Enviar búsqueda
Cargar
Incident management (part 2)
•
1 recomendación
•
1,728 vistas
Aleksey Lukatskiy
Seguir
Desarrollo personal
Denunciar
Compartir
Denunciar
Compartir
1 de 76
Descargar ahora
Descargar para leer sin conexión
Recomendados
Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Recomendados
Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
Más contenido relacionado
La actualidad más candente
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
La actualidad más candente
(20)
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Destacado
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
Aleksey Lukatskiy
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Evgeniy Shauro
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
Security trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
Security and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
Как писать?
Как писать?
Aleksey Lukatskiy
Security Metrics.pdf
Security Metrics.pdf
Aleksey Lukatskiy
Russian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
Secure Mobile Office
Secure Mobile Office
Aleksey Lukatskiy
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
Aleksey Lukatskiy
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
Destacado
(20)
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Security trends for Russian CISO
Security trends for Russian CISO
Security and football: what's difference
Security and football: what's difference
Как писать?
Как писать?
Security Metrics.pdf
Security Metrics.pdf
Russian Finance Security Regulations
Russian Finance Security Regulations
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Secure Mobile Office
Secure Mobile Office
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Similar a Incident management (part 2)
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Denis Batrankov, CISSP
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
Концепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
Первые шаги нового CISO
Первые шаги нового CISO
Vsevolod Shabad
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
HackIT Ukraine
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Cisco Russia
Корпоративные сети - изменение парадигмы…
Корпоративные сети - изменение парадигмы…
Cisco Russia
Безопасность контента
Безопасность контента
Cisco Russia
Cisco Content Security. Обзор технологий защиты Email и Web трафика
Cisco Content Security. Обзор технологий защиты Email и Web трафика
Cisco Russia
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
Building SOC for business: desires and reality
Building SOC for business: desires and reality
A1 Belarus
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
It-tuning itsm_business_continuity
It-tuning itsm_business_continuity
Sergey Polazhenko
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Aleksey Lukatskiy
Similar a Incident management (part 2)
(20)
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Как построить SOC?
Как построить SOC?
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБ
Концепция активной обороны
Концепция активной обороны
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Первые шаги нового CISO
Первые шаги нового CISO
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Корпоративные сети - изменение парадигмы…
Корпоративные сети - изменение парадигмы…
Безопасность контента
Безопасность контента
Cisco Content Security. Обзор технологий защиты Email и Web трафика
Cisco Content Security. Обзор технологий защиты Email и Web трафика
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Building SOC for business: desires and reality
Building SOC for business: desires and reality
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
It-tuning itsm_business_continuity
It-tuning itsm_business_continuity
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Más de Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
Атрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
Más de Aleksey Lukatskiy
(15)
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Атрибуция кибератак
Атрибуция кибератак
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Incident management (part 2)
1.
Как создавать
CSIRT? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 84/431
2.
Аббревиатуры CSIRT
Аббревиатура Расшифровка CSIRT Computer Security Incident Response Team CIRC Computer Incident Response Capability или Center CSIRC Computer Security Incident Response Capability CIRT Computer Incident Response Team Incident Response Center or Incident Response IRC Capability IRT Incident Response Team IHT Incident Handling Team SERT Security Emergency Response Team SIRT Security Incident Response Team CERT – зарегистрированная торговая марка CERT/CC InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 85/431
3.
План создания CSIRT
Идентифицируйте стейкхолдеров и участников Получите поддержку руководства Разработайте план проекта Соберите информацию Идентифицируйте клиентов и задачи, решаемые CSIRT Определите миссию CSIRT Получите бюджеты для CSIRT Выберите сервисы, оказываемые CSIRT Определите модель, место в иерархии и власть CSIRT Определите требуемые ресурсы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 86/431
4.
План создания CSIRT
(окончание) Определите взаимодействия, интерфейсы и точки контакта Определите роли и ответственность Документируйте процессы Разработайте политики и процедуры Создайте план внедрения Анонсируйте CSIRT, когда будете готовы Определите методы оценки эффективности CSIRT Определите резервный план для каждого элемента CSIRT Будьте гибки InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 87/431
5.
