top of page

 

 

Політика управління інцидентами

П - 16

версія 4.0

 

ТОВ "Бінотел"

Затверджено:

Генеральний директор

Корзун А.В.

09 грудня 2021 року

Переглянуто 14 лютого 2022 року

Переглянуто 23 лютого 2023 року

Переглянуто 23 лютого 2024 року

 

1. Терміни, абревіатури та скорочення

СУІБ – система управління інформаційної безпеки

КІБ – комітет з інформаційної безпеки.

Інформаційні активи - всі комп'ютерні системи, програмне забезпечення та інше периферійне обладнання, що використовується для обробки або зберігання даних, а також інформація, що обробляється цими системами

Інформаційні системи (ІС) - комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання

Аутентифікація - процедура перевірки відповідності пред'явленого ідентифікатора щодо належності його пред'явнику; встановлення або підтвердження справжності

Електронний журнал реєстрації подій – електронний журнал, у якому фіксуються події, що відбуваються у компонентах ІС. Журнали реєстрації подій надають можливість здійснювати моніторинг подій, у тому числі подій безпеки та виявляти інциденти безпеки

Інцидент безпеки - небажана подія або серія небажаних подій інформаційної безпеки, які мають більшу ймовірність компрометації бізнес-операцій, які можуть загрожувати інформаційній безпеці.

Механізми запису подій безпеки - механізми, які записують в електронних журналах реєстрації подій безпеки та інші події інформаційних систем на рівні ОС, програмного забезпечення та мережевого обладнання

Подія безпеки - подія в інформаційних системах та мережах, яка може вказувати на можливе порушення політики безпеки, збій засобів безпеки або невідому раніше ситуацію, яка може мати відношення до інформаційної безпеки

Прикладна програмна система - прикладне програмне забезпечення, а також інформація, яка їм обробляється та зберігається

 

2. Призначення та сфера застосування

Політика визначає вимоги щодо реєстрації та моніторингу подій інформаційної безпеки в ІС.

Реєстрація та моніторинг події в ІС здійснюються з метою ідентифікації подій безпеки та, як наслідок, оперативного виявлення інцидентів інформаційної безпеки. Також моніторинг може використовуватися для перевірки ефективності заходів безпеки.

 

3. Нормативні посилання

Політика розроблена відповідно до вимог чинних документів:

• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;

• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».

 

4. Реєстрація подій безпеки

Реєстрація подій безпеки повинна здійснюватись на наступних рівнях:

  1. Мережевому – активне мережеве обладнання та інші вузли комп'ютерної мережі;

  2. Системне - операційні системи;

  3. Програмного забезпечення - системного (СУБД, віртуальні сервери, утиліти, системні служби тощо) та прикладного (бізнес-додатки)

Реєстрація подій безпеки повинна бути активована та налаштована відповідальними адміністраторами компонентів ІС, для всіх компонентів ІС, відповідно до вимог цього Положення (за винятком компонентів ІС, на яких відповідний функціонал не реалізований постачальником програмного забезпечення).

 

Реєстрація подій безпеки повинна здійснюватись у балансі з продуктивністю ІС, тобто не повинна перешкоджати нормальній роботі ІС.

Реєстрація подій безпеки повинна здійснюватися з огляду на критичність ІС та керуючись вимогами регулятивних органів. КІБ спільно з адміністратором ІС відповідають за визначення вимог до реєстрації подій безпеки.

Механізми реєстрації подій безпеки не повинні зберігати критичні дані, наприклад паролі користувачів, які використовуються для доступу до мережних пристроїв, компонентів ІС або прикладних програм.

 

5. Вимоги до реєстрації подій безпеки

З метою успішного моніторингу подій безпеки в ІС на кожному рівні ІТ-архітектури повинна реєструватися інформація, необхідна для виявлення спроб втручання у роботу компонентів ІС та подальшого розслідування інцидентів ІБ щодо ІС.

На рівні мережі мають реєструватися такі події безпеки:

  • вдалі та невдалі спроби зміни налаштувань пристрою;

  • увімкнення та вимкнення пристрою.

  • Для кожної події на рівні мережі повинні реєструватися такі характеристики:

  • дата та час події;

  • тип операції/події;

  • ідентифікатор користувача (якщо є);

  • IP-адреса джерела сесії;

  • IP-адреса, мережна служба та протокол з'єднання або консольний порт, сесії;

  • На рівні операційної системи мають реєструватися такі події:

  • вдалі та невдалі спроби створення, зміни та видалення груп та облікових записів (у тому числі зміни паролів доступу);

  • зміни прав доступу папок та файлів;

  • невдалі спроби доступу до папок та файлів;

  • вдалі та невдалі спроби підвищення привілеїв облікових записів (виконання команд sudo, run as тощо);

  • підключення та відключення зовнішніх пристроїв;

  • запуск та зупинення системи та системних служб;

  • вдалі та невдалі спроби зміни конфігурації системи.

