezpieczeństwo informacji w organizacji i z właściwą osobą z najwyższego kierownictwa, powinien skomunikować się ze wszystkimi właściwymi osobami i zespołami wewnątrz organizacji lub organizacjami zewnętrznymi.

Aby zapewnić, że łączność będzie nawiązana skutecznie i sprawnie, niezbędne jest wcześniejsze zaplanowanie i ustanowienie bezpiecznej metody komunikacji, która nie zależy od systemu, na który może mieć wpływ incydent. Podobnie konieczne jest wskazanie zawczasu dublerów osób wyznaczonych do reagowania na incydenty i sytuacje kryzysowe.

Zapewnienie, że kontrola zmian i incydentów jest prowadzona. Po podjęciu przez członka ZRIBI natychmiastowej reakcji oraz działań związanych z analizą śladów i dowodów, a także z nawiązaniem komunikacji, należy szybko stwierdzić, czy przebieg incydentu jest kontrolowany.

Jeżeli to konieczne, to członek ZRIBI może się konsultować z innymi członkami (w tym kierownikiem) ZRIBI, a także z innymi osobami lub grupami. Jeżeli zostanie potwierdzone, że przebieg incydentu jest właściwie kontrolowany, wtedy członek ZRIBI powinien zainicjować wszystkie wymagane w dalszej kolejności działania, analizę śladów i dowodów oraz informowanie zainteresowanych stron, aby doprowadzić do wyjaśnienia incydentu oraz odtworzenia lub przywrócenia systemu do stanu normalnego działania. Jeżeli potwierdzono natomiast, że przebieg incydentu nie jest dostatecznie kontrolowany, wtedy członek ZRIBI musi zainicjować działania kryzysowe.

Po stwierdzeniu, że przebieg incydentu jest kontrolowany i nie wymaga podjęcia działań kryzysowych, członek ZRIBI powinien określić, czy i ewentualnie jakie dalsze działania są wymagane, aby skutecznie wyjaśniać incydent. Powinien zapisać szczegóły w formularzu zgłoszenia incydentu, w bazie zdarzeń/incydentów oraz powiadomić osoby odpowiedzialne za podjęcie stosownych działań.

Celem podjęcia niektórych działań będzie uniknięcie lub zmniejszenie prawdopodobieństwa wystąpienia takiego samego lub podobnego incydentu w przyszłości. Na przykład:

Inny obszar działań może być związany z monitorowaniem systemu. Następstwem oceny incydentu może być potrzeba stosowania dodatkowych zabezpieczeń monitorowania w celu lepszego wykrywania nieoczekiwanych lub podejrzanych zdarzeń, które mogą być symptomem dalszych incydentów. W rezultacie takiej obserwacji mogą być ujawniane symptomy poważnych incydentów oraz wskazywane inne systemy narażone na to samo naruszenie bezpieczeństwa.

Konieczne może być także uruchomienie specjalnych działań, np. opisanych w dokumentacji planu ciągłości działania. Zaliczają się do nich działania dotyczące wszystkich aspektów biznesowych, nie tylko bezpośrednio związanych z systemami informacyjnymi, ale również z zarządzaniem kluczowymi funkcjami biznesowymi i procesem odtwarzania.

Na koniec odtwarza się lub przywraca do stanu normalnego działania systemy dotknięe incydentem naruszenia bezpieczeństwa. Można to osiągnąć przez dokonywanie poprawek w elementach rozwiązań, które stanowiły o ujawnionych podatnościach, lub przez zablokowanie/odłączenie elementu, który był przedmiotem ataku i którego ochrona została naruszona.

Jeśli z powodu zniszczenia w trakcie incydentu dzienników zdarzeń całkowity jego zasięg nie jest znany, wtedy przed uruchomieniem planu ciągłości działania może być konieczna całkowita przebudowa systemu.

Jeśli w ramach oceny członek ZRIBI stwierdzi, że przebieg incydentu nie jest kontrolowany, należy postępować, jak w przypadku sytuacji kryzysowej, wykorzystując przygotowany wcześniej plan.

