Процедура реагирования на инциденты. Начальник отдела информационных систем создает детальную процедуру реагирования на инциденты, и этот документ следует пересматривать и обновлять один раз в квартал или в течение одной недели после крупного инцидента. Вице-президент по информационным системам и начальник отдела информационной безопасности подписывают и утверждают данный документ. Процедура реагирования на инциденты должна определять реакцию компании при возникновении инцидента, так что в случае возникновения инцидента можно было бы сразу приступить к нейтрализации и уменьшению проблемы, а не решать, как с ней бороться. В процедуре реагирования на инциденты должны быть описаны следующие моменты:

•  подготовка и планирование – персонал отдела информационных систем должен минимум 16 часов ежегодно обучаться обнаружению и нейтрализации инцидентов. Процедура определяет тип и длительность тренингов;

•  обработка инцидента – процедура реагирования на инциденты определяет, как администратор будет обрабатывать инцидент. Ниже описаны шаги по обработке и документированию:

– определение типа и приоритета атаки;

– определение времени начала и окончания атаки;

– определение источника атаки;

– определение затронутых атакой компьютеров и сетевых устройств;

– журналирование атаки;

– попытка остановить атаку или уменьшить ее последствия;

– изолирование затронутых систем;

– уведомление соответствующих контактных лиц;

– защита доказательств атаки (файлов журналов);

– восстановление работоспособности сервисов;

•  документирование – под руководством директора службы информационных технологий должен быть создан отчет об инциденте, в котором необходимо отразить следующие вопросы:

– инвентаризация ценности затронутых атакой систем;

– описание атаки;

– пересмотр политики сетевой безопасности (при необходимости);

– поиск и наказание злоумышленников.

Таблица 2.2. Члены команды по реагированию на инциденты

2.4. Подход компании Microsoft

Компания Microsoft обладает сложной корпоративной инфраструктурой, которая состоит из 6 тыс. серверов Windows Server 2003 (из них 800 серверов приложений). В штате компании работает более 55 тыс. сотрудников. Сотрудники очень хорошо готовы технически, и 95 % из них имеют администраторские права на своих компьютерах. Более чем 300 тыс. компьютеров компании расположены в 400 представительствах по всему миру, используется более 1,6 тыс. приложений.

В сеть компании ежедневно поступает приблизительно 8 млн. почтовых сообщений извне, и приблизительно 6,5 млн. почтовых сообщений циркулирует ежедневно в сети самой компании. В сеть компании имеют доступ 30 тыс. партнеров. Уникальная инфраструктура по разработке продуктов, тестированию и поддержке, исходный код продуктов требуют особой защиты. Ежемесячно на сеть компании осуществляется свыше 100 тыс. попыток вторжения. В почтовую систему ежемесячно поступает свыше 125 тыс. почтовых сообщений, зараженных вирусами (в день примерно 800 новых вирусов), и 2,4 млн. почтовых сообщений со спамом в день.

Обязанность по обеспечению информационной безопасности в компании Microsoft возложена на две группы – Corporate Security Group и Operations and Technology Group.

Компания Microsoft разработала стратегию безопасности, состоящую из 4 основных компонент:

• миссия корпоративной безопасности,

• принципы операционной безопасности,

• модель принятия решений, основанная на анализе рисков,

• тактическое определение приоритетности действий по уменьшению рисков.

Фундаментом для дизайна, разработки и нормального функционирования защищенных систем являются принципы безопасности, разделенные на несколько категорий (см. табл. 2.3). Таблица 2.3. Принципы безопасности защищенных систем