Similar presentations:
ҰЙЫМДА АҚПАРАТТЫҚ ҚАУІПСІЗДІК ИНЦИДЕНТТЕРІН БАСҚАРУ
1.
ҰЙЫМДА АҚПАРАТТЫҚҚАУІПСІЗДІК
ИНЦИДЕНТТЕРІН БАСҚАРУ
ҚҰМАРБЕКОВА АЙГЕРІМ
СИБ-49/1
2.
КІРІСПЕМенің жұмысымның өзектілігі қазіргі уақыттағы ұйымдағы ақпараттық қауіпсіздік инциденттерін басқару, сондайақ оларды тікелей тергеу тақырыбы. Ақпараттық қауіпсіздік инциденттерін басқарудың тиімді құрылған жүйесі
болғандықтан, инцидентті тергеу және оған жауап беру кезінде ақпараттық жүйенің нақты осалдықтары көрініп,
шабуылдардың іздері анықталып, қорғаныс механизмдерінің жұмысы мен АҚ жүйесінің архитектурасының
сапасын басқару тексеріледі.
Зерттеу нысаны - ақпараттық қауіпсіздік саласындағы оқиғалар. Мақсаты-ұйымдағы ақпараттық қауіпсіздік
инциденттерін басқару жүйесін құрудың тұжырымдамасы мен құрылымын әзірлеу.
Жұмыстың теориялық маңыздылығы ұйым үшін ақпараттық қауіпсіздік оқиғаларын басқарудың тиімді жүйесін
дамытудан тұрады.
Практикалық маңыздылығы-оны өз ресурстарының қорғалу деңгейін арттырғысы келетін ұйым үшін тәжірибеде
қолдану мүмкіндігі.
3.
ЖОСПАР1 Ұйымдағы ақпараттық қауіпсіздік инциденттерін басқарудың теориялық және
әдіснамалық аспектілері
1.1 Ұйым үшін ақпараттық қауіпсіздік инциденттерін басқару тұжырымдамасы мен
жүйесін әзірлеудің өзектілігі
1.2 Ақпараттық қауіпсіздік инциденттерді басқару процестеріне арналған PDCA моделі
1.4 Ақпараттық қауіпсіздік инциденттерін басқару үшін қолданылатын стандарттар,
заңдар, акт және нормалар
2 Қазіргі заманғы талаптарды ескере отырып ұйымның ақпараттық қауіпсіздік
инциденттерін басқару жүйесінің тұжырымдамасы мен құрылымын әзірлеу
2.1 Ұйымның ақпараттық қауіпсіздік инциденттерін басқару жүйесінің құрылымын құру
ерекшеліктері
2.2 PDCA моделі негізінде заманауи ұйымның ақпараттық қауіпсіздік инциденттерін
тиімді басқару жүйесі
2.3 Ақпараттық қауіпсіздік инциденттерінің тұжырымдамасының жалпы принциптері
ҚОРЫТЫНДЫ
ҚОЛДАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ
4.
1.1 ҰЙЫМ ҮШІН АҚПАРАТТЫҚ ҚАУІПСІЗДІК ИНЦИДЕНТТЕРІН БАСҚАРУТҰЖЫРЫМДАМАСЫ МЕН ЖҮЙЕСІН ӘЗІРЛЕУДІҢ ӨЗЕКТІЛІГІ
Кез-келген заманауи ұйымның ақпараттық қауіпсіздік жүйесінің маңызды бөлігіоқиғаларды басқару. Осылайша, қаржы ұйымдарындағы ақпараттық қауіпсіздіктің
бұзылуына байланысты тікелей қаржылық шығындарға әкелуі мүмкін.
Нәтижесінде компанияның ақпараттық қауіпсіздік бөлімінің қызметкерлері заңсыз
әрекеттерді анықтауға ғана емес, тергеуге де мүмкіндік алуы керек.
Ақпараттық инциденттерді басқару проблемаларды уақытылы анықтау, қолда бар
әлеуетті неғұрлым толық пайдалану үшін резервтерді ашу мақсатында ұйымның
жұмысы туралы деректерді жинау, өңдеу және талдау, оларды базалық және
нысаналы көрсеткіштермен салыстыру процесімен байланысты басқаруын білдіреді.
