ISO/IEC 27032-2012 Руководство по кибербезопасности. Часть 3

11.4.2.3. Мониторинг сети и реагирование

Мониторинг сети является одним из инструментов, активно используемых в решении задач обеспечения надежности и качества предоставляемых сетевых услуг. Кроме того, мониторинг сети может выступать эффективным средством выявления аномалий сетевого трафика и детектирования вредоносной активности, возникающей в сети.

 Для результативного мониторинга и реагирования на его результаты в организации следует обеспечить:

  • Понимание персоналом различий между нормальным и аномальным трафиком. 
  • Наличие и применение соответствующих организационных решений и инструментальных средств, обеспечивающих возможность выявления аномальных состояний трафика и портов. 
  • Проведение регулярных тестов и тренингов реагирования до того, как реально возникнет потребность в таком реагировании. По результатам проведенных тестов и тренингов необходимо совершенствовать методики, процессы и средства реагирования.
  • Понимание персоналом индивидуальных составляющих сетевой активности. Если, например, некто из обычно неактивных пользователей внезапно начинает генерировать большие потоки на уровне 100 процентов доступной полосы пропускания, то, возможно, требуется отключить такого подозрительного пользователя, по крайней мере, до тех пор, пока не будет найдена причина его исключительной активности. Сетевая изоляция является действенной мерой предотвращения распространения вредоносных программ, хотя в некоторых случаях ее применение может требовать согласия пользователя или изменения условий предоставления услуг.
  • Проявление особого внимания к результатам мониторинга активности таких источников данных в сети, как, например, DNS и фильтры сообщений, анализ которых может указать адреса устройств, скомпрометированных действием вредоносных кодов, но по каким-либо причинам пропущенных системами обнаружения вторжений или антивирусными сервисами. 

ПРИМЕЧАНИЕ. Учитывая большой объем информации в сети, решение задач мониторинга трафика и оповещения об отклонениях следует возложить на специальные системы обнаружения (или предотвращения) вторжений.

11.4.2.4. Поддержка пользователей и эскалация информации

Для оказания технической помощи конечным пользователям в решении вопросов, возникающих в связи с предоставляемыми им сервисами, все предприятия, включая провайдеров услуг и государственные организации, как правило, должны иметь в своем составе соответствующие службы поддержки.

При эпидемиях вредоносных кодов в сети Интернет, провайдеры могут получать от пользователей информацию, сообщения и запросы, которые касаются вредоносных программ и других аспектов кибербезопасности. Такая информация является важной и полезной для оценки ситуации и риска, а также для разработки соответствующими вендорами необходимых обновлений и средств деактивации и удаления вредоносных кодов.

Все предприятия и организации должны поддерживать контакты с провайдерами услуг безопасности для передачи им сведений о проблемах и дальнейшей их эскалации вендорам с передачей им соответствующих образцов вредоносных кодов для исследования и создания средств противодействия. Основные вендоры открывают для широкого доступа списки своих электронных адресов, по которым они готовы принимать такие сведения и образцы кодов. Примеры адресов ряда крупных вендоров представлены в таблице В.1 Приложения B.

11.4.2.5. Осведомленность о новейших достижениях

Для непрерывного совершенствования собственных возможностей организации по результативному обращению с рисками информационной безопасности, ликвидации новейших уязвимостей и отражения атак следует активно участвовать в деятельности различных тематических сообществ, в работе профильных форумов и конференций, делясь своим опытом и, параллельно, осваивая и заимствуя чужой передовой опыт.

11.4.3. Требования безопасности для провайдеров веб-хостинга и/или других сетевых сервисов

Большинство провайдеров рассматривают предоставление услуг хостинга на своих ресурсах качестве части своего бизнеса. Такие услуги, как правило, ассоциированы с веб-сайтами и другими интернет-приложениями, которые являются собственностью малого бизнеса или конкретных пользователей и подвергаются частым реконструкциям и сменам собственников.

При этом возникает риск снижения безопасности конечного потребителя, который в результате реконструкций или смены собственников может оказаться под действием небезопасных приложений или вредоносного содержимого сайта. И в этом контексте важно, чтобы условия соглашений по предоставлению услуг веб-хостинга и/или других сетевых сервисов соответствовали положениям стандартов лучшей практики и передового опыта.

Если предоставление услуг конечным пользователем осуществляется несколькими провайдерами на основе их сотрудничества, то необходим анализ их кооперации, а в соглашениях между провайдерами должны быть оговорены механизмы взаимодействия в критических ситуациях. В частности, например, обновление и патчи сервисов какого-либо одного провайдера не должны вызывать проблем у остальных провайдеров, а в случае возникновения таких проблем доработка решений должна выполняться именно этим провайдером.

