Основы управления инцидентами

Лекции

Раздел 1. Стандартизация в области управления инцидентами ИБ. 1-2 недели (2 часа)

Тема 1. Введение
Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний.
Тема 2. Нормативная база управления инцидентами ИБ
Существующие стандарты и методологии по управлению инцидентами ИБ: их отличия, сильные и слабые стороны. История развития. ISO/IEC 27035:2011 – управление инцидентами ИБ. ISO/IEC 27037 – руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме.

Раздел 2. Базовые вопросы управления инцидентами ИБ. 3-8 недели (6 часов)

Тема 3. Система управления инцидентами ИБ
Событие и инцидент ИБ.
Сущность и функции управления. Наука управления. Принципы, подходы и виды управления. Цели и задачи управления ИБ. Понятие системы управления.
Цели и задачи управления инцидентами ИБ.
Система управления инцидентами ИБ (СУИИБ).
Тема 4. Процесс управления инцидентами ИБ
Понятие процесса. Методы формализации процессов. Цели и задачи формализации процессов. Основные процессы. Понятие процессного подхода. Процессный подход к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию систем управления (на примере СУИИБ).
Важность процесса управления инцидентами ИБ с точки зрения управления ИБ. Входные/выходные данные процесса. Участники процесса. Связи с другими процессами СУИБ. Обязательные этапы процесса. Планирование и подготовка процесса. Внедрение процесса. Использование СУИИБ. Анализ процесса. Улучшение процесса.
Тема 5. Обнаружение и обработка событий и инцидентов ИБ
Обнаружение событий ИБ и инцидентов ИБ и оповещение о них.
Обработка событий ИБ и инцидентов ИБ. Первая оценка и предварительное решение по событию ИБ. Вторая оценка и подтверждение инцидента ИБ.
Тема 6. Реагирование на инциденты ИБ
Немедленное реагирование на инцидент ИБ. Контролируемость инцидента ИБ. Последующее реагирование на инцидент ИБ. Антикризисные действия. Правовая экспертиза инцидентов ИБ. Передача информации. Расширение области принятия решений. Регистрация деятельности и контроль за внесением изменений. Техническая поддержка реагирования на инциденты ИБ.

Раздел 3. Документация СУИИБ. 9-10 недели (2 часа)

Тема 7. Политика управления инцидентами ИБ
Основные цели. Структура. Содержание.
Тема 8. Программа управления инцидентами ИБ
Основные цели. Структура. Содержание.
Другие документы: формы регистрации инцидентов, регламенты сбора свидетельств инцидентов ИБ и т.п.

Раздел 4. Кадровые вопросы при управлении инцидентами ИБ. 11-12 недели (2 часа)

Тема 9. Группа реагирования на инциденты ИБ
Цели, задачи. Состав группы. Понятие роли. Использование ролевого принципа в рамках СУИИБ. Преимущества использования ролевого принципа. Ролевая структура СУИИБ (основные и дополнительные роли).
Тема 10. Обеспечение осведомленности и обучение в области инцидентов ИБ

Раздел 5. Технические вопросы при управлении инцидентами ИБ. 13-14 недели (2 часа)

Тема 11. Сохранение доказательств инцидента ИБ
Тема 12. Средства управления событиями ИБ

Литература

  1. Серия «Вопросы управление информационной безопасностью». Часть 1: Основы управления информационной безопасностью Учебное пособие. для вузов / А.П. Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  2. Серия «Вопросы управления информационной безопасностью». Часть 2: Управление рисками информационной безопасности: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  3. Серия «Вопросы управления информационной безопасностью». Часть 3: Управление инцидентами информационной безопасности и непрерывность бизнеса: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  4. Серия «Вопросы управления информационной безопасностью». Часть 4: Технические, организационные и кадровые аспекты управления информационной безопасностью: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  5. Информационная безопасность открытых систем: Учеб. для вузов / С.В.Запечников, Н.Г.Милославская, А.И.Толстой, Д.В.Ушаков В 2 томах. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая линия–Телеком, 2006. 536 с.
  6. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».
  7. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  8. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
  9. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».
  10. ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management».
  11. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». – М.: Стандартинформ, 2009. – 50 с.
  12. CMU/SEI-2004-TR-015 «Defining incident management processes for CISRT».
  13. NIST SP 800-61 «Computer security incident handling guide».
  14. Killcrece G., Kossakowski K.P., Ruefle R., Zajicek M. State of Practice of Computer Security Incident Response Teams (CSIRTs). Technical report CMU/SEI-2003-TR-001. Carnegie Mellon Software Engineering Institute, 2003.

Дополнительная литература

  1. ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management».
  2. Burdach M. Forensic Analysis of a Live Linux System. – URL: http://www.symantec.com/connect/articles/forensic-analysis-live-linux-system-pt-1 (дата обращения: 01.2012).
  3. Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М.: Право и закон, 2001. 416 с. (Серия «Практическая юриспруденция. Судебная экспертиза».
  4. BS 10008:2008 «Evidential weight and legal admissibility of electronic information. Specification»
  5. ISO/PAS 22399:2007 «Societal security. Guideline for incident preparedness and operational continuity management»