Организация расследования инцидентов информационной безопасности на предприятии

ВВЕДЕНИЕ 6
Глава 1. Инциденты на предприятии 9
1.1 Определение понятия инцидентов информационной безопасности 9
1.2 Анализ предприятия и его система обеспечения информационной безопасности 16
1.3 Вывод по первой главе 24
Глава 2. Методика расследования инцидентов 25
2.1 Модель расследования инцидентов информационной безопасности 25
2.2 Разработка алгоритма расследования инцидентов информационной безопасности 30
2.3 Средства автоматизации сбора информации 34
2.4 Вывод по второй главе 39
Глава 3. Разработка рекомендаций по совершенствованию системы расследования инцидентов информационной безопасности 40
3.1 Техническое задание по внедрению SIEM системы 40
3.2 Выбор SIEM системы и особенности внедрения на предприятии 42
3.3 Экономическая оценка внедрения рекомендаций по совершенствованию системы расследования инцидентов информационной безопасности 47
ЗАКЛЮЧЕНИЕ 51
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 53
ПРИЛОЖЕНИЕ 1 55

Весь текст будет доступен после покупки

Информация является неотъемлемым активом в каждой организации, который, как и остальные активы бизнеса нужны для корректной и успешной работы предприятия. Тем самым, важно сохранить достоверность и целостность информации. Сегодня, практически любая компания хотя бы раз сталкивалась с инцидентами в области информационной безопасности.
Под инцидентом безопасности понимается событие, являющееся следствием одного или нескольких не желательных или неожиданных событий ИБ, имеющих значительную вероятность для создания угрозы ИБ.
В момент возникновения инцидента от сотрудников, ответственных за ИБ, требуются быстрые и точные шаги, которые позволят минимизировать ущерб от инцидента и собрать доказательства для привлечения нарушителей к ответственности, в том числе уголовной, если совершено преступление преследования злоумышленников.
Если будут допущены ошибки в реагировании на инцидент ИБ, злоумышленник не только достигнет своей цели, но и сможет скрыть своё присутствие в ИС.
Важным фактором является не только своевременное выявление инцидента информационной безопасности, но и реагирование на сам инцидент, то есть внедрение системы мер по противодействию подобным инцидентам в будущем, но и привлечение к ответственности виновных лиц. Если виновным в совершении правонарушения является работник, то правильное привлечение его к ответственности приведет к тому, что другие работники уже будут осуществлять соответствующих правонарушение. Недаром считается, что большинство инцидентов связано с внутренним нарушителем, поэтому важным является именно достижения соответствия требованиям в области информационной безопасности именно действий работников.
Инциденты являются важной составляющей обеспечения системы информационной безопасности, так как именно правильное расследование инцидента информационной безопасности позволяет совершенствовать систему информационной безопасности. До настоящего времени нет единых рекомендаций по проведению расследования инцидентов, а в связи с усложнением инфраструктуры предприятий, необходимость сбора и обработки огромного количества объема информации по событиям информационной безопасности возрастает, именно из-за этого тема выпускной квалификационной работы является как никогда актуальной.
Целью выпускной квалификационной работы является, разработка методических рекомендаций по совершенствованию организации расследования инцидентов информационной безопасности на предприятии ПАО «Модель-банк», разработка технического задания по автоматизации и совершенствованию процесса управления инцидентами информационной безопасности с использованием SIEM системы. Для решения поставленной цели в рамках выпускной квалификационной работы предполагается решить следующие задачи:
1) Провести анализ предприятия ПАО «Модель-банк» и её системы реагирования на инциденты.
2) Определить средства автоматического сбора информации.
3) Разработать алгоритм реагирования на инциденты информационной безопасности.
4) Разработка технического задания по совершенствованию системы расследования инцидентов информационной безопасности на предприятии.
Объектом исследования является коммерческий банк ПАО «Модель-банк» и его система обеспечения информационной безопасности.
Предмет исследования: система расследования инцидентов информационной безопасности.
В ходе исследования предполагается использование следующих общенаучных методов: аналогий, статистических оценок, оценочных сравнений, факторный анализ и другие.
Структурно работа состоит из титульного листа, оглавления, введения, трех глав, заключения, списка использованных источников и приложения. Во введении обоснована актуальность работы, цель, задачи, объект и предмет исследования.
Первая глава содержит в себе анализ нормативной базы, связанной с процессом управления инцидентами по информационной безопасности, а также классификацию инцидентов с точки зрения информационной безопасности. Дана характеристика системе информационной безопасности исследуемого предприятия, проведен анализ информационной инфраструктуры и организационной структуры предприятия ПАО «Модель-банк».
Во второй главе разрабатывается модель реагирования на инциденты информационной безопасности, включающая в себя алгоритм реагирования и расследования инцидентов. Проводится анализ существующих на рынке средств для управления процессом возникновения инцидента ИБ.
В третьей главе разрабатываются предложения по совершенствованию системы расследования инцидентов информационной безопасности в ПАО «Модель-банк», а именно техническое задание по совершенствованию системы расследования инцидентов информационной безопасности, основной целью которого является автоматизация и усовершенствование процесса управления инцидентами информационной безопасности, путем внедрения SIEM системы. Было рассмотрено несколько SIEM систем и сделан выбор в пользу более подходящего для предприятия решения. Так же рассмотрены основные особенности внедрения данной системы на предприятии.
В заключении подведены итоги работы, сделаны основные выводы.
Работа включает 6 таблиц, 5 рисунков, 13 использованных источников литературы.