Ключевые элементы работы
CSIRT Сервисы Политики Качество InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 88/431
6.
Идентифицируйте
участников и стейкхолдеров InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 89/431
7.
Кто отвечает за
управление инцидентами? Служба CSIRT Служба безопасности Кто «поговорит по душам» с внешним нарушителем? Служба персонала Кто будет взаимодействовать с сотрудниками, виновными в совершении противоправных действий? Юридическая служба Кто проконсультирует в отношении законодательства, связанного с компьютерными преступлениями или с нарушением договорных обязательств? PR-служба Кто сообщит журналистам новость об утечке информации о клиентах? Кто уменьшит негативный ущерб от публикаций? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 90/431
8.
Кто отвечает за
управление инцидентами? (окончание) Служба ИТ Кто обновит систему и устранит уязвимости? Служба ИБ Кто разъяснит причину инцидента и сможет изменить политики безопасности? Рядовые пользователи Кто сообщит в CSIRT об инциденте? Управление инцидентами происходит в масштабах всего предприятия и с участием различных категорий и ролей сотрудников InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 91/431
9.
Получите
поддержку руководства InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 92/431
10.
Получение поддержки
Найдите executive sponsor Представьте бизней-кейс с преимуществами создания CSIRT Получите поддержку руководства в части расходования времени и бюджета Словесная поддержка мало чего стоит Донесите идею CSIRT и ее преимуществ до бизнес- руководителей Пусть руководство от своего имени анонсирует проект по созданию CSIRT и попросит сотрудников компании помочь на этапе планирования и внедрения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 93/431
11.
Бизнес-план CSIRT
В чем проблема? ИТ/ИБ становится частью бизнеса компании или ИБ-риски становятся бизнес-рисками ИТ-инциденты управляются через Service Desk, а ИБ- инциденты управляются неэффективно и на нерегулярной основе Требуется более структурированных подход и иные знания, чем в управлении ИТ-инцидентами Чего вы хотите достичь для клиентов? Снижение бизнес-рисков Повышение эффективности управления ИБ Рост культуры ИБ на предприятии и, как следствие, снижение в долгосрочной перспективе затрат на обеспечение ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 94/431
12.
Бизнес-план CSIRT (окончание)
Что произойдет, если ничего не делать? Ущерб, регулятивные риски, удар по репутации Что произойдет, если вы что-то сделаете? Предотвращение потерь, снижение рисков Какова стоимость? Бюджет на CSIRT (обсуждается далее) Какова прибыль? В истинном значении этого слова прибыли может и не быть (если не применять специальные методики) Рост прозрачности управления, снижение затрат на управление инцидентами и ИБ Когда вы планируете стартовать и когда завершить? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 95/431
13.
Стоимость
инцидента В помощь бизнес-кейсу InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 96/431
14.
Проект ICAMP
ICAMP II 1998 и 2000 года – проект по анализу стоимости инцидента Компрометация системы - $1800 Вредоносный код - $980 Отказ в обслуживании - $22350 Атака хакеров - $2100 Загрузка нелицензионного ПО и контента - $340 На базе проекта ICAMP Дэвид Диттрих предложил свой подход к оценке стоимости инцидента Время и деньги, потраченные на расследование и восстановление системы Замена ПО, оборудования, информации + новые системы защиты InfoSecurity 2008 Потеря продуктивности пользователей © 2008 Cisco Systems, Inc. All rights reserved. 97/431
15.
Формы потерь от
инцидента • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 98/431
16.
Разработайте
план проекта InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 99/431
17.
Управление проектом
Команда проекта Лидер проекта Применяйте теорию управления проектами при формировании CSIRT Требуемые время, люди и деньги Риски и меры по управлению ими InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 100/431
18.
Соберите
информацию InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 101/431
19.