Najlepsze opcje postępowania ze wszystkimi możliwymi typami incydentów, mogącymi mieć wpływ na dostępność oraz integralność systemów informacyjnych, powinny być zidentyfikowane w strategii zapewniania ciągłości działania organizacji. Opcje te powinny być bezpośrednio zależne od priorytetów działalności biznesowej, co powinny wyrażać z góry wyznaczone limity czasu na odtworzenie tej działalności. Limity te określają maksymalny akceptowalny czas awarii lub niedostępności systemów informatycznych, kanałów komunikacyjnych, personelu lub pomieszczeń.

W ramach wytycznych dla poszczególnych opcji postępowania powinny być wskazane:

Plan ciągłości działania i przetestowane zabezpieczenia, wdrożone w celu wspierania tego planu, stanowią podstawy zasad postępowania w przypadku większości działań kryzysowych.

Inne rodzaje rozwiązań kryzysowych to:

Analiza śladów i dowodów powinna być dokonana przez ZRIBI, w przypadku gdy zgodnie z wcześniejszą oceną incydentu jest niezbędna przy prowadzeniu dochodzenia lub wewnętrznego postępowania wyjaśniającego. Powinna ona uwzględniać wykorzystanie technik i narzędzi informatycznych, wspieranych przez procedury, tak aby wskazane incydenty zostały zbadane bardziej szczegółowo, niż zostało to zrobione to tej pory.

Rozwiązania służące do prowadzenia analizy śladów i dowodów można podzielić na:

Każda czynność związana z analizą śladów i dowodów powinna być w całości udokumentowana, wliczając w to zdjęcia, raporty analityczne z audytów, logi z odtwarzania danych. Wskazane jest, aby profesjonalizm i wiedza osoby lub osób przeprowadzających analizę była udokumentowana.

Wszystkie zapisy o incydentach i czynnościach analitycznych oraz związane z tym nośniki powinny być przechowywane w bezpiecznym środowisku, tak aby nie mogły być dostępne dla nieupoważnionych osób, zmienione czy zniszczone.

Narzędzia informatyczne do analizy śladów i dowodów powinny być zgodne ze standardami i normami, aby w świetle prawa ich dokładność nie mogła być podważona, a ze względu na zmiany technologiczne powinny być systematycznie uaktualniane.

ZRIBI powinno przygotować warunki, które zagwarantują, że ślady i dowody będą zbierane i opisywane w sposób, który nie pozwoli na ich podważenie. Obecnie analiza śladów i dowodów często obejmuje złożone środowiska sieciowe (włącznie z serwerami plików, wydruków, komunikacyjnymi, pocztowymi, infrastrukturą), jak również zdalny dostęp do zasobów. Dlatego też trzeba skupić uwagę na tym, aby procedury analizy gwarantowały, że ślady i dowody będą zweryfikowane, zabezpieczone przed zmianami lub zniszczeniem oraz sprostają wszelakim wymaganiom prawnym, a sama analiza będzie przeprowadzana na dokładnej kopii oryginalnych śladów i dowodów w celu zapewnienia, że prace analityczne nie wpłyną negatywnie na integralność oryginalnych danych.

Pełny proces analizy śladów i dowodów powinien umożliwiać:

Trzeba podkreślić, że gromadzenie śladów i dowodów musi być zawsze zgodne z zasadami i przepisami prawa. Wszystkie możliwe do wykorzystania metody powinny być opisane w procedurach. ZRIBI powinien zapewnić wystarczającą kombinację umiejętności, aby dostarczyć szeroki zakres:

Komunikacja wewnątrz i na zewnątrz organizacji. Poinformowanie osób wewnątrz organizacji, osób trzecich, organizacji zewnętrznych (włączając w to media) może być potrzebne czy wręcz niezbędne w wielu sytuacjach, np. kiedy:

Dobrą praktyką jest przygotowanie wzorów niektórych informacji z wyprzedzeniem, tak aby mogły być one szybko dostosowane do okoliczności konkretnego incydentu i przekazane mediom lub zainteresowanym stronom.

Jeśli jakiekolwiek informacje odnoszące się do incydentu mogą być przekazane mediom, to powinno to być uczynione zgodnie z polityką informacyjną organizacji, a same informacje powinny być przejrzane przez uprawnione osoby w organizacji (najwyższe kierownictwo, osoby odpowiedzialne za kontakty z mediami oraz osoby związane z bezpieczeństwem informacji).

