Какие статьи соответствуют произошедшему инциденту?
Dolgovnet34.ru

Юридический портал

Какие статьи соответствуют произошедшему инциденту?

Инцидент – это неблагоприятное происшествие. Расследование ситуации

Любой инцидент представляет собой неблагоприятное стечение обстоятельств. Следует сделать всё возможное для предотвращения его в дальнейшем. Кроме того, немаловажную роль играет возможность улучшения и предотвращения ситуации. В этом состоит расследование инцидентов.

Что такое неблагоприятное стечение обстоятельств

Инцидент — это неприятное происшествие. Это может быть случай, столкновение, недоразумение.

  1. Аварии крупного и мелкого масштаба.
  2. Чрезвычайные ситуации.
  3. Инциденты, которые уже почти произошли.
  4. Случаи, вызывающие ухудшение состояния здоровья.
  5. Прочие события, которые имели место.

И обязательно нужно учитывать объём вредного воздействия. Также играет роль причинённый ущерб.

Расследование инцидентов

Не стоит забывать, что инцидент — это неприятное происшествие. Такие случаи периодически происходят, поэтому их нужно изучать, подвергать анализу. Чтобы расследование осуществлялось в нужном направлении, нужно следовать правилам:

  1. Соблюдать все правовые требования, которые имеют отношение к ситуации.
  2. Вести перечень аварий.
  3. Регистрировать инциденты с должной долей ответственности.
  4. Принимать немедленные действия в отношении рисковых ситуаций.
  5. Правильно определять причины возникновения происшествий.
  6. Выбирать только полезных расследованию свидетелей.

В любом случае расследование должно происходить объективно и беспристрастно. Ни в коем случае нельзя задействовать личные интересы.

Выявленный инцидент — это ситуация, которая подлежит расследованию. Изучение представляет собой информационный процесс. Собирать сведения об инциденте нужно после его обнаружения. А если были выявлены предвестники происшествия, то тем более можно приступать к расследованию.

Особенности проведения расследования

Должны быть установлены требования, направленные на осуществление и документирование разных этапов расследования. Это состоит в том, чтобы:

  1. Собирать вовремя факты и свидетельства.
  2. Анализировать результаты.
  3. Осознавать важность корректирующих или предупреждающих действий.
  4. Доводить информацию до компетентных уполномоченных лиц.

В организации должны быть предусмотрены процедуры, направленные на расследование, фиксирование и анализ ситуации. Не стоит забывать, что инцидент — это проблема. А подход к ней должен быть систематизированным и структурированным.

Широта расследования происшествий

Следует заниматься расследованием всех имеющихся инцидентов. Ведь организация должна предотвратить повторение неблагоприятного случая. В ходе работы с инцидентами нужно принимать во внимание ряд факторов:

  1. Частота возникновения аналогичных инцидентов.
  2. Фактические итоги.
  3. Последствия инцидентов.

В организации немаловажное значение имеет способность понимания происшествий. Если имел место неприятный случай, то его не нужно отвергать. Грамотный подход состоит в том, чтобы принять инцидент таким, какой он есть. Поэтому нужно со вниманием относиться ко всем видам неблагоприятных ситуаций, фиксировать их. В этом и состоит расследование инцидентов.

Важность уведомления компетентных лиц

Очень важно осознавать необходимость предупреждающих и корректирующих действий. Поэтому следует уведомлять о произошедшем соответствующих лиц. Их роль может состоять в том, чтобы заниматься выявлением и оцениванием опасностей, рисков. Также надо обеспечивать реагирование на аварийные ситуации, осуществлять мониторинг, заниматься измерением деятельности в области ОЗиОБТ, анализировать ситуацию со стороны руководства.

Немаловажное значение имеет компетентность лиц, которые проводят расследование инцидентов. Результаты при этом должны соответствовать положениям пунктов а) – д) раздела 4.5.3.1 OHSAS 18001:2007.

Сотрудники, имеющие отношение к происшествию

В ходе расследования становится понятно, какие меры нужно предпринять в отношении сотрудников, имеющих отношение к событию. Инцидент случается не намеренно или по причине того, что является выгодным кому-либо.