Сбор информации
Что нужно клиентам и иным заинтересованным сторонам? Какие инциденты уже были на предприятии? Позволит понять, что может делать существующая CSIRT и что еще понадобится Как предприятие боролось с инцидентами в прошлом? Определите окружение, в котором будет строиться CSIRT Политика, бизнес, культура, юридические вопросы Определить владельцев данных или интеллектуальной собственности, используемой в работе CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 102/431
20.
Сбор информации (окончание)
Какие правила влияют на CSIRT? Открытые, закрытые, государственные, международные, нормативно-правовые акты… История создания CSIRT в организации Кто-нибудь уже пытался создать CSIRT ранее? Ему это удалось? Почему? Какие технологии используются на предприятии? ПО, приложения и аппаратное обеспечение Домены и IP-адреса, принадлежащие предприятию и его контрагентам InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 103/431
21.
Идентифицируйте
клиентов, в интересах которых работает CSIRT и ее задачи InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 104/431
22.
Клиенты CSIRT
Определите для себя, кого будет обслуживать CSIRT? Определение круга клиентов может зависеть от ряда критериев Национальный Географический Политический Технический Организационный Провайдер связи Контрактный Самое простое – определить клиентов для корпоративной CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 105/431
23.
Задачи CSIRT
Какие типы сервисов будет оказывать CSIRT своим клиентам? Как клиенты будут получать сервисы CSIRT? Есть ли клиенты, которых вы не готовы поддерживать сейчас, но готовы поддерживать в будущем? Что вы ответите клиентам, которых вы не обслуживаете? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 106/431
24.
Примеры задач CSIRT
Повышение уровня Интернет-безопасности предприятия Неконкретно, но хоть что-то Помощь предприятию в предотвращении инцидентов ИБ Рост осведомленности предприятия в области ИБ Реагирование на инциденты ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 107/431
25.
Определите
миссию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 108/431
26.
Миссия CSIRT
Многие CSIRT выполняют свою работу, не задумываясь о своей миссии и целях или не доводят их до заинтересованных сторон Результат: бесполезные или напрасные трата усилий и ресурсов (это опасно в условиях инцидента) в попытке Правильно расставить приоритеты в деятельности Понять, следует ли реагировать в той или иной ситуации Определить, не пора ли изменить качество и состав реализуемых сервисов До определения четких и понятных задач и целей ситуация вряд ли улучшится InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 109/431
27.
Миссия CSIRT
Миссия не должна быть неоднозначной Миссия должна описываться 3-4 предложениями Миссия должна поддерживаться руководством и заинтересованными сторонами ИТ, ИБ или иным, в зависимости от места в структуре организации Пример: улучшить безопасность информационной инфраструктуры предприятия и минимизировать угрозу нанесения ущерба от вторжений и атак InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 110/431
28.
Миссия JA.NET CSIRT
Обеспечить безопасность JA.NET и ее клиентов в настоящем и будущем за счет: Взятия на себя инициативы в реализации политики ИБ JA.NET Координации реагирования Разработки ресурсов ИБ Поддержки высокой квалификации В поддержку этой миссии мы предлагаем координацию управления инцидентами, обучение и консультирование для клиентов JA.NET, и сотрудничество с соответствующими организациями за пределами JA.NET InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 111/431
29.
Миссия SingCERT
Единая доверенная точка контакта Содействие реагированию на угрозы безопасности Повысить компетенцию в ИТ-безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 112/431
30.
Получите
бюджеты для CSIRT и определите финансовую модель InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 113/431
31.
Бюджетирование
Что включать в бюджет? Создание CSIRT Обучение сотрудников CSIRT (включая конференции) Тренинги для сотрудников CSIRT Оборудование и ПО для обнаружения, анализа, отслеживание и реагирования на инциденты Оборудование для защиты данных, систем и персонала CSIRT Командировки в места инцидентов Выбивать бюджеты на создание CSIRT непросто ИБ считается поддерживающей функцией Необходимо бизнес обоснование (бизнес-кейс) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 114/431
32.