Соглашения между провайдерами и пользователями должны, как минимум, предусматривать следующие разделы:

  • Пользовательская инструкция, в которой должны быть ясно изложены политика безопасности и нормы уважения информационного суверенитета применительно к сайтам, приложениям и любым кодам, которые могут быть загружены и выполнены конечными пользователями через онлайновые ресурсы (включая объекты Help-подсистем).
  • Пользовательское соглашение, которое предусматривает возможность пользователя принять или отказаться от принятия тех или иных сервисов, описанных в Инструкции Пользователя. Это дает возможность пользователю самостоятельно принять решение о том, в какой мере он будет принимать или не принимать предложенные условия соглашения.
  • Пользовательские настройки, которые дают пользователю возможность изменить настройки или даже отказаться от их дальнейшего использования несмотря на его исходное согласие с их принятием.

Положения этих соглашений являются служат гарантиями того, что конечные пользователи имеют четкое представление о функциях и поведении онлайнового сервиса в контексте выполнения требований безопасности и соблюдения информационного суверенитета. Тексты соглашений должны быть составлены с привлечением профессиональных юристов так, чтобы предохранить провайдера от возможных судебных исков со стороны конечных пользователей в связи с ущербом, полученным от неясностей в политике или работе сервиса либо от действия представленного контента.

В  дополнение к использованию механизмов защиты данных и обеспечению информационного суверенитета, провайдеры должны требовать от собственников сервисов, предоставляемых на их ресурсах, реализации комплекса мер лучших практик управления безопасностью на уровне приложений еще до того, как они будут открыты для широкого доступа. Эти меры должны включать, но не ограничиваться, положениями, изложенными в п. 12.2.

Частью инфраструктуры хостинг-провайдера должны быть средства защиты серверов от несанкционированного доступа и/или от размещения на них вредоносного контента. Примеры таких средств защиты изложены в п.12.3.

Необходимость соблюдения требований безопасности должна быть предусмотрена провайдерами в отдельных положениях соглашений, регламентирующих предоставление услуг хостинга.

11.4.4. Рекомендации по защите потребителей

Провайдеры должны давать потребителям рекомендации по вопросам их онлайновой безопасности. Провайдер может предоставлять такие консультации непосредственно или же рекомендовать пользователям обратиться к доступным сервисам, которые оказывают такие услуги. Крайне важно обучить конечных пользователей правилам безопасного поведения в Киберпространстве в каждой из возможных ролей, описанных в раздел 7.

Кроме того, провайдеры должны играть активную роль в консультировании конечных пользователей по соответствующим техническим средствам обеспечения безопасности. Формы повышения осведомленности конечных пользователей могут быть различными, например:

  • Периодическая (например, ежемесячная) рассылка информации по вопросам безопасности; проведение тематических веб-трансляций или распространение через веб-ресурс провайдера соответствующих видео и/или, аудио сообщений.
  • Прямые широковещательные трансляции заказных образовательных видео- или веб-программ, направленных на повышение знаний и умений конечных пользователей в различных аспектах безопасности.
  • Включение специальной колонки анонса важной информации и ключевых событий в области безопасности в письма, рассылаемые на бумажном носителе конечным пользователям, резидентам или офисам.
  • Проведение периодических семинаров и презентаций для конечных пользователей, организовываемых самостоятельно или совместно с партнерами, другими компаниями, предприятиями и учреждениями. 

Провайдеры, использующие электронную почту в качестве приоритетного канала взаимодействия с конечными пользователями, должны оказывать им содействие в защите от атак социального инжиниринга. В частности, конечным пользователям следует постоянно напоминать, что провайдер по собственной инициативе никогда не запрашивает в своих сообщениях электронной почты:

  • личную информацию;
  • логины;
  • пароли,

а также никогда по своей инициативе не рассылает предложений, требующих от получателя каких-либо интерактивных действий, связанных с обеспечением безопасности.

Если провайдер предлагает пользователю обратился к его сайту, он должен сообщить пользователю способ безопасного обращения к нужному адресу. Например, можно предложить пользователю вручную ввести URL в браузере с тем, чтобы избежать использования интерактивных ссылок...

Чтобы прочитать стандарт полностью, напишите автору

Книги | Автор | Статьи | Фильмы | Фото | Отзывы | Контакт | Студентам | Ветеранам | Творчество | Учебники | Астрология