Mogą także zaistnieć okoliczności, w których dalsze postępowanie musi być przekazane do najwyższego kierownictwa, innej grupy w organizacji lub osób/grup poza organizacją. Może być niezbędne podjęcie decyzji o wykonaniu rekomendowanych działań związanych z incydentem lub o wykonaniu dalszej oceny w celu określenia, jakie działania są wymagane. Powinno to mieć miejsce po opisanym procesie oceny lub w trakcie trwania tego procesu, jeśli jakiekolwiek zagadnienie zostaje uznane za zbyt poważne, by je rozwiązywać na dotychczasowym szczeblu organizacji.

Wskazówki dla tych, którzy prawdopodobnie będą w pewnym momencie musieli podejmować decyzje o takim przekazaniu incydentu (np. grupa wsparcia technicznego i członkowie ZRIBI), powinny być dostępne jako wytyczne zarządzania incydentami.

Wszystkie osoby zajmujące się informowaniem o incydencie i zarządzające postępowaniem z incydentem powinny, wykorzystując formularz zgłoszenia incydentu i bazę zdarzeń/incydentów, właściwie zapisywać podejmowane działania w celu ich późniejszej analizy. Zapisy powinny być systematycznie aktualizowane w trakcie całego cyklu życia incydentu − od pierwszego formularza zgłoszenia aż do całkowitego wyjaśnienia i zamknięcia incydentu. Informacje te powinny być przechowywane bezpiecznie z zachowaniem adekwatnego reżimu tworzenia kopii zapasowych.

Dalej, wszystkie zmiany wykonane w ramach śledzenia incydentu oraz aktualizowania formularza zgłoszenia incydentu i bazy zdarzeń/incydentów, powinny być formalnie akceptowane zgodnie z procesem zarządzania zmianami w organizacji.

4.3.3. Przegląd

Po wyjaśnieniu i zamknięciu incydentu należy przeprowadzić dalszą analizę śladów i dowodów w celu wyciągnięcia wniosków oraz zidentyfikowania możliwych usprawnień w całości rozwiązań zapewniania bezpieczeństwa organizacji i w systemie zarządzania incydentami. W ramach tej fazy wykonuje się kolejną analizę prawną, ustala się, jaka nauka płynie z incydentu, określa się potrzebny zakres doskonalenia zabezpieczeń oraz koryguje się zasady postępowania z incydentami.

Dodatkowa analiza śladów i dowodów. Może się zdarzyć, że po wyjaśnieniu incydentu, zachodzi jeszcze potrzeba przeprowadzenia dodatkowej analizy śladów i dowodów. Powinna być ona wykonana przez ZRIBI przy wykorzystaniu tego samego zestawu narzędzi i procedur jak omówione wcześniej w punkcie „Gromadzenie danych o naruszeniach bezpieczeństwa informacji”.

Po zamknięciu incydentu istotne jest, aby szybko wyciągnąć wnioski wynikające z przebiegu obsługi incydentu i wcielić je w życie. Mogą to być:

Konieczne jest spojrzenie szersze, wykraczające poza pojedynczy incydent. Może ono prowadzić do sprawdzenia wzorców dobrych praktyk, trendów w zakresie stosowania zabezpieczeń oraz możliwości wprowadzenia zmian w systemach informacyjnych lub praktyce korzystania z nich. Zalecane jest rozważenie scenariuszy testów bezpieczeństwa sytuacji kojarzonych z analizowanymi incydentami, a w szczególności oceny podatności posiadanych rozwiązań przy tego typu sytuacjach.

Dane w bazie zdarzeń/incydentów powinny być regularnie przeglądane i analizowane, aby:

Istotne informacje pozyskane w trakcie trwania incydentu powinny znaleźć odzwierciedlenie w analizie wzorców i trendów, która − bazując na doświadczeniu i udokumentowanej wiedzy − może znacząco przyczynić się do wcześniejszej identyfikacji przyszłych incydentów oraz do przekazywania ostrzeżeń co do tego, jakie z nich mogą jeszcze wystąpić.

Ocena podatności oraz testowanie bezpieczeństwa systemu wykonywane po incydencie nie mogą być ograniczone tylko do systemu dotkniętego przez incydent. Działania te powinny obejmować również systemy współpracujące, co pozwoli przyjrzeć się podatnościom innych systemów wykorzystywanych w trakcie trwa