Финансовые модели
Какова бизнес-модель существования CSIRT? Спонсорство руководством (55%) Опирается на время работы сервиса и количество людей Экономия на оказании услуг вне рабочего времени Продажа отдельных сервисов CSIRT клиентам Для внутренних клиентов бесплатно, а для внешних – за деньги Оплата подписки Ежегодная или ежеквартальная подписка на базовые сервисы Дополнительные сервисы за дополнительную плату Платные CSIRT – 10% InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 115/431
33.
Выберите
сервисы, оказываемые CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 116/431
34.
Сервисы CSIRT
Слона лучше есть по частям Наращивать силу лучше постепенно, по мере зарабатывания доверия со стороны клиентов Обычно CSIRT предлагает одну или несколько услуг по обработке инцидентов Анализ инцидентов Реагирование на инциденты Поддержка реагирования на инциденты Координацию реагирования на инциденты Расследование инцидентов Часто CSIRT предлагают и другие сервисы Самостоятельно или во взаимодействии с другими подразделениями или компаниями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 117/431
35.
Выбор сервисов
Разные сервисы имеют разные приоритеты Реактивные обычно более приоритетные чем проактивные или сервисы повышения качества ИБ Набор предоставляемых сервисов зависит от Потребностей предприятия Наличии других подразделений, связанных с ИБ Квалификации экспертов CSIRT Ресурсов для качественного оказания сервисов Как будут оказываться сервисы? Время работы, методы взаимодействия, распространение информации и т.п. Как сервисы будут продвигаться на предприятии? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 118/431
36.
Сервисы CSIRT InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 119/431
37.
Сервисы CSIRT
Повышение качества Реактивные Проактивные управления ИБ • Сигналы тревоги и • Уведомления • Анализ рисков предупреждения • Анализ технологий • Планирование (72%) (55%) непрерывности • Обработка • Аудит и оценка бизнеса инцидентов (97%) защищенности • Консалтинг ИБ • Обработка (28%) • Построение уязвимостей (41%) • Конфигурация и программы • Обработка поддержка осведомленности артефактов (66%) • Разработка средств • Обучение / тренинги защиты (34%) (59%) • Обнаружение • Оценка / вторжений (62%) сертификация • Распространение продуктов информации по ИБ Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress. CMU/SEI-2004-TR-015 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 120/431
38.
Сигналы тревоги и
предупреждения Включает описание и рассылку информации о Вторжении нарушителей, уязвимости, вредоносной программе, оповещении о лживых сообщениях в области ИБ (что-то чего не было или специально распространяется злоумышленниками) и т.п. Кратких рекомендациях по решению проблемы Предупреждение направляется как реакция на текущие проблемы и как руководство по защите и восстановлению систем, подвергшихся нападению Предупреждение создается собственной CSIRT или иными службами CSIRT (включая производителей средств защиты) Не забывайте про притчу о пастухе, который кричал: «Волки, волки!» - приоритезируйте предупреждения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 121/431
39.
Сигналы тревоги и
предупреждения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 122/431
40.
Обработка инцидентов
Включает в себя получение информации об инцидентах, их систематизацию, реагирование на запросы и отчеты, а также анализ инцидентов и событий Обработка инцидентов может включать в себя Анализ инцидентов Сбор доказательств Отслеживание злоумышленника Реагирование Поддержка реагирования (например, для удаленных систем) Координация реагирования Далее мы детально рассмотрим этот сервис InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 123/431
41.
Реагирование на инциденты
Реагирование на инциденты может включать в себя Реализация действий для защиты систем, подвергающихся атаке Реализация рекомендаций из предупреждений Поиск активностей злоумышленников в других частях системы/сети Фильтрация сетевого трафика Перезагрузка (сборка) системы Установление обновлений и восстановление системы Разработка других механизмов реагирования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 124/431
42.
Обработка уязвимостей
Включает в себя получение информации об аппаратных и программных уязвимостях, анализ их природы, механизма использования и эффекта, разработка стратегии обнаружения и устранения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 125/431
43.