  • Для кожної події на рівні операційної системи повинні реєструватися такі дані:

  • дата та час події;

  • тип операції/події;

  • ідентифікатор користувача чи процесу;

  • IP-адреса джерела сесії;

  • системна служба чи програмне забезпечення клієнта.

На рівні програмного забезпечення повинні реєструватись такі події (якщо ці події не реєструються на рівні операційної системи):

  1. вдалі та невдалі спроби доступу (якщо ідентифікація та автентифікація користувачів здійснюється на рівні програмного забезпечення);

  2. невдалі спроби доступу до даних/ресурсів;

 

Для кожної події на рівні програмного забезпечення повинні реєструватися такі дані:

  • дата та час події;

  • тип операції/події;

  • ідентифікатор користувача чи процесу;

  • IP-адреса джерела сесії.

  • Дії адміністраторів та операторів ІС підлягають додатковому моніторингу.

 

6. Захист журналів реєстрації

Журнали реєстрації мають такий самий рівень класифікації, як і компоненти ІС, з якої вони отримані.

Для журналів реєстрації подій в ІС, адміністраторами ІС повинні бути застосовані заходи безпеки (контроль доступу до файлів журналів на рівні операційної системи, контроль цілісності файлів журналів реєстрації подій тощо), які запобігають видаленню, фальсифікації та несанкціонованому копіюванню інформації про події безпеки .

Доступ до журналів реєстрації має надаватися лише адміністраторам ІС, яким він потрібен для виконання службових обов'язків, а також відповідальному, який задіяний у процесі моніторингу подій безпеки.

Інформація про події безпеки не повинна розголошуватись неавторизованим особам. Події безпеки можуть обговорюватися лише працівниками, які відповідають за аналіз та оцінку інформації про події безпеки.

Забороняється створювати копії та зберігати дані про події безпеки на особистих носіях інформації.

 

7. Захист механізмів запису подій

Механізми запису подій безпеки повинні захищатися відповідно до рівня класифікації ІС на рівні мережі (контроль мережного доступу до налаштувань інструментів реєстрації), операційної системи (контроль доступу користувачів та груп) та програмного забезпечення (використання самозахисних механізмів, таких як перевірка цілісності коду при запуску програми ).

Особлива увага має приділятися правильному функціонуванню цих механізмів та безперервному надходженню подій безпеки з пристроїв, ІС. Перерва чи припинення надходження подій безпеки мають своєчасно виявлятися та розслідуватися як інциденти безпеки.

 

8. Синхронізація часу

Синхронізація часу ІС є критично важливою для аналізу подій безпеки, виявлення інцидентів безпеки, а також є необхідним для відтворення перебігу подій при розслідуванні інцидентів та аналізу журналів реєстрації подій, отриманих з різних джерел.

Адміністратори ІС повинні встановити для потреб ІС еталонний годинник для компонентів ІС, пов'язаних з широкомовною розсилкою часу від міжнародних або національних атомних годинників точного часу.

Адміністратори ІС повинні налаштувати всі годинники ІС, включаючи мережне обладнання, для синхронізації з еталонним годинником за допомогою протоколу NTP.

 

9. Управління журналами реєстрації подій

Дані про події безпеки повинні зберігатись у вигляді оперативних журналів протягом 3 місяців. Оперативні журнали реєстрації подій дозволяють здійснити розслідування інцидентів ІБ у разі своєчасного виявлення.

Дані щодо подій безпеки повинні зберігатися в архіві протягом 1 року.

Архівні журнали реєстрації подій допомагають розслідувати інциденти ІБ, які були знайдені із запізненням, а також відіграють роль сховища доказів для майбутніх аудитів та вимірювань ефективності процесів моніторингу та управління інцидентами.

Адміністратори ІС повинні налаштувати резервне копіювання журналів реєстрації подій із частотою, визначеною класифікацією ІС:

  1. критичні системи – щодня

  2. чутливі системи – щотижня;

  3. некритичні системи – щомісяця.

Адміністратори ІС повинні контролювати ємність накопичувачів, на яких знаходяться журнали реєстрації подій, щоб забезпечити їхню достатність для зберігання даних. Особлива увага повинна приділятися налаштуванням, як працюватиме ІС, якщо обсяг вільного дискового простору стає дуже низьким. Ці налаштування повинні визначатися з урахуванням ризиків, властивих ІС, рівню критичності, вимогам бізнесу тощо.

