Sprawdzenie sposobu i efektywności monitorowania poziomu bezpieczeństwa oraz weryfikacja skuteczności zarządzania incydentami w obiekcie.
Do kluczowych elementów sprawdzanych podczas audytu bezpieczeństwa należy sposób i efektywność monitorowania poziomu bezpieczeństwa oraz skuteczność zarządzania incydentami w obiekcie. Na początek zajmiemy się skutecznością zarządzania zaistniałymi lub możliwymi zdarzeniami stwarzającymi zagrożenie, czyli incydentami mającymi wpływ na poziom bezpieczeństwa. Co rozumiemy przez incydent mający negatywny wpływ na bezpieczeństwo? Definicje zdarzenia mającego wpływ na bezpieczeństwo obiektu oraz incydentu mającego wpływ na bezpieczeństwo obiektu możemy zaczerpnąć z normy PN-ISO/IEC-27000 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Przegląd i terminologia. Wcześniej należy jednak wyjaśnić, czym jest zdarzenie mające wpływ na bezpieczeństwo obiektu. Definicja zdarzenia określonego wyżej rodzaju jest następująca: „Zdarzenie związane z bezpieczeństwem obiektu to stwierdzone wystąpienie stanu systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa, planu ochrony obiektu lub innych procedur bezpieczeństwa albo błąd zabezpieczenia lub nieznaną sytuację, która może być związana z bezpieczeństwem obiektu”. A oto zawarta we wspomnianej normie definicja incydentu bezpieczeństwa mającego wpływ na bezpieczeństwo obiektu: „Incydent związany z bezpieczeństwem obiektu to pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem obiektu lub seria takich zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu obiektu”. Wynika z tego jednoznacznie, że skutki tak rozumianego incydentu są dla obiektu o wiele poważniejsze niż skutki zdarzenia (rozumianego w specyficzny, opisany wyżej sposób) i mogą mieć dużo większy wpływ na funkcjonowanie obiektu i procesy biznesowe, które są w nim realizowane.
Zarządzanie incydentami mającymi wpływ na bezpieczeństwo obiektu powinno uwzględniać konkretne uwarunkowania. Jak w każdej tego typu działalności, należy zacząć od zebrania niezbędnych informacji, a potem odpowiednio je przetwarzać, by uzyskać wskazówki dotyczące skutecznego działania. W PN-ISO/IEC-27000 znajduje się następująca definicja systemu zarządzania incydentami mającymi wpływ na bezpieczeństwo w obiekcie: „system zarządzania incydentami w obiekcie to są procesy wykrywania, raportowania, szacowania, reagowania, podejmowania akcji i wyciągania wniosków z incydentów związanych z bezpieczeństwem obiektu.”
Zarządzanie bezpieczeństwem obiektu wymaga podejścia systemowego, dlatego niezbędne jest przygotowanie odpowiedniej procedury. Procedura powinna wskazywać zakres obowiązków i odpowiedzialności poszczególnych osób – zarówno na poziomie kierowniczym, jak i na poziomie wykonawczym. Ważny jest przepływ informacji pomiędzy odpowiedzialnymi komórkami i podejmowanie decyzji w celu zapewnienia szybkiej, skutecznej i zaplanowanej reakcji na incydenty mające wpływ na bezpieczeństwo obiektu, informacji itd. Skuteczne zarządzanie incydentami powinno uwzględniać sposób zgłaszania zdarzeń z wykorzystaniem odpowiednich, sprawdzonych kanałów informacyjnych, aby podjęte działania były jak najszybsze.
Ważna jest także klasyfikacja incydentów i powiązany z nią sposób postępowania. Zgłaszający incydent powinien dokonać wstępnej klasyfikacji zdarzenia na podstawie dostępnych informacji oraz analizy okoliczności. Incydent może podlegać kwalifikacji z uwzględnieniem jego konsekwencji, np. kar finansowych, konsekwencji prawnych lub wizerunkowych, strat materialnych, strat w ludziach.
Przykłady kwalifikacji incydentów:
- Incydent o stosunkowo małej ważności – działanie niezgodne z procedurą i naruszające bezpieczeństwo informacji. Taki incydent nie skutkuje karami pieniężnymi, konsekwencjami prawnymi i utratą wizerunku.
- Incydent o średniej ważności. Jego skutkiem mogą być straty finansowe lub konsekwencje prawne, lub utrata wizerunku (występuje co najmniej jedna konsekwencja spośród wymienionych).
- Incydent o dużej ważności. Jego skutkiem jest destrukcja (zniszczenie, utrata) kluczowych zasobów. Powoduje duże straty finansowe, konsekwencje prawne oraz utratę wizerunku.
Ocena zdarzeń mających wpływ na bezpieczeństwo i podejmowanie decyzji w ich sprawie to jedna z kluczowych faz zarządzania incydentami, która powinna być zgodna z udokumentowaną, zatwierdzoną i przyjętą procedurą w organizacji.
Zgłaszanie słabości mających wpływ na bezpieczeństwo (nie tylko słabości obiektu) jest związane z przygotowaniem pracowników, dostawców usług korzystających z obiektu, a także systemów technicznej infrastruktury do odnotowywania i zgłaszania wszelkich stwierdzonych zmian lub słabości mających wpływ na bezpieczeństwo obiektu, informacji, usług itd.