Определение злоумышленников состоит в том, чтобы:

  • Восстановить ход инцидента.
  • Выявить участников и их роли.
  • Собрать материалы, предназначение которых состоит в привлечении к ответственности виновных.
  • Определить причины возникновения инцидента. Это должно касаться и выявления недостатков систем защиты организации.
  • Сформировать предложения, направленные на усиление систем защиты.
  • Собрать все данные.
  • Оценить негативные последствия происшествия.

Большое значение имеют механизмы, позволяющие регистрировать действия сотрудников в подлежащей расследованию сфере деятельности.

Вину сотрудника часто бывает довольно сложно определить. Это связано с отсутствием ряда фактов:

  • Неоднократное повторение связанных с сотрудником инцидентов.
  • Сотрудник принимает попытки скрыть следы происшествия. И это становится заметно.
  • Высказывания сотрудника, которые звучали перед инцидентом, подтвердили его намерения и мотивы.

Если есть основания в том, что инцидент осуществлялся умышленно, то имеет смысл обратиться в правоохранительные органы. Каким бы ни было происшествие, им стоит заниматься. Расследование причин инцидентов существенно снизит вероятность его повторения в дальнейшем. Ведь будут выявлены причины возникновения и наказаны виновные.

Инцидент информационной безопасности

Практически любая компания хоть раз сталкивалась с инцидентами в сфере информационной безопасности – это одно или несколько нежелательных или неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и создания серьезной угрозы ИБ. Классическими примерами считаются кражи персональных данных пользователей, искажение инфоактивов и различные нарушения требований законодательства.

Классификация

Инциденты информационной безопасности (ИБ) представлены десятками событий, объединенных в классификацию и делящихся по нескольким признакам:

  • По уровню тяжести для профессиональной деятельности компании.
  • По вероятному возникновению рецидива – повторное «заражение».
  • По типам угроз.
  • По нарушенным свойствам ИБ.
  • По преднамеренности возникновения.
  • По уровню информационной инфраструктуры.
  • По сложности выявления.
  • По сложности устранения и т.д.

Примеры

Инциденты могут быть случайными или умышленными, вызванными в области информационной безопасности техническими или иными средствами. Предугадать последствия влияния на всю систему сложно. Это может быть: раскрытие или изменение украденной информации, нанесение ущерба активам компании или их полное хищение и т.д.

  • Отказ в обслуживании. Большая категория, включающая события, которые приводят системы, сети или серверы к неспособности функционировать с прежними показателями и параметрами. Чаще всего проявляются, если пользователи в процессе авторизации получают отказ доступа. В данной группе инцидентов информационной безопасности (ИБ) выделяют несколько типов, создаваемых компьютерными и иными ресурсами: истощение и полное уничтожение ресурсов. Наиболее распространенные примеры: единовременный запуск сразу нескольких сеансов в рамках одной системы, передача данных в запрещенном формате в попытках вызвать различные нарушения или свести на «нет» их нормальную работу и т.д.
  • Сбор информации. Предусматриваются действия, связанные с установлением возможных, наиболее явных целей атаки и получением сведений о соответствующих сервисах. Инциденты в этой категории предполагают выполнение разведывательных мероприятий, чтобы выявить: наличие цели и ее потенциальные уязвимости. Распространенные примеры атак с использованием технических устройств – сброс записей DNS, отправление сообщений-тестов по «левым» координатам для поиска функционирующей системы, исследование объекта для идентификации, анализ открытых поротов на протокол передачи файлов и т.д.
  • Несанкционированный доступ. Это остальные инциденты, которые не подходят под параметры вышеперечисленных категорий. Сюда входят несанкционированные попытки получения доступа к системе или ее неправильное использование. Типичные примеры – извлечение внутренних файлов с паролями, атаки переполнения буфера с целью получения привилегированного доступа к сети, использование уязвимостей протокола для перехвата важной информации, разрушение устройств физической защиты с последующим завладением данных и т.д.
Читать еще:  Как снять судимость/условный срок по статье 228?