Көптеген компаниялар үшін ақпараттық қауіпсіздік оқиғаларының саны мен
ерекшеліктерінің өзгеруін бақылау қиынға соғады. Бұл оқиғаларды басқару
процедурасы болмаған жағдайда. Оқиғалардың болмауы әрдайым қауіпсіздікті
басқару жүйесінің дұрыс жұмыс істейтіндігін емес, оқиғалардың тіркелмегендігін
көрсетеді.
Сондықтан бүгінгі таңда кез-келген ұйымның ең өзекті және маңызды элементі
ақпараттық қауіпсіздік инциденттерін басқарудың тұжырымдамасын да, тиімді
жүйесін де әзірлеу болып табылады. Келесі бөлімде оқиғаларды басқарудың негізгі
кезеңдері қарастырылған.
5.
АҚПАРАТТЫҚ ҚАУІПСІЗДІК ИНЦИДЕНТТЕРДІ БАСҚАРУАҚ инциденттеріне жауап беру процесі
ПРОЦЕСТЕРІНЕ АРНАЛҒАН PDCA МОДЕЛІ
ГОСТ Р ИСО/МЭК 27001-2013 талаптарына сәйкес Ақпараттық қауіпсіздік
инциденттерін басқару процесі Демминг цикліне (Plan-Do-Stude-Act-PDSA)
негізделеді және мынадай кезеңдерді қамтиды: инцидентті анықтау және
тіркеу, инцидентке ден қою, тергеу, түзету және алдын алу іс-шаралары.
Ақпаратты қорғау жүйесінің жұмыс істеуі тұрғысынан алғашқы екі кезең
ерекше қызығушылық тудырады.
Шабуылдың өмірлік циклі (kill chain) туралы ақпарат негізінде қорғаныс жүйесін құруға болады. АЖ-ге шабуыл жасау кезінде
қолданылатын стратегияны талдауға сүйене отырып, ақпараттық қауіпсіздік мамандары инциденттерге әрекет ету стратегиясын әзірледі,
ол төменде сипатталатын болады.
• Дайындық. АҚ-ке жауапты лауазымды тұлғалар АЖ-ні қорғауды қамтамасыз етуі және пайдаланушыларды, сондай-ақ ақпараттық
технология-персоналды АҚ-ті қамтамасыз ету жөніндегі шаралардың маңыздылығы туралы хабардар етуі тиіс.
• Анықтау. Инциденттерге жауап берумен айналысатын қызметкерлер АҚ-ті қамтамасыз етудің әртүрлі жүйелері арқылы табылған
оқиғаның оқиға екенін немесе болмайтынын анықтауы керек.
• Ұстану. АҚ-ға жауапты қызметкерлер бұзылған компьютерлерді анықтап, қауіпсіздік ережелерін инфекция желі арқылы одан әрі
таралмайтындай етіп орнатуы керек.
• Жою. Бұл кезеңнің мақсаты-бұзылған АЖ-ні инфекцияға дейінгі күйге келтіру.
• Қалыптастыру. Бұрын бұзылған компьютерлер желіге қайта енгізіледі.
• Шешім. АҚ-ке жауапты қызметкерлер болған оқиғаны талдайды, АҚ-ті қамтамасыз ететін бағдарламалық жасақтама мен жабдықтың
конфигурациясына қажетті өзгерістер енгізеді және болашақта мұндай оқиғалардың алдын алу үшін ұсыныстар жасайды.
6.
1.4 АҚПАРАТТЫҚ ҚАУІПСІЗДІКИНЦИДЕНТТЕРІН БАСҚАРУ ҮШІН
ҚОЛДАНЫЛАТЫН СТАНДАРТТАР,
ЗАҢДАР, АКТ ЖӘНЕ НОРМАЛАР
ISO 27001: 2005 халықаралық стандарты ақпараттық
қауіпсіздік инциденттерін басқару процедурасын
құру қажеттілігіне ерекше назар аударады.