Skuteczność zgłaszania incydentów jest uzależniona od poinformowania pracowników i współpracowników i innych zainteresowanych stron, jak mają postępować w przypadku zaistnienia (powstania) incydentu. Oczywiście zapoznanie ich z procedurami i szkolenia są niezbędne. Bardzo pomocny może być także przygotowany katalog niepożądanych incydentów lub zdarzeń, które mogą być przyczyną incydentów.
Rys. Wybrane elementy systemu zarządzania incydentami
Przykładowy katalog niepożądanych zdarzeń:
- naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych na terenie i w pomieszczeniach obiektu (uszkodzone zamki, okna, drzwi, naruszone plomby itp.);
- uruchomienie alarmu wynikające z zaniedbania lub z nieprzestrzegania procedur;
- przebywanie na terenie obiektu osób nieupoważnionych, które nie posiadają ważnego identyfikatora umieszczonego w widocznym miejscu;
- nietypowe zachowania użytkowników systemu (np. korzystanie z zasobów systemu w nietypowych godzinach, wysoka aktywność kont długo niewykorzystywanych, duża liczba nieudanych prób logowania w krótkim czasie, niewłaściwe wykorzystywanie lub nadużywanie zasobów informacyjnych);
- niedostępność systemów informatycznych oraz działania niezgodne ze specyfikacją (błędne) systemów informatycznych, zwłaszcza podstawowych lub najważniejszych systemów i aplikacji (z wyłączeniem kontrolowanych i zaplanowanych prac oraz dysfunkcji, które nie mają wpływu na bezpieczeństwo informacji);
- zdarzenia mające wpływ na cyberbezpieczeństwo (np. złośliwy program) ataki DDoS, próby omijania systemów zabezpieczeń, nieuprawniony dostęp do aplikacji i systemów, eskalacja poziomu uprawnień w systemach, ataki socjotechniczne, ataki z wykorzystaniem phishingu i skimmingu);
- wyciek istotnych danych biznesowych z firmy (który może być spowodowany również nieświadomym działaniem pracownika);
- kradzież lub zniszczenie urządzeń przetwarzających lub przechowujących informacje, a także nośników danych;
- wyłudzenia (lub próby wyłudzenia) informacji o szczególnym znaczeniu, takich jak hasła dostępowe czy tajemnice przedsiębiorstwa;
- nieprzestrzeganie zawartych w regulaminie wewnętrznym reguł dotyczących bezpieczeństwa informacji lub wynikających z nich zapisów w umowach z kontrahentami, lub przepisów prawa powszechnego dotyczących bezpieczeństwa informacji prawnie chronionych;
- incydenty wielokomponentowe (złożone incydenty dotyczące wielu systemów, podczas których mogą być przeprowadzane ataki z wielu stron).
Incydent powinien zostać poddany analizie przez wskazaną osobę (lub grupę osób), która staje się odpowiedzialna za adekwatne i skuteczne działania neutralizujące skutki incydentu.
Analiza incydentu powinna uwzględniać:
- charakter incydentu i jego znaczenie związane z naruszeniem bezpieczeństwa fizycznego lub teleinformatycznego;
- miejsce wystąpienia incydentu – wskazanie miejsca, w którym nastąpiło zdarzenie (np. serwera lub stacji roboczej;
- liczbę miejsc i zakres zasobów dotkniętych incydentem;
- określenie zasobów potrzebnych do dalszych działań w ramach postępowania stanowiącego reakcję na incydent związany z bezpieczeństwem informacji;
- sposoby ograniczenia skutków incydentu;
- oszacowanie szkód finansowych;
- określenie rodzaju ujawnionych informacji (jeśli ma to zastosowanie; mogą to być na przykład dane osobowe);
- określenie w przybliżeniu, kiedy skutki incydentu zostaną zlikwidowane, jeżeli nie ma możliwości natychmiastowego ich usunięcia;
- wstępne oszacowanie skutków organizacyjnych i prawnych;
- proponowane działania korygujące lub naprawcze.
Osoba odpowiedzialna za bezpieczeństwo obiektu, w którym zaistniał incydent (właściciel, administrator, kierownik ochrony itp.), może skorzystać z pomocy innych osób, które są uprawnione i zobowiązane do udzielenia pomocy. Jeśli incydent jest związany z bezpieczeństwem danych osobowych, osoby odpowiedzialne za zarządzanie incydentami powinny niezwłocznie poinformować o tym kierownictwo jednostki organizacyjnej oraz właściciela obiektu. Ważne jest gromadzenie materiału dowodowego. Organizacja powinna określić i stosować procedury gromadzenia, pozyskiwania i utrwalania informacji, które mogą stanowić materiał dowodowy podczas postępowania organów administracji czy służb porządkowych.
System zarządzania incydentami może być źródłem wielu informacji dla audytora – informacji dotyczących m.in. skuteczności zastosowanych zabezpieczeń czy sposobu, w jaki korzystają z nich pracownicy i użytkownicy obiektu. Uzyskane informacje umożliwiają udoskonalenie systemu zarządzania bezpieczeństwem.
Opracował
dr inż. Andrzej Wójcik
ekspert i rzeczoznawca ds. bezpieczeństwa technicznego i ochrony informacji
audytor ds. bezpieczeństwa biznesu
andrzejw@esinstal.pl