Обработка артефактов
Включает в себя получение информации об артефактах, попытках разведки и других несанкционированных или вредоносных действиях, анализ их природы, механизма действия и использования, разработка стратегии обнаружения, устранения и будущей защиты Далее мы детально рассмотрим этот сервис InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 126/431
44.
Уведомления
Включает описание и рассылку информации о новых уязвимостях, вредоносных программах, случаях мошенничества Предупреждение направляется с целью ознакомления и предвосхищения описываемых событий Уведомления создаются собственной CSIRT или иными службами CSIRT (включая производителей средств защиты) Рассылаются обычно узкому кругу заинтересованных лиц – ИТ, ИБ и т.п. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 127/431
45.
Анализ технологий
Мониторинг и анализ новых тенденций в ИТ и ИБ, методов злоумышленников и регулятивных требований для предсказания будущих угроз Может включать следующие области для контроля Социальные и политические угрозы (PEST-анализ) Развивающиеся технологии Требования регуляторов Отраслевые требования Выход: анонсы, руководство, обзоры и рекомендации, фокусирующиеся на средне- и долгосрочных вопросах ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 128/431
46.
Аудит и оценка
защищенности Обследование и анализ инфраструктуры ИБ предприятия на соответствие требованиям предприятия, регуляторов или отраслевых стандартов Может быть реализованы следующим образом Ручной анализ конфигурации инфраструктуры Обзор лучших практик путем интервьюирования сотрудников Сканирование Тесты на проникновение Может быть отдано на аутсорсинг InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 129/431
47.
Конфигурация и поддержка
Рекомендации и руководства по защищенной настройке, конфигурации и поддержке приложений и инфраструктуры CSIRT также может воплощать эти рекомендации в жизнь самостоятельно При наличии таких полномочий и ресурсов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 130/431
48.
Разработка средств защиты
Разработка новых мер защиты, требуемых в деятельности CSIRT, например Патчи Скрипты или средства защиты, расширяющие существующие СЗИ Новые плагины для сканеров защищенности Механизмы автоматического распределения патчей И т.п. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 131/431
49.
Пример: Вымпелком
Security Log Tracker (SLOT) – система мониторинга активности пользователей, связанной с доступом к данным, критичным с точки зрения ИБ компании InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 132/431
50.
Обнаружение вторжений
Анализ логов IDS, разработка мер реагирования для каждого события/атаки, включая пороговые значения для сигнатур атак и шаблонов аномальной активности, а также пересылка сигналов тревоги согласно политике эскалации или принятому SLA Ключевая проблема/задача – анализ огромных объемов данных Во многих случаях требуется опыт и особая экспертиза Могут потребоваться средства корреляции событий с целью выявления и снижения числа ложных тревог и минимизации числа успешных инцидентов Может быть отдано на аутсорсинг (SOC) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 133/431
51.
Локальная корреляция событий
Защита от мультивекторных атак Событие 1 Событие 1 Событие 2 Событие 2 Событие 3 Событие 3 Обычные IPS могут пропускать IPS, выполняющая локальный мультивекторные атаки корреляционный анализ событий, блокирует мультивекторные атаки Событие может быть обычным, а может быть частью мультивекторной атаки наряду с другими событиями. В отличии от внешнего корреляционного анализа, локальная корреляция позволяет IPS предотвращать атаки до достижения ими своей цели InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 134/431
52.
Meta Event Generator
Встроенные средства корреляционного анализа позволяют адаптироваться к новым угрозам в режиме реального времени без участия пользователя Рейтинг риска При анализе учитываются: A + B + C + D = ЧЕРВЬ! • Тип события Высокий • Временной интервал Событие Событие Средний A Событие D B Событие Низкий C Время: 0 2 4 6 8 10 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 135/431
53.
Meta Event Generator
в действии Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х секунд, то срабатывает мета-событие “Nimda” Временной интервал = 3 сек. SIG 5081 SIG 5124 SIG 5114 SIG 3215 SIG 3216 Декодирование Юникод-атака Выполнение Сбой Доступ к cmd.exe IIS CGI на IIS .. .. NIMDA InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 136/431
54.