Қауіпсіздік инциденттеріне уақытылы жауап бермей
және олардың салдарын жоймай, ақпараттық
қауіпсіздікті басқару жүйесінің тиімді жұмыс істеуі
мүмкін емес. Мұнда ақпараттық қауіпсіздік
инциденттерін басқарудың жеке құжатталған және
бекітілген процедурасын құру қажеттілігінің негізгі
себептері ғана берілген, бірақ бұл процедураның
маңыздылығын түсіну үшін жеткілікті. Бұл туралы
ISO 27001:2005 және ISO 17799:2005 қауіпсіздікті
басқару стандарттары да айтады. ISO 20000 АТ
қызметтерін басқару жүйесінде, инциденттерді
басқару процедурасында сипаттайды, ол сонымен
қатар АТ инциденттерін қарастырады. АТ
инциденттерін басқару процедурасының өзі
ақпараттық қауіпсіздік инциденттерін басқару
процедурасына өте жақын, тек айырмашылығысоңғы жағдайда оны тергеуге, дәлелдемелер
жинауға, кінәлілерді жазалауға (сотқа жүгінуге
дейін) көп көңіл бөлінеді.
7.
2.1 ҰЙЫМНЫҢАҚПАРАТТЫҚ
ҚАУІПСІЗДІК
ИНЦИДЕНТТЕРІН
БАСҚАРУ ЖҮЙЕСІНІҢ
ҚҰРЫЛЫМЫН ҚҰРУ
ЕРЕКШЕЛІКТЕРІ
АҚ қызметінің негізгі міндеті бизнестің саналы ұсыныстарын
түсінуге, тұжырымдауға және қанағаттандыруға негізделген
компания үшін ақпараттың ағып кетуіне немесе жоғалуына
байланысты ықтимал тәуекелдерді жүзеге асырудың алдын алу
болып табылады.
Ақпараттық қауіпсіздік инциденттерін басқару кез келген заманауи
ұйымдағы АҚ жүйесінің маңызды бөлігі болып табылатынын атап
өткен жөн. Ол үшін ақпараттық қауіпсіздікке жауапты қызметкерлер
АЖ-ні қорғауды қамтамасыз ету және әлі де туындауы мүмкін АҚ
инциденттерін тергеуді жеделдету үшін барлық құралдарды
пайдалануы керек. Мұндай құралдарға мыналар жатады:
• барлық қызметкерлердің компьютерлері мен мобильді
құрылғыларындағы антивирустар;
• қауіптер туралы деректер ағындары біріктірілген Siem жүйелері;
• күрделі қауіптер мен мақсатты шабуылдарды анықтауды
қамтамасыз ететін жүйелер;
• бағдарламалық жасақтама үлгілерін зерттеу және зиянды
бағдарламалық жасақтаманың сипаттамалары туралы толық
ақпаратты компанияға келу индикаторлары бойынша іздеу
жүйелері.
8.
Кейбір компанияларда АҚ инциденттерін тергеу үшінарнайы комиссия құрылады. Инциденттерді тергеу
жөніндегі нұсқаулық мыналарды қамтиды: инцидентті
тергеу үшін қолданылатын әрекеттер, инциденттің
дәлелдерін жинау және сақтау, сондай-ақ инцидентке
қатысы бар адамдарға қолданылатын шаралар мен
тәртіптік жазалар.
Ақпараттық қауіпсіздік оқиғаларын басқару процесіне
қатысты PDCA моделінің барлық кезеңдері
қарастырылады. Сонымен қатар, процедура дұрыс және
тиімді орындалуы үшін барлық осы қадамдар үздіксіз
қайталануы керек.
Осылайша, PDCA модельдік циклі үздіксіз қайталанады
және оқиғаларды басқару процедураларының үздіксіз
жұмысын және ең бастысы оны үнемі жетілдіруді
қамтамасыз етеді.
2.2 PDCA МОДЕЛІ НЕГІЗІНДЕ
ЗАМАНАУИ ҰЙЫМНЫҢ
АҚПАРАТТЫҚ ҚАУІПСІЗДІК
ИНЦИДЕНТТЕРІН ТИІМДІ
БАСҚАРУ ЖҮЙЕСІ
9.
2.3 АҚПАРАТТЫҚ ҚАУІПСІЗДІК ИНЦИДЕНТТЕРІНІҢТҰЖЫРЫМДАМАСЫНЫҢ ЖАЛПЫ ПРИНЦИПТЕРІ
ГОСТ Р ИСО/МЭК 27001-2006 негізінде жеке саясат ақпараттық қауіпсіздік жағдайын бақылаудың жалпы
нұсқаулықтарын белгілеуі және нәтижелерді кәсіпорынның АҚ инциденттерін басқару үшін пайдалануы
керек.
