средств, основанных на ИТ, и вспомогательных процедур для получения необходимой информации в информационной системе, сервисе и/или сети, включая восстановление информации, подвергшейся стиранию, шифрованию или искажению. Эти средства должны учитывать все аспекты, связанные с известными типами инцидентов ИБ и документироваться в процедурах ГРИИБ.
В современных условиях правовая экспертиза должна охватить всю сложную инфраструктуру ИТ, в которой расследование распространяется на всю операционную среду, включая множество серверов (в том числе файловый, связи, печати и почтовый), а также средства удаленного доступа. Существует много инструментальных средств, включая средства поиска текстов, ПО формирования изображений и пакеты программ для правовой экспертизы.
Обязательными процедурами правовой экспертизы являются сохранение доказательств в неприкосновенности и их проверка на предмет противостояния любым оспариваниям в суде. Важно, чтобы правовая экспертиза проводилась на точной копии исходных данных с тем, чтобы избежать сомнений в целостности исходных носителей в ходе аналитической работы.
Общий процесс правовой экспертизы должен охватывать следующие виды деятельности:
— обеспечение защиты целевой системы, сервиса и/или сети в процессе проведения правовой экспертизы от появления недоступности, изменений или другой компрометации, включая вредоносное ПО (в том числе вирусы), и каких-либо влияний на их нормальную работу;
— назначение приоритетов сбора доказательств, т. е. рассмотрение их от наиболее до наименее изменчивых (что в значительной степени зависит от характера инцидента ИБ);
— идентификация всех необходимых файлов в предметной системе, сервисе и/или сети, включая нормальные файлы, файлы, кажущиеся уничтоженными, но не являющиеся таковыми, файлы, защищенные паролем или иным образом, и зашифрованные файлы;
— восстановление как можно большего числа стертых файлов и других данных;
— раскрытие IP-адресов, имен хостов, сетевых маршрутов и информации Web-сайтов;
— извлечение содержимого скрытых, временных файлов и файлов подкачки, используемых как прикладное, так и системное ПО;
— доступ к содержимому защищенных или зашифрованных файлов (если это не запрещено законодательством);
— анализ всех возможно значимых данных, найденных в специальных (обычно недоступных) областях памяти на дисках;
— анализ времени доступа к файлу, его создания и изменения;
— анализ логов системы / сервиса / сети и приложений;
— определение деятельности пользователей и/или приложений в системе / сервисе / сети;
— анализ электронной почты на наличие исходной информации и ее содержания;
— проведение проверок целостности файлов с целью обнаружения файлов, содержащих «троянского коня», и файлов, изначально отсутствовавших в системе;
— по возможности, анализ физических доказательств ущерба имуществу, например отпечатков пальцев, результатов видеонаблюдения, логов системы сигнализации, логов доступа по пропускам и опроса свидетелей:
— обработка и хранение добытых потенциальных доказательств так, чтобы избежать их повреждения, приведения в негодность и предотвращения просмотра конфиденциального материала несанкционированными лицами. Следует подчеркнуть, что сбор доказательств всегда должен проводиться в соответствии с правилами судопроизводства или слушания дела, для которых возможно представление данного доказательства;
— получение выводов о причинах инцидента ИБ, необходимых действиях и времени их выполнения с приведением свидетельств, включая список соответствующих файлов, включенных в приложение к главному отчету;
— обеспечение экспертной поддержки для любого дисциплинарного или правового действия (при необходимости).
Методы выполнения вышеуказанных действий должны документироваться в процедурах ГРИИБ.
ГРИИБ должна обладать разнообразными навыками в обширной области технических знаний (включая знание средств и методов, которые, возможно, будут использоваться нарушителем), опытом проведения анализа/расследования (с учетом защиты используемых доказательств), знанием нормативно-правовых положений и постоянной осведомленностью о тенденциях, связанных с инцидентами ИБ.