Рейтинг риска: введение
Приоритет Насколько Оценка каждой угрозы с события опасна атака? точки зрения бизнеса до Точность + Насколько применения вариантов сигнатуры реагирования вероятна ошибка? Релевантность + Узел подвержен атаки атаке? Стоимость + Насколько важен ресурса атакуемый ресурс? Сетевой + Какие данные еще контекст доступны? РЕЙТИНГ Применение вариантов РИСКА реагирования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 137/431
55.
Рейтинг риска: приоритет
атаки Приоритет сигнала тревоги определяется для каждой сигнатуры Приоритет Точность события + сигнатуры + Релевантность + ресурса-цели атаки Стоимость RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 138/431
56.
Рейтинг риска: точность
сигнатуры Точность сигнатуры определяет уровень доверия к точности и качеству сигнатуры Приоритет Точность Релевантность Стоимость события + сигнатуры + атаки + ресурса-цели RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 139/431
57.
Рейтинг риска: релевантность
атаки Снижение количества ложных срабатываний путем активного/пассивного анализа цели Приоритет Точность Релевантность Оценка события + атаки + атаки + ресурса-цели RR (Рейтинг риска) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 140/431
58.
Анализ релевантности атаки
Дополнительные данные по цели атаки используются для уточнения варианта реагирования Контекст атаки анализируется на основе: пассивного определения ОС статического задания ОС для управления исключениями интеграции с CSA Динамический рейтинг риска базируется на релевантности Результат. Более точное и эффективное реагирование Фильтрация событий / реагирования Консоль для мониторинга: Злоумышленник Нерелевантные события фильтруются инициирует IIS-атаку на выбранные сервера Сетевой сканер A Сервер (Windows) Сервер (Linux) Уязвим Не уязвим InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. Поднять рейтинг риска Фильтровать 141/431
59.
Рейтинг риска: ценность
для бизнеса Большее понимание уязвимости цели через введение понятия стоимости ресурса Приоритет Точность события + атаки + Релевантность + ресурса-цели атаки Стоимость RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 142/431
60.
Рейтинг риска: итоговый
результат Настройка порогов рейтинга риска позволяет автоматизировать варианты реагирования для каждого события, а не сигнатуры Приоритет Точность события + сигнатуры + Релевантность + ресурса-цели атаки Стоимость RR (рейтинг риска) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 143/431
61.
Рейтинг угрозы (Threat
Rating) Оценка каждой угрозы после отражения ее Cisco IPS Политика IPS: Измерение рисков базируется на RR > 85 Заблокировать IP вариантах реагирования IPS 100 • Атака с высоким рейтингом риска может 90 быть отражена автоматически 85 80 70 и не требовать внимания оператора 60 • Концентрация внимания на вариантах 50 реагирования на события с высоким остаточным риском 40 30 Пример: 20 • Событие 2: Очень высокий рейтинг риска, но 10 блокируется не требует внимания, низкий рейтинг 0 1 2 3 4 5 угрозы Event Number • Событие 4: Высокий рейтинг риска, но недостаточный Risk Rating Threat Rating для блокирования Высокое внимание и рейтинг угрозы Результат. Рост эффективности реагирования и продуктивности операций по автоматической приоритезации рисков InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 144/431
62.
Недостаток классических сигнатур
Что находит обычная IPS Вердикт: Неизвестно Фрагментированные SQL команды Что? внутри веб-трафика InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 145/431
63.
Репутационные технологии в
IPS Что находит Cisco IPS v7 Вердикт: блокировать Фрагменты SQL Что? внутри веб-трафика Первое подключение HTTP Как? Динамический IP адресс Кто? Динамический DNS История веб-атак Из скомпрометированной Откуда? азиатской сети Есть история ботнетовской Только “чистые” активности источники InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 146/431
64.