Видов и примеров самых разных инцидентов информационной безопасности (ИБ) гораздо больше. Важно вовремя отреагировать и принять меры.

Реагирование на инцидент

Выявление и реагирование – это важные процедуры, направленные на борьбу с инцидентами в сфере информационной безопасности (ИБ). Во время них проявляются определенные уязвимости системы, обнаруживаются все следы атак и возможных вторжений. Осуществляется проверка механизмов защиты и т.д.

Расследование компьютерных инцидентов информационной безопасности и реагирование на них (независимо от вида) требует примера профессиональной политики — участия команды опытных специалистов, которые осуществят целый комплекс мероприятий, состоящий из нескольких последовательных шагов:

  • Подготовка. Когда инцидент уже произошел, от специалистов требуются максимально выверенные и оперативные действия. Важна тщательная подготовка. Обеспечивается защита информационной системы. Сотрудники организации и пользователи информируются о необходимости обеспечения мер безопасности.
  • Обнаружение. Сотрудники организации или сторонние специалисты выясняют, относится ли найденное в системе, сети или сервере событие инцидентом или нет. Применяются различные аналитические средства, потоки данных об угрозах, публичные отчеты и остальные информационные источники, которые могут помочь.
  • Сдерживание. Специалисты осуществляют идентификацию скомпрометированных компьютеров. Настраивают систему безопасности таким образом, чтобы «заражение» не распространялось дальше. Происходит перенастройка, чтобы ИС могла и дальше работать без зараженных объектов.
  • Удаление. Основная цель этапа – приведение зараженной информационной системы в первоначальное состояние. Специалисты удаляют вредоносное программное обеспечение, а также другие объекты, которые остались после заражения.
  • Восстановление. «Обезвреженные» системы постепенно вводятся в основную рабочую сеть. Сотрудники, ответственные за ИБ, продолжают и дальше следить за их состоянием. Это нужно, чтобы удостовериться в полной ликвидации угрозы.
  • Выводы. Специалисты осуществляют анализ проведенных мероприятий. В структуру программного обеспечения вносятся отдельные коррективы. Формируется список рекомендаций для профилактики в будущем подобных атак, а также ускоренного реагирования на них, если «заражение» все-таки произошло.

Какие статьи соответствуют произошедшему инциденту?

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Лекторы – ведущие эксперты, непосредственные разработчики законов:
В. В. Витрянский, Л. Ю. Михеева, Е. А. Суханов, А. А. Маковская. Принять участие можно очно/ онлайн или в записи, в любой точке страны!

Обзор документа

Письмо Федеральной службы по экологическому, технологическому и атомному надзору от 26 февраля 2016 г. N 02-04-07/2724 “О представлении информации об инцидентах”

Управление обеспечения организационно-контрольной и лицензионно-разрешительной деятельности Федеральной службы по экологическому, технологическому и атомному надзору, рассмотрев в рамках компетенции обращение о представлении информации об инцидентах, произошедших на опасном производственном объекте (далее – ОПО), сообщает следующее.

Согласно пункту 1 статьи 9 Федерального закона от 21 июля 1997 г. N 116-ФЗ “О промышленной безопасности опасных производственных объектов”, организация, эксплуатирующая опасный производственный объект, обязана, в том числе представлять в федеральный орган исполнительной власти в области промышленной безопасности или в его территориальный орган информацию о количестве аварий и инцидентов, причинах их возникновения и принятых мерах.

Указанная информация передается в порядке, предусмотренном Правилами организации и осуществления производственного контроля за соблюдением требований промышленной безопасности на опасном производственном объекте, утвержденными постановлением Правительства Российской Федерации от 10 марта 1999 г. N 263 (далее – Правила), а также в соответствии с требованиями Порядка проведения технического расследования причин аварий, инцидентов и случаев утраты взрывчатых материалов промышленного назначения на объектах, поднадзорных Федеральной службе по экологическому, технологическому и атомном надзору, утвержденного приказом Ростехнадзора от 19 августа 2011 г. N 480 (далее – Порядок).