Необходимо учесть следующее:
— некоторые организации могут не иметь своих юристов, поэтому вынуждены обращаться к сторонним юридическим службам;
— сбор правовых доказательств в случае нанесения значительного ущерба может оказаться отправной точкой для возможного возбуждения уголовного дела, т. е. усилия и затраты могут быть оправданы;
— отказ от привлечения специалистов для фиксации правовых доказательств может привести к невозможности судебного разбирательства.
4.6. Коммуникации
Во многих случаях, когда ГРИИБ подтвердила реальность инцидента ИБ, возникает необходимость информирования конкретных лиц как внутри организации (вне обычных линий связи между ГРИИБ и руководством), так и за ее пределами, включая СМИ. Для этого могут потребоваться несколько этапов, например, подтверждение реальности инцидента ИБ и его подконтрольности, определение инцидента ИБ как объекта кризисного управления, завершение инцидента ИБ и завершение отчета о нем.
В случае необходимости осуществления передачи информации необходимо определить, кому нужно знать, что и когда. В таком случае необходимо определить получателей информации и в зависимости от скорости и полноты получения информации разделить их на группы, например:
— прямые внутренние получатели (кризисный персонал, персонал СУИБ и т. п.);
— прямые внешние получатели (внешняя ГРИИБ, партнеры, поставщики и т. п.);
— другие внешние получатели, например, телевидение, пресса и/или другие СМИ.
Каждая группа может нуждаться в разного рода информации, которую она будет получать с определенной скоростью по выделенному организацией каналу. Одной из основных задач передачи информации после решения инцидента ИБ является гарантирование того, что прямые внешние и внутренние посредники получат более полную информацию и раньше других внешних контактов.
Для оказания содействия такой деятельности целесообразно заранее подготовить конкретную информацию с целью быстрой адаптации ее к обстоятельствам возникновения конкретного инцидента ИБ и предоставления этой информации прессе и/или другим СМИ.
Если информация, относящаяся к инцидентам ИБ, должна освещаться в прессе, то это нужно сделать в соответствии с политикой распространения информации организации. Информация, подлежащая распространению среди общественности, должна быть проанализирована ответственными лицами, например, координатором по связи с общественностью, руководителем ГРИИБ и высшим руководством.
4.7. Расширение сферы принятия решений (эскалация)
Если инцидент ИБ не находится под контролем и содержит реальную угрозу бизнесу, организация может осуществить эскалацию инцидента ИБ, т. е. расширить сферу принятия решений. Это нужно для того, чтобы активировать имеющийся план обеспечения непрерывности бизнеса, информируя высшее руководство, внешнюю ГРИИБ и другие заинтересованные организации.
Эскалация может потребоваться вслед за процессами оценки или происходить в ходе процессов оценки, если проблема становится очевидной на ранней стадии ее обнаружения. Группа поддержки и ГРИИБ, которые могут принять решение об эскалации, должны иметь соответствующие директивы в документации схемы управления инцидентами ИБ.
4.8. Документирование и контроль внесения изменений
Все, кто причастен к управлению инцидентами ИБ, должны документально фиксировать все свои действия для дальнейшего анализа. Информацию об этих действиях вносят в форму отчета об инцидентах ИБ и в базу данных события / инцидента / уязвимости ИБ, непрерывно обновляемую в течение всего времени действия инцидента ИБ от первого сообщения до завершения анализа инцидента ИБ.
Эта информация должна храниться с применением средств защиты и обеспечением соответствующего режима резервирования. Кроме того, изменения, вносимые в процессе мониторинга инцидента ИБ, обновления форм отчета и баз данных уязвимостей / инцидентов / событий ИБ, должны вноситься в соответствии с формально принятой схемой контроля внесения изменений
5 фаза — извлечение уроков
Эта фаза наступает, когда инциденты ИБ решаются/завершаются, и включает извлечение уроков из результатов обработки инцидентов (и
