Információbiztonsági incidens
Az információbiztonsági incidensek olyan nem kívánt vagy nem várt egyedi vagy sorozatos információbiztonsági események, amelyek nagy valószínűséggel veszélyeztetik az üzleti tevékenységet és fenyegetik az információbiztonságot.
Példák
[szerkesztés]- a szolgáltatás, a berendezés vagy az eszközök elvesztése;
- a rendszer hibás működése vagy túlterhelések (DDos-támadás);
- emberi hibák;
- a szabályzatoknak vagy irányelveknek való nemmegfelelés;
- a kényszervészjelzés olyan módszer, amely rejtetten mutatja, hogy egy tevékenység kényszer alattmegy végbe
- a fizikai biztonsági rendelkezések megsértése;
- nem ellenőrzött rendszerbeli változások;
- a szoftver vagy hardver hibás működése;
- hozzáférési sértések.
- rosszindulatú kód;
- a nem teljes vagy nem pontos működési adatokból eredő hibák;
- a bizalmasság és sértetlenség megsértése;
- az információrendszerekkel való visszaélés
Formái
[szerkesztés]Az incidensek lehetnek véletlen események, illetve szándékos károkozás eredményei. Soha ne feledjük el, hogy az incidensek vélt forrása mögött sokkal súlyosabb szándék is meghúzódhat (pl. szándékos hacker-támadás, vagy olyan esemény, mely átlépheti a szervezeti és nemzeti határokat), ezért önkényesen soha ne kezdjük hozzá az incidens kezelésére vagy felfedésére, hanem csakis a szervezetnél kidolgozott módszertan szerint eljárni.
Információbiztonsági incidensek kezelése
[szerkesztés]- az incidens okának elemzése és azonosítása;
- behatárolás;
- ha szükséges, helyesbítő tevékenység tervezése és bevezetése az újbóli előfordulás megakadályozására;
- adatközlés azoknak, akiket érint az incidens-helyreállítás, vagy abba be vannak vonva;
- a tevékenység jelentése az illetékes testületnek
Első lépés gyanánt szükséges az információs rendszerekhez kapcsolódó információbiztonsági események és gyenge pontok azonosítása, illetve közzététele, hogy lehetőség legyen helyesbítő tevékenységek időben való megtételére. Szükséges, hogy hivatalos eseményjelentési és kiterjesztési eljárások álljanak rendelkezésre. Szükséges az információbiztonsági tudatosság oktatása egyaránt az alkalmazottak, illetve a szerződő partnerek, harmadik felek felé, melynek egyik pontja éppen az ilyen információbiztonsági események jelentésének kötelezettségét írja elő, illetve kijelöli, hogy mely vezetőt kell értesíteni az esemény bekövetkeztéről. A jelentéseket a lehető leggyorsabban kell közzétenni bármely információbiztonsági incidensről. A jelentő mechanizmus a lehető legkönnyebben, legjobban hozzáférhető és rendelkezésre állónak kell lennie. Tájékoztatni szükséges az érintett alkalmazottakat, szerződő partnereket, harmadik feleket, hogy semmilyen körülmények között ne kíséreljék meg ellenőrizni a gyanított gyenge pontot.
A jelentési eljárások magukba kell foglalják a következőket:
- alkalmas visszajelzési folyamatok, biztosítva, hogy azok, akik jelentést adnak az információbiztonsági eseményekről, legyenek értesítve az eredményekről, miután a kérdéssel foglalkoztak és lezárták;
- az információbiztonsági eseményt jelentő formanyomtatványok, hogy segítsék a jelentési tevékenységet és a jelentő személyt, hogy emlékezzék az összes szükséges tevékenységre egy információ-biztonsági esemény esetén;
- a helyes viselkedés, amelyet egy információbiztonsági esemény esetén tanúsítani kell, azaz
- minden lényeges részlet azonnali feljegyzése (pl. a nemmegfelelőség vagy sértés fajtája, az előforduló helytelen működés, üzenet a képernyőn, különleges viselkedés);
- nem hajtanak végre semmilyen saját tevékenységet, hanem azonnal jelentenek a kapcsolati helynek;
- utalás egy kidolgozott, hivatalos fegyelmi folyamatra, amely olyan alkalmazottakkal, szerződő felekkel és használó harmadik féllel foglalkozik, akik biztonsági sértést követnek el.