Правилами предусмотрено представление информации в Ростехнадзор (его территориальные органы) о произшедших авариях и инцидентах в рамках сведений об организации производственного контроля ежегодно до 1 апреля.

Порядком предусмотрена обязанность организации, эксплуатирующей ОПО, на котором произошла авария, инцидент, передавать оперативное сообщение по рекомендуемому образцу согласно приложению N 1 к указанному Порядку в течение 24 часов с момента возникновения аварии, инцидента, а также необходимость ежеквартального направления информации о происшедших инцидентах в территориальный орган Ростехнадзора, на территории деятельности которого располагается эксплуатируемый ОПО (не реже раза в квартал).

Вместе с тем понятие “оперативное сообщение”, а также рекомендуемый образец, приведенный в Порядке, не содержит упоминаний об инциденте.

Указанные противоречия могут быть устранены в рамках выполнения Плана нормотворческой деятельности Федеральной службы по экологическому, технологическому и атомному надзору.

Начальник Управления обеспечения
организационно-контрольной и
лицензионно-разрешительной деятельности
Ю.В. Минченко

Обзор документа

Организация, эксплуатирующая опасный производственный объект (ОПО), обязана представлять информацию в Ростехнадзор (его территориальные органы) о произошедших авариях и инцидентах в рамках сведений об организации производственного контроля ежегодно до 1 апреля.

Такие организации также должны передавать оперативное сообщение о произошедшей аварии, инциденте по рекомендуемому образцу в течение 24 часов с момента их возникновения. Информация о происшедших инцидентах также ежеквартально направляется в территориальный орган Ростехнадзора, на территории деятельности которого располагается эксплуатируемый ОПО (не реже раза в квартал).

Поскольку понятие “оперативное сообщение”, а также рекомендуемый образец не содержат упоминаний об инциденте, эти противоречия могут быть устранены в рамках выполнения плана нормотворческой деятельности Ростехнадзора.

Инцидент – это неблагоприятное происшествие. Расследование ситуации

Любой инцидент представляет собой неблагоприятное стечение обстоятельств. Следует сделать всё возможное для предотвращения его в дальнейшем. Кроме того, немаловажную роль играет возможность улучшения и предотвращения ситуации. В этом состоит расследование инцидентов.

Что такое неблагоприятное стечение обстоятельств

Инцидент — это неприятное происшествие. Это может быть случай, столкновение, недоразумение.

  1. Аварии крупного и мелкого масштаба.
  2. Чрезвычайные ситуации.
  3. Инциденты, которые уже почти произошли.
  4. Случаи, вызывающие ухудшение состояния здоровья.
  5. Прочие события, которые имели место.
Читать еще:  Какое наказание грозит при обвинении в попытке сбыта наркотиков?

И обязательно нужно учитывать объём вредного воздействия. Также играет роль причинённый ущерб.

Расследование инцидентов

Не стоит забывать, что инцидент — это неприятное происшествие. Такие случаи периодически происходят, поэтому их нужно изучать, подвергать анализу. Чтобы расследование осуществлялось в нужном направлении, нужно следовать правилам:

  1. Соблюдать все правовые требования, которые имеют отношение к ситуации.
  2. Вести перечень аварий.
  3. Регистрировать инциденты с должной долей ответственности.
  4. Принимать немедленные действия в отношении рисковых ситуаций.
  5. Правильно определять причины возникновения происшествий.
  6. Выбирать только полезных расследованию свидетелей.

В любом случае расследование должно происходить объективно и беспристрастно. Ни в коем случае нельзя задействовать личные интересы.

Выявленный инцидент — это ситуация, которая подлежит расследованию. Изучение представляет собой информационный процесс. Собирать сведения об инциденте нужно после его обнаружения. А если были выявлены предвестники происшествия, то тем более можно приступать к расследованию.

Особенности проведения расследования

Должны быть установлены требования, направленные на осуществление и документирование разных этапов расследования. Это состоит в том, чтобы:

  1. Собирать вовремя факты и свидетельства.
  2. Анализировать результаты.
  3. Осознавать важность корректирующих или предупреждающих действий.
  4. Доводить информацию до компетентных уполномоченных лиц.