Весь текст будет доступен после покупки

Глава 1. Инциденты на предприятии

1.1 Определение понятия инцидентов информационной безопасности
Предметной областью исследования в данной работе является система расследования инцидентов информационной безопасности.
Вначале, для того чтобы разобраться с тем, что такое инцидент ИБ, сначала необходимо рассмотреть понятие событие информационной безопасности.
Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 [2], событие информационной безопасности – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Иными словами, событие ИБ – это результат попытки компрометации защитных мер ИБ. Она необязательно будет успешной, поэтому не все события ИБ будут являться инцидентами ИБ.
Инцидент информационной безопасности – это появление одного или нескольких не желательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ. Согласно СТО БР ИББС-1.0-2014 [1], инцидент информационной безопасности - это событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:
- нарушение или возможное нарушение работы средств защиты информации в составе СОИБ организации БС РФ;
- нарушение или возможное нарушение требований законодательства РФ, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение или возможное нарушение в выполнении процессов СОИБ организации БС РФ;
- нарушение или возможное нарушение в выполнении банковских технологических процессов организации БС РФ;
- нанесение или возможное нанесение ущерба организации БС РФ и (или) ее клиентам.

Весь текст будет доступен после покупки

1. РС БР ИББС-2.5-2014. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности»
2. ГОСТ Р ИСО/МЭК ТО 18044-2007 СТО БР ИББС-1.0-2014. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
3. СТО БР ИББС-1.0-2014. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
4. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».
5. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ [Электронный ресурс] –URL: https://docs.cntd.ru/document/(Дата обращения: 15.05.2022)
6. ПРИМЕРЫ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ИХ ПРИЧИН [Электронный ресурс] –URL: https://zakonbase.ru/content/part/1254066 (Дата обращения: 17.05.2022)
7. Письмо Банка России от 15.04.1996 N 15-4-1/1342 «О примерном Уставе коммерческого банка»
8. SIEM системы (Security Information and Event Management) - что это и зачем нужно? [Электронный ресурс] –URL: https://www.securityvision.ru/blog/siem-chto-eto-i-zachem-nuzhno/ (Дата обращения: 28.05.2022)
9. Что такое IRP, где используется и как внедряется [Электронный ресурс] –URL: https://www.securityvision.ru/blog/likbez-po-ib-irp-chto-eto-gde-ispolzuetsya-i-kak-vnedryaetsya/ (Дата обращения: 28.05.2022)
10. ГОСТ Р ИСО/МЭК 20000-1-2013 «Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами»
11. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. От 18.12.2018) «Об информации, информационных технологиях и о защите информации»
12. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
13. ГОСТ 34.602-89 «Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»

Весь текст будет доступен после покупки