Dodatak H - Sigurnosni incidenti

1. Svrha

Bez obzira na sve veća sredstva i napore koji se ulažu u postizanje i održavanje sigurnosti informacijskih sustava, sigurnosni incidenti i dalje su česta pojava. Svaki sigurnosni incident bez obzira na veličinu i trajanje za organizaciju predstavlja gubitak, zbog čega je vrlo važno da se adekvatna pažnja posveti razvoju strategije i planiranju aktivnosti u slučaju pojave sigurnosnih incidenata.

Zbog toga je upravljanje sigurnosnim incidentima važan segment poslovanja svake organizacije. Ukoliko se unaprijed definiraju zaštitne mjere i koraci u slučaju pojave incidenta, znatno se mogu umanjiti gubici i utjecaj incidenta na poslovanje organizacije.

Kako bi upravljanje sigurnosnim incidentima bilo kvalitetno organizirano, potrebno je definirati:

  • odgovornosti i uloge,
  • potencijalno opasne radnje,
  • procedure u slučaju incidenta,
  • procedure za pravovremenu detekciju,
  • procedure za analizu incidenta i uklanjanje posljedica,
  • procedure za vraćanje sustava u inicijalno stanje.

Definiranje odgovornosti i uloga

Glavna odgovorna osoba dužna je inicirati provedbu politike upravljanja sigurnosnim incidentima. Odgovornost u organizaciji i provođenju politike može imati jedna osoba, ali i više njih. Važno je da hijerarhija odgovornosti bude jasno definirana i dokumentirana.

Inicijalnu odgovornost nad upravljanjem sigurnosnim incidentima ima glavna odgovorna osoba. Glavna odgovorna osoba odgovornost ili dio odgovornosti može prenesti na drugu osobu/osobe, uz obavezno jasno definiranje i dokumentiranje odgovornosti.

Treba dopuniti smjernicama kako prijaviti sigurnosni incident i potencijalne ranjivosti sustava.

Pravovremena detekcija

Kako bi se potencijalne prijetnje i incidenti pravovremeno detektirali, potrebno je osposobiti sljedeće mehanizme:

  • softversko praćenje dnevnika zapisa s mogućnošću alarmiranja kod detekcije potencijalno opasnih radnji (DDoS napadi, brute force napadi, uporaba resursa informacijskog sustava za slanje neželjene pošte itd.),
  • periodički pregled dnevnika zapisa od strane odgovorne osobe s ciljem uočavanja potencijalno opasnih radnji koje softver nije detektirao,
  • pregled prijava korisnika o incidentima od strane korisnika,
  • pregled prijava korisnika o ranjivostima sustava.

Odgovorne osobe koje pregledavaju prijave korisnika dužne su voditi evidenciju primljenih zahtjeva i akcija koje su poduzete. Dnevnik između ostalog mora sadržavati:

  • kada je napravljena prijava od strane korisnika,
  • kada je pregledana prijava od strane odgovorne osobe,
  • zapis prijave,
  • koje su akcije poduzete u vezi prijave,
  • da li je opasnost otklonjena ili ne.

Kako reagirati u slučaju incidenta

U slučaju incidenta odgovorna osoba mora reagirati na način da zadovolji sljedeće:

  • spriječi daljnje počinjenje zlonamjernih radnji,
  • pokuša prikupiti dodatne informacije o napadaču (dokazni materijal), o lokaciji s koje je kazneno djelo izvršeno, vrijeme, itd.,
  • pozove policiju.

Treba dopuniti definicijama koji su načini sprječavanja daljnjih zlonamjernih radnji.

Treba dopuniti definicijama na koji se način mogu prikupiti dodatni dokazni materijali.

Ukoliko odgovorna osoba primijeti ili dobije prijavu od strane korisnika o potencijalnoj ranjivosti sustava, dužna je učiniti sljedeće:

  • napraviti evidenciju zahtjeva na isti način kao kod primitka prijave o incidentu,
  • inicirati rješenje problema na način da se obavijesti vlasnika resursa o propustu,
  • u evidenciju dodati tko je odgovoran, datum i vrijeme kada je primio obavijest o ranjivosti i kada je ranjivost uklonjena.

Analiza incidenata, uklanjanje posljedica

Nakon obavljanja inicijalnih procedura u slučaju incidenta i nakon što je napad (opasnost) prošao, potrebno je napraviti analizu stanja kako bi se utvrdilo što je sve obuhvaćeno incidentom.

Neki od mogućih ciljeva napada:

  • iskorištavanje sustava za obavljanje zlonamjernih radnji (slanje neželjene elektroničke pošte, izvršavanje napada odbijanja usluge itd.),
  • napadi na sustav odbijanja usluge, brute force napadi,
  • krađa resursa,
  • mijenjanje resursa,
  • uništavanje resursa itd.

Analizom je potrebno definirati što je sve bio cilj napada, kolika je šteta i na koji način detektiranu štetu ispraviti, odnosno na koji način sustav dovesti u zadnje "netaknuto" stanje.

U slučaju mijenjanja i uništavanja resursa, ukoliko je riječ o logičkim resursima (informacije, softver), rješenje će vjerojatno biti napraviti obnovu iz sigurnosnih kopija podataka. Ovaj tip incidenta može biti vrlo ozbiljan ukoliko sigurnosne kopije ne postoje (nisu pravovremeno napravljene) jer je ponekad izgubljene podatke nemoguće obnoviti.

Dopuniti definicijama procedura za vraćanje sustava u inicijalno stanje.