Hibás működés vagy más rendellenes rendszerviselkedés jele lehet egy biztonsági támadásnak vagy tényleges biztonsági sértésnek, ezért mindig információbiztonsági eseményként szükséges jelenteni.
Nagy kockázatú környezetben kényszervészjelzést lehet alkalmazni, ezáltal egy kényszer alatt álló személy jelezhet ilyen problémákat(pl. banki betörés során). A kényszervészjelzésekre válaszoló eljárások tükrözzék azt a nagy kockázatú helyzetet, amelyet az ilyen vészjelek mutatnak.
Második lépés az incidenskezelési lépések megtétele, erre szintén hivatalos eljárási rendet szükséges kidolgozni. Hivatalos információbiztonsági eseményt jelentő eljárást kell létrehozni, együtt egy incidensre adott válasz- és kiterjesztési eljárással, megállapítva a megteendő tevékenységet egy információbiztonsági eseményjelentés átvételekor. Ki kell alakítani, jelölni egy kapcsolati helyet az információbiztonság jelentéséhez. Gondoskodni kell arról, hogy ezt a kapcsolati helyet ismerjék mindenütt a szervezetben, álljon mindig rendelkezésre és legyen képes kellő időben megfelelő választ adni.
Szükséges kijelölni a felelősöket. Felelősségek és eljárások álljanak rendelkezésre, hogy eredményesen kezeljék az információbiztonsági eseményeket és gyengeségeket, ha már egyszer jelentették.
Folyamatos fejlesztési folyamatot alkalmazzanak az információbiztonsági incidensekre való válaszként, azok figyelemmel kísérésére, és átfogó kezelésére. Ha bizonyíték szükséges, össze kell gyűjteni, hogy biztosítsák a jogi követelményeknek való megfelelést. Vezetőségi felelősségeket és eljárásokat kell kialakítani, hogy gyors, eredményes és szabályos választ biztosítsanak az információbiztonsági incidensekre.
Szükséges az állandó figyelemmel kísérés. Az információbiztonsági események és gyenge pontok jelentésén túl alkalmazzák a rendszerek figyelemmel kísérését (a riasztások, sebezhetőségeket), hogy felfedjék az információbiztonsági incidenseket.
Tanulságok levonása Legyenek kész mechanizmusok, hogy lehetővé tegyék az információbiztonsági incidensek fajtái, mennyiségei és költségei számszerűsítését és figyelemmel kísérését, a kinyert információt használják fel, hogy azonosítsák az ismétlődő vagy nagy hatású incidenseket. Az információbiztonsági incidensek kiértékelése jelezheti az igényt fokozott vagy kiegészítő ellenőrzésekre, hogy korlátozzák a jövőbeli előfordulások gyakoriságát, a belőle származó kárt és költséget, vagy amelyeket számításba kell venni a biztonsági politika átvizsgálási folyamatában. A titoktartási szempontokra megfelelően gondolva, az információbiztonsági incidensek felhasználhatók a használó tudatossági oktatásában példaképp, hogy mi történhet, hogyan válaszoljanak az ilyen incidensekre, és hogyan kerüljék el azokat a jövőben. Szükséges lehet, hogy képesek legyenek az információbiztonsági események és incidensek megfelelő kezelésére, hogy bizonyítékot gyűjtsenek az előfordulás után, amint csak lehet.
Irodalom
[szerkesztés]- MSZ ISO/IEC 17799:2006
- ISO/IEC TR 18044