 

10. Моніторинг подій безпеки

Адміністратори ІС контролюють журнали реєстрації подій безпеки ІС з метою забезпечення своєчасного виявлення інцидентів ІБ. Моніторинг повинен здійснюватися з урахуванням критичності ІС з використанням автоматизованих систем моніторингу або ручної обробки журналів реєстрації подій безпеки.

У разі використання автоматизованих систем моніторингу вони повинні забезпечувати частоту аналізу подій відповідно до класифікації ІС, які вони контролюють, та своєчасне повідомлення про можливі інциденти безпеки КІБ.

У разі ручної обробки журнали реєстрації подій безпеки, залежно від рівня класифікації ІС, періодично переглядаються адміністраторами ІС. При визначенні періодичності проведення переглядів необхідно враховувати такі параметри, як критичність ІС, цінність інформації в ньому, можливість неправильного використання компонентів ІВ, історія попередніх спроб несанкціонованого доступу до компонентів ІС та інших інцидентів, а також характер зв'язку ІС із зовнішніми мережами.

КІБ несе відповідальність за контроль за виконанням моніторингу подій безпеки адміністраторами ІС. Для здійснення контролю КІБ періодично виконує вибірковий перегляд журналів реєстрації подій безпеки ІС та перевіряє, чи був виконаний перегляд цих подій, а також було повідомлено про інциденти безпеки, виявлені в результаті цього перегляду.

 

11. Повідомлення про інциденти ІБ

При використанні автоматизованих систем моніторингу, адміністратори компонентів ІС (автоматизованих систем моніторингу) повинні налаштувати автоматичне повідомлення адміністратора ІС та КІБ про виявлені інциденти ІБ, такі як:

  • атаки типу "відмова в обслуговуванні" (DoS, DDoS)

  • спроба несанкціонованого доступу до ІС;

  • порушення користувачами вимог безпеки, встановлених для ІС;

  • виявлення шкідливих програм;

  • втрата або витік чутливої інформації;

  • вихід із ладу критичних компонентів ІС.

Про всі інциденти безпеки, підозрілі події безпеки або можливі інциденти безпеки, виявлені під час ручної обробки журналів реєстрації подій, адміністратори ІС повинні повідомляти КІБ.

Усі інциденти підлягають оцінці стану інформаційної безпеки та результативності СУІБ.

КІБ має визначити:

  • Що необхідно відстежувати та вимірювати, у тому числі процеси інформаційної

безпеки та процеси;

  • Методи моніторингу, вимірювання, аналізу та оцінки, залежно від обставин, з метою забезпечення достовірних результатів;

  • Оцінка результативності проводиться за результатами внутрішніх аудитів та фіксується у звіті.

 

Оцінку результативності робить КІБ.

Результати результативності процесу ІБ формуються в аналізі вищого керівництва.

 

12. Ролі та обов'язки

Керівництво компанії:

  1. під час процесу класифікації інформації визначає цінність інформації, що обробляється в ІС;

  2. погоджує рівень та заходи безпеки компонентів ІС, спрямовані на здійснення моніторингу подій ІБ.

  3. Адміністратор ІС:

  4. несе відповідальність за вибір, застосування та виконання заходів моніторингу подій безпеки;

  5. відповідає за виконання процесу моніторингу ІС.

  6. налаштовує механізми реєстрації журналів подій;

  7. виконує автоматичний або ручний моніторинг подій безпеки в ІС;

  8. виявляє, реєструє та своєчасно повідомляє КУІБ про виявлені чи потенційні інциденти безпеки.

КУІБ:

  1. бере участь у виборі та застосуванні заходів безпеки ІС щодо моніторингу подій безпеки;

  2. приймає рішення щодо класифікації виявлених потенційних інцидентів безпеки;

  3. координує процес керування інцидентами безпеки;

  4. несе відповідальність за вимірювання ефективності та контролю процесу моніторингу ІС.

    

13. Канали зв'язку для інформування щодо інцидентів інформаційної безпеки:

З усіх питань інцидентів ІБ у компанії Бінотел можна звертатися:

Електронна пошта iso@binotel.com

Електронна пошта inku@binotel.com

Електронна пошта sen@binotel.com

За телефонами відділу контролю якості: +38 044 344 25 25 +38 050 344 25 25

Робочі групи компанії Бінотел у Skype


 

14. Перегляд документа

Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.

bottom of page