В организации должны быть предусмотрены процедуры, направленные на расследование, фиксирование и анализ ситуации. Не стоит забывать, что инцидент — это проблема. А подход к ней должен быть систематизированным и структурированным.

Широта расследования происшествий

Следует заниматься расследованием всех имеющихся инцидентов. Ведь организация должна предотвратить повторение неблагоприятного случая. В ходе работы с инцидентами нужно принимать во внимание ряд факторов:

  1. Частота возникновения аналогичных инцидентов.
  2. Фактические итоги.
  3. Последствия инцидентов.

В организации немаловажное значение имеет способность понимания происшествий. Если имел место неприятный случай, то его не нужно отвергать. Грамотный подход состоит в том, чтобы принять инцидент таким, какой он есть. Поэтому нужно со вниманием относиться ко всем видам неблагоприятных ситуаций, фиксировать их. В этом и состоит расследование инцидентов.

Важность уведомления компетентных лиц

Очень важно осознавать необходимость предупреждающих и корректирующих действий. Поэтому следует уведомлять о произошедшем соответствующих лиц. Их роль может состоять в том, чтобы заниматься выявлением и оцениванием опасностей, рисков. Также надо обеспечивать реагирование на аварийные ситуации, осуществлять мониторинг, заниматься измерением деятельности в области ОЗиОБТ, анализировать ситуацию со стороны руководства.

Немаловажное значение имеет компетентность лиц, которые проводят расследование инцидентов. Результаты при этом должны соответствовать положениям пунктов а) – д) раздела 4.5.3.1 OHSAS 18001:2007.

Сотрудники, имеющие отношение к происшествию

В ходе расследования становится понятно, какие меры нужно предпринять в отношении сотрудников, имеющих отношение к событию. Инцидент случается не намеренно или по причине того, что является выгодным кому-либо.

Определение злоумышленников состоит в том, чтобы:

  • Восстановить ход инцидента.
  • Выявить участников и их роли.
  • Собрать материалы, предназначение которых состоит в привлечении к ответственности виновных.
  • Определить причины возникновения инцидента. Это должно касаться и выявления недостатков систем защиты организации.
  • Сформировать предложения, направленные на усиление систем защиты.
  • Собрать все данные.
  • Оценить негативные последствия происшествия.

Большое значение имеют механизмы, позволяющие регистрировать действия сотрудников в подлежащей расследованию сфере деятельности.

Вину сотрудника часто бывает довольно сложно определить. Это связано с отсутствием ряда фактов:

  • Неоднократное повторение связанных с сотрудником инцидентов.
  • Сотрудник принимает попытки скрыть следы происшествия. И это становится заметно.
  • Высказывания сотрудника, которые звучали перед инцидентом, подтвердили его намерения и мотивы.

Если есть основания в том, что инцидент осуществлялся умышленно, то имеет смысл обратиться в правоохранительные органы. Каким бы ни было происшествие, им стоит заниматься. Расследование причин инцидентов существенно снизит вероятность его повторения в дальнейшем. Ведь будут выявлены причины возникновения и наказаны виновные.

Проведение расследований инцидентов ИБ: организационные и правовые аспекты

Проведение расследований инцидентов ИБ: организационные и правовые аспекты

Проведение расследований инцидентов ИБ: организационные и правовые аспекты


Георгий Гарбузов
CISSP, CISA, MCSE:Security, дирекция информационной безопасности Страховой группы “УралСиб”

Управление инцидентами информационной безопасности является важной частью системы ИБ в любой современной организации. Есть в процессе управления инцидентами процедура, которую трудно формализовать и предложить выверенный сценарий ее выполнения. Она зависит от множества факторов, решающим из которых является человеческий, а ход ее проведения и результаты подчас непредсказуемы. Речь идет о процедуре расследования инцидентов, и в этом экспресс-обзоре мы коснемся ее организационной стороны.