Единая панель управления
угрозами Панель инцидентов Агрегация Корреляция Выделение важной информации 15 427 105 событий 5 666 129 сессий 102 инцидента 40 инцидентов с высоким уровнем опасности • Объединение данных Netflow, Syslog и информации о топологии сети позволяет создать центр управления безопасностью на базе MARS • Оперативное обнаружение угроз за счет снижения объема данных в режиме реального времени позволяет администраторам сконцентрироваться на решении высокоприоритетных задач InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 147/431
65.
Обнаружение угроз и
отражение атак Путь распространения атаки и учет топологии сети Жертва/зараженный хост (красный) Взломанный хост, участвующий в атаке (сиреневый) Источник атаки (коричневый) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 148/431
66.
Расследование инцидента 10.1.1.10
генерирует атаку, сообщите мне подробности Несколько нажатий на кнопки, и вы увидите: Точку назначения, которой достигает 10.1.1.10 Сеансы интересующей вас точки назначения Или любую другую информацию, которая вас интересует InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 149/431
67.
Распространение информации
Сбор и распространение информации, способствующей повышению защищенности Контактная информация с CSIRT, как единой точкой контакта Руководства по безопасности Архив уведомлений и предупреждений Лучшие практики Политики, процедуры и чеклисты Информация о патчах Ссылки на вендоров Текущая статистика по управлению инцидентами Другая связанная информация InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 150/431
68.
Сервисы повышения качества
ИБ Анализ рисков Планирование непрерывности бизнеса Консалтинг ИБ Построение программы осведомленности Обучение / тренинги Оценка / сертификация продуктов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 151/431
69.
Определите
модель, место в иерархии и власть CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 152/431
70.
Сценарии существования CSIRT
За функции CSIRT отвечает ИТ-подразделение За функции CSIRT отвечает служба ИБ Отсутствие формальной группы реагирования на инциденты Существующий персонал решает ограниченный спектр задач CSIRT время от времени Виртуальная CSIRT Использование существующего персонала для создания виртуальной CISRT и наличие выделенного менеджера группы Все инциденты напрямую передаются в выделенную структуру CSIRT (34%) Полностью выделенная группа, реализующая весь спектр задач CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 153/431
71.
Сценарии существования CSIRT
Комбинация 3-го и 4-го вариантов в распределенной организации (21%) Выделенные сотрудники в ИТ и иных подразделениях реагируют на инциденты на местах, а в центре действует основная CSIRT Инциденты направляются в Help Desk, а затем в CSIRT (по необходимости) CSIRT является второй линией анализа Координирующая CSIRT (13%) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 154/431
72.
Модели существования CSIRT
Полностью независимая CSIRT При наличии ресурсов на организацию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 155/431
73.
Модели существования CSIRT
(продолжение) Интегрированная CSIRT При нехватке ресурсов на организацию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 156/431
74.
Модели существования CSIRT
(окончание) Кампусная CSIRT При холдинговой структуре организации CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 157/431
75.
Место в организации
Не важно какое место в организации занимает CSIRT – важна эффективность ее работы 41% - под ИТ-департаментом 24% - независимо от всех 31% рапортуют непосредственно CIO 38% рапортуют не CIO Какое бы место в организации не занимала CSIRT важно решить следующие вопросы: Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.) Четкое описание обязанностей каждого подразделения Эскалация Ответственность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 158/431
76.
Власть CSIRT
Власть Описание CSIRT имеют все полномочия для принятия решений Полная и реализации любых действий от имени их клиентов (в части касающейся деятельности CSIRT) – 34% CSIRT обеспечивает поддержку своих клиентов и Частичная совместно принимают решения (рекомендуют, но не могут диктовать) – 24% CISRT не имеет никаких полномочий и действует Отсутствует только как советник – 24% CSIRT влияет на принятие решений своих клиентов Косвенная косвенно (например, головная организация влияет на свои дочки или оператор связи на своих клиентов) Власть ≠ доверие Заработайте доверие своих клиентов и эффективность работы CSIRT возрастет многократно InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 159/431
Descargar ahora