Осылайша, ақпараттық қауіпсіздік инциденттеріне әрекет етудің келесі принциптерін қалыптастырамыз:
• ұйым басшылығының ақпараттық қауіпсіздік инциденттеріне жауап беру қажеттілігін түсінуі;
• ақпараттық қауіпсіздік инциденттерін тергеу рәсімін басқару;
• ақпараттық қауіпсіздік инциденттерінің басымдықтарын белгілеу және олардың салдарларының
ауырлығын бағалау тәртібі;
• инциденттерді тергеу бойынша топ жұмысының сапа критерийлерін бағалау;
• есеп беру нысандарын және оқиға туралы хабарлау регламентін әзірлеу;
• ақпараттық қауіпсіздік инциденті болған жағдайда ұйым қызметкерлерінің іс-әрекетін сипаттайтын
рәсімдер жиынтығын әзірлеу;
• стандартты операциялық рәсімдерді қайта қарау, тестілеу және өзектендіру тәртібі.
10.
ҚОРЫТЫНДЫМен бұл курстық жұмыста қазіргі заманғы талаптарды ескере отырып ұйымның ақпараттық қауіпсіздік инциденттерін басқару
жүйесінің тұжырымдамасы мен құрылымын әзірледім.
Осылайша, зерттеу нәтижелері бойынша келесі міндеттер шешілді:
ақпараттық қауіпсіздік инциденттерін басқарудың теориялық-әдіснамалық аспектілері зерттелді;
АҚ инциденттерін басқару процестері үшін PDCA моделін қолдану талданды;
ұйымдағы ақпараттық қауіпсіздік инциденттерін басқару жүйесінің тұжырымдамасы әзірленді.
Осылайша, ақпараттық технологияларды кеңінен енгізу, интернет желісінің барған сайын инновациялық мүмкіндіктерін дамыту,
сондай-ақ, ең бастысы, ақпараттық қауіпсіздік саласындағы бұзушылардың қызметін жандандыру нәтижесінде АҚ қызметтері
бүгінде басқарудың егжей-тегжейлі нұсқаулықтарын, атап айтқанда, туындайтын оқиғаларға назар аударуы керек.
Мен әзірлеген тұжырымдама, сондай-ақ инциденттерді басқару жүйесін құру бойынша ұсыныстар ұйымның ақпараттық
қауіпсіздігін бұзушылықтарды жедел оқшаулауға және болдырмау ғана емес, сонымен қатар ішкі тергеу жүргізу және құзыретті
органдарға беру үшін қажетті ақпарат жинауды ұйымдастыруға көмектеседі.
Қорытындылай келе, бүгінгі таңда ақпараттық қауіпсіздік инциденттерін басқару кез-келген ұйым үшін ең маңызды процесс
екенін атап өту керек. Ұйымдар, ең алдымен, белгілі бір тұжырымдаманы әзірлеу және ақпараттық қауіпсіздік инциденттерін
басқарудың тиімді жүйесін құру арқылы әртүрлі оқиғаларды өңдеуді дұрыс және уақытылы қадағалап отыруы керек.
11.
ҚОЛДАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ1. https://adilet.zan.kz/kaz/docs/V1800016886
2. "Ақпараттандыру туралы" Қазақстан Республикасының 2015 жылғы
24 қарашадағы № 418-V Заңы
3. ҚР СТ ISO/IEC 27001-2015 "Ақпараттық технологиялар. Қауіпсіздік
әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару жүйелері.
Талаптар"
4. ҚР СТ ISO/IEC 27002-2015 "Ақпараттық технологиялар. Қауіпсіздік
әдістері мен құралдары. Ақпаратты қорғауды басқару құралдары
бойынша қағидалар жинағы"
5. ГОСТ Р ИСО/МЭК 18044. Ақпараттық қауіпсіздік инциденттерін
басқару // Соотв. ISO/IECTR 18044. М., 2007. - 50 с.
6. Алексеев, Д.М. Ақпараттық қауіпсіздік инцидентін пайдалана отырып
тергеу Volatility Framework / Д.М. Алексеев // Халықаралық студенттік
ғылыми хабаршы. – 2017. – № 4-4. – С. 460-466.