Цели расследования инцидентов

Расследование инцидентов преследует несколько основных целей:

  • локализация и ликвидация последствий инцидентов ИБ;
  • установление виновных лиц и их мотивации, обеспечение возможности привлечения их к ответственности;
  • анализ инцидентов и принятие мер по предотвращению подобных в будущем.

Могут быть сформулированы и другие, частные цели, преследуемые конкретным расследованием конкретного инцидента.

Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

  • сбор свидетельств и их анализ;
  • выявление виновных и установление меры их ответственности;
  • установление причин, давших возможность инциденту произойти;
  • вынесение рекомендаций по принятию мер по предотвращению инцидентов;
  • хранение и защита материалов расследования.

Остановимся подробнее на некоторых важных этапах.

Работа со свидетельствами

Сбор свидетельств инцидента ИБ — важнейшая часть процесса независимо от того, в каких целях проводится расследование. От качества собранных свидетельств в немалой степени зависит его успех, поэтому свидетельства должны отвечать ряду обязательных требований:

  • полнота (свидетельств достаточно для объективного суждения об инциденте);
  • относимость (свидетельство имеет отношение к инциденту);
  • достоверность (свидетельства получены из доверенных источников и неизменны);
  • допустимость (свидетельства должны быть получены легальным способом).

На начальном этапе проведения расследования сложно сказать, будут ли иметь свидетельства судебные перспективы (ведь о природе инцидента, виновнике и наличии умысла еще неизвестно), поэтому к обеспечению допустимости, достоверности и полноты следует относиться со всей серьезностью, руководствуясь принципом “дьявол прячется в мелочах”. Следует также понимать, что никакие доказательства не имеют заранее установленной силы, а доказательства, собранные с нарушением требований законодательства (в частности, главы 6 ГПК РФ), могут быть признаны недопустимыми. Кроме того, необходимо иметь в виду, что в случае производства по уголовному делу сбор доказательств может осуществляться только следователем или оперуполномоченным, поэтому нужно быть готовым к быстрому установлению контактов с правоохранительными органами в случае необходимости.

Читать еще:  Как получить наличными средства материнского капитала?

Работа со свидетельствами включает следующие шаги

  1. Фиксирование состояния объекта на момент развития инцидента (например, выполнение побайтового копирования жесткого диска или выполнение дампа оперативной памяти). Это обеспечит сохранность свидетельств и их защиту от модификации. Здесь важно “успеть” узнать об инциденте до того, как работники ИТ-подразделения начнут восстанавливать работоспособность атакованной системы и полностью уничтожат возможные свидетельства.
  2. Обеспечение соблюдения принципа хронологической последовательности и связности свидетельств (chain of custody), на основе которых можно установить, как именно свидетельства собирались, хранились и перевозились. Все свидетельства должны быть соответствующим образом промаркированы с возможностью идентификации лица, приобщившего их к делу.

Эти действия обеспечат сохранность свидетельств и помогут обеспечить доверие к ним со стороны лиц, принимающих решения по результатам расследования.

Здесь нужно сделать несколько оговорок. Во-первых, гарантировать такое доверие, разумеется, невозможно, но нужно постараться максимально этому способствовать. Во-вторых, следует иметь в виду, что в случае производства по уголовному делу с высокой долей вероятности исследование будет проводиться в лабораторных условиях с изъятием компьютерных средств. А значит, чтобы бизнес-процессы не прервались, необходимо предусмотреть возможность быстрого переноса роли изымаемого компонента системы на другое оборудование.

Какие свидетельства предпочтительны?

Лучшим свидетельством является свидетельство “первой инстанции”, созданное (возникшее) без участия исследователя. Например, журнал аудита системы контроля доступа, системные журналы операционных систем, журналы системы обнаружения вторжений, являющиеся в данном случае электронным документом2. Задача исследователя в данном случае сводится к фиксированию состояния системы (например, выполнению уже упомянутого побайтового копирования жесткого диска) с последующим извлечением и сохранением свидетельств.

Первоочередное внимание нужно уделять тем свидетельствам, которые имеют прямое отношение к инциденту, то есть обладают способностью прямо характеризовать событие (в отличие от косвенных свидетельств, лишь указывающих на существование прямых свидетельств).

Отдельным видом свидетельств являются письменные объяснения лиц, имеющих отношение к инциденту, а также мнения привлеченных специалистов и экспертов. Все они должны быть соответствующим образом оформлены и приобщены к материалам расследования.

Выявление виновных и анализ инцидента

Итак, все свидетельства собраны, проведен их анализ. На основании результатов анализа нужно, во-первых, установить глубинные причины инцидента для принятия превентивных мер, а во-вторых, попытаться установить лиц, виновных в возникновении инцидента.

Превентивными мерами могут быть как организационные мероприятия (например, обучение работников или разработка соответствующих регламентов), так и технические меры (установка средств защиты, модернизация или замена компонентов информационных систем и т.д.). Конкретные меры каждая организация разрабатывает и реализует самостоятельно.

Выявление нарушителя — задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации виновника (виновников) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца — в целях компенсации нанесенного материального ущерба).

Заключение

К сожалению, в одной короткой статье невозможно рассмотреть все аспекты такого сложного процесса. Слишком много неизвестных в этом уравнении — и квалификация того, кто проводит расследование, и тип события, и способ реализации, и цели расследования, и масса других факторов. Единственно верного решения не существует, и у каждой организации, занимающейся управлением инцидентами ИБ, имеется свой, уникальный опыт, а в статье лишь предпринята попытка осветить некоторые важные составляющие процесса, что, возможно, окажется полезным для этих организаций.

Комментарий эксперта


Михаил Романов
директор по развитию бизнеса компании StoneSoft в России, СНГ и странах Балтии

Вопрос лояльности сотрудников, работающих в компании, всегда интересует руководство. Контроль действий пользователей является частью повседневной работы любой службы информационной безопасности, однако этичность и законность предпринимаемых службой действий не всегда однозначна. Для разрешения этих противоречий и применяется корпоративная политика информационной безопасности. Все сотрудники организации должны ознакомиться с ней в обязательном порядке и неукоснительно выполнять прописанные там требования.

Контроль действий пользователей начинается с четкого установления правил, что кому разрешено, и правил осуществления мониторинга и контроля действий пользователей, закрепленных в соответствующей Политике. Там же устанавливаются правила разбора инцидентов безопасности и различного рода ¦ нарушений.

От того, как построена эта работа, во многом зависит и обстановка в организации. Например, многие предприятия пытаются контролировать все телефонные переговоры и переписку своих сотрудников по электронной почте, стало популярным и модным внедрение различных DLP-систем. Возникает много противоречивых требований: с одной стороны, нельзя нарушать приватность и личную тайну, с другой — необходимо эффективно решать вопросы обеспечения защиты собственности и конфиденциальной информации компании. В современной обстановке без комплексного подхода решение данных проблем невозможно. Сейчас многие возлагают все надежды на DLP-системы, однако нужно понимать, что эти системы могут предоставить решение только одного из технических компонентов проблемы. Они никогда не будут эффективно работать без решения организационных вопросов разграничения доступа (проактивная защита), без создания системы правил работы с информацией, глубокой проработки правовых вопросов, поскольку основным угрожающим фактором тут является собственно человек — работник организации.

При создании систем контроля действий пользователей в первую очередь необходимо думать о разумном балансе и эффекте, который хочет получить компания. Чрезмерные меры безопасности и контроля могут негативно отразиться на внутреннем психологическом климате компании и привести к уходу ценных сотрудников, а дополнительные технические меры безопасности и связанные с этим расходы на их внедрение и эксплуатацию, в свою очередь, могут быть просто и не по карману компании. И, наоборот, попустительское отношение к проблеме может привести к серьезным инцидентам безопасности и нанести существенный ущерб компании. Соответственно поиск компромисса, так называемой золотой середины, сегодня и является одной из самых трудных задач, решаемых в области информационной безопасности.

Ссылка на основную публикацию
Adblock
detector