Приложение А

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ- ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ- МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ- МЕНЕДЖМЕНТ. Актуально в 2017 году

Рекомендации по заполнению

Назначением данной формы (формы отчета о событиях и инцидентах ИБ) является обеспечение информацией о событии ИБ, а затем, если оно определено как инцидент ИБ, то и об инциденте ИБ, для определенных лиц.

Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям или ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации.

Представленная информация будет использована для инициирования соответствующего процесса оценки, которая определит, должно ли это событие категорироваться как инцидент ИБ и (в случае положительного ответа), какие корректирующие меры, необходимые для предотвращения или ограничения потерь или ущерба, следует предпринять. Поскольку процесс оценки по своему характеру является краткосрочным, то в данный момент необязательно заполнять все поля формы отчета.

Если сотрудник является членом группы обеспечения эксплуатации, анализирующим полностью/частично заполненные формы отчета, то он должен принять решение, надо ли отнести данное событие к категории инцидента ИБ. При положительном решении сотрудник должен внести в форму отчета об инциденте ИБ как можно больше информации и передать формы отчетов о событии и инциденте ИБ в ГРИИБ. Независимо от того, будет ли событие ИБ отнесено к категории инцидента ИБ, база данных событий/инцидентов ИБ должна быть обновлена.

Если сотрудник является сотрудником ГРИИБ, анализирующим формы отчетов о событиях и инцидентах ИБ, переданные членом группы обеспечения эксплуатации, то форма отчета об инциденте ИБ должна обновляться по ходу расследования и, соответственно, должна обновляться база данных событий/инцидентов ИБ.

При заполнении форм следует соблюдать следующие рекомендации:

- по возможности формы отчета должны заполняться и передаваться в электронном виде <*>. В случае, если существуют проблемы или считается, что существуют проблемы с принятыми по умолчанию механизмами электронного оповещения (например электронная почта), включая случаи, когда система может подвергаться атаке и формы отчета могут быть прочитаны несанкционированными лицами, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть телефон или текстовые сообщения, а также использование курьеров;

<*> Если возможно, то формы отчетов должны быть, например, на безопасной web-странице с привязкой к электронной базе данных событий инцидентов ИБ. В настоящее время основанная на бумажной технологии система является слишком медленно действующей и далеко не самой эффективной в эксплуатации.

- следует представить информацию, основанную на фактах, в которой сотрудник уверен, не следует что-либо придумывать для того, чтобы заполнить все формы. Если сотрудник считает уместным включить иную информацию, которую не может подтвердить, следует указать, что это неподтвержденная информация, и причину убежденности в ее недостоверности;

- следует подробно указать, как можно связаться с сотрудником. Немедленно или спустя некоторое время может возникнуть необходимость контакта с ним для получения дальнейшей информации, касающейся Вашего отчета.

Если позднее сотрудник обнаружит, что какая-либо представленная им информация неточна, неполна или ошибочна, то следует внести поправки в отчет и представить его повторно.

Приложение В
(справочное)

МБОУ - СОШ № 25, г

В настоящее время, в период стремительного развития информационных технологий, Интернет стал неотъемлемой частью нашей жизни. Именно поэтому сегодня следует уделить внимание интернет-безопасности как в образовательной организации, так и дома (в зоне ответственности родителей). Главная наша задача - научить ребят оценивать контент, понимать, какие сайты и материалы глобальной сети станут для них незаменимыми помощниками, а какие несут в себе угрозу, представляют реальную опасность.

Вашему вниманию предлагаются отчет о "Неделя информационной безопасности", а также разработанные материалы для родителей и детей различных возрастных категорий.

о проведении «Неделя информационной безопасности»

Цель: повышение информационной безопасности детей в сети Интернет, формирования культуры ответственного, этичного и безопасного использования информационных технологий

Даты проведения: 5.09.2016 – 9.09.2016

Участники: 2-11 классы

В рамках «Неделя информационной безопасности» проводились мероприятия, охватывающие всех участников образовательных отношений (педагогических работников, обучающихся и их родителей (законных представителей)):

Повышение уровня осведомлённости обучающихся и их родителей о современных информационных угрозах

Согласно российскому законодательству информационная безопасность детей – это состояние защищенности детей, при котором отсутствует риск, связанный с причинением информацией, в том числе распространяемой в сети Интернет, вреда их здоровью, физическому, психическому, духовному и нравственному развитию (Федеральный закон от 29.12.2010 № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").

Такую защищенность ребенку должны обеспечить, прежде всего, семья и образовательная организация (далее - Школа).

Для повышения уровня осведомлённости обучающихся и их родителей о современных информационных угрозах проводились уроки информатики, классные часы, обучающий курс, конкурсы и соревнования, распространялись буклеты.

При проведении тематических классных часов педагогические работники обращали внимание обучающихся на важность обеспечения информационной безопасности в сети Интернет. Педагогические работники познакомили ребят с правилами отбора информации в сети Интернет, рассказали, как грамотно и безопасно вести себя в социальных сетях. При проведении классных часов использовали презентации, видео, организовывали общение.

В рамках внеурочной деятельности обучающимся 5-11 классов было предложено пройти обучающий курс «Безопасность в интернете» на сайте stepic.org, где ребята увидели какие опасности могут встречаться при работе в сети Интернет и прошли тестирование на проверку знаний информационной безопасности. Данная самостоятельная деятельность оказалась весьма эффективным в формировании информационной грамотности.

С целью формирования четкого представления о правилах поведения в сети Интернет с обучающимися 1-4 классов педагогическими работниками изобразительного искусства был проведен конкурс рисунков, с обучающимися 5-11 классов педагогическими работниками русского языка и литературы конкурс рассказов. Распространялись буклеты и памятки «Безопасный Интернет». На уроках информатики, обучающиеся познакомились с культурой ответственного, этичного и безопасного использования информационных технологий.

Победители конкурса рисунков «Компьютер – мой друг, компьютер - мой враг»

Победитель конкурса рассказов «Компьютер – мой друг, компьютер - мой враг»

Мой друг- компьютер.

Вряд ли в наше время можно найти человека, который бы никогда не имел дело с компьютером. Лет пятнадцать назад он был не в каждой семье, но сегодня его отсутствие скорее вызовет удивление. Лично я с трудом могу себе представить обычную жизнь без компьютера. Это помощник и взрослому человеку, и ребёнку. Хранитель большого объёма полезной информации, а также средство общения, получения новых знаний. Плюс ко всему компьютерные игры – один из увлекательных способов провести время.

О своём компьютере я мечтал очень давно. И, наконец, год назад моя мечта осуществилась – мне купили ноутбук! «Ура, мечты сбываются!» - это была первая мысль, когда я его увидел. Счастью не было предела, но тогда я ещё не знал, что компьютер станет моим другом. Конечно, моё знакомство с ним прошло традиционно: я накачал с десяток игр и играл, играл,играл. Родители мне говорили, что я постоянно в нём «зависаю», и позже я стал более рационально распределять своё время работы с ноутбуком. Ведь нельзя же постоянно жить компьютерными играми, немало времени уходит и на уроки, и на школу, и на домашние дела, да и встреча с друзьями не «онлайн» гораздо приятнее. Ну, а если совсем не контролировать себя, всё своё время можно провести, играя за компьютером. Мой компьютер меня не разочаровывает и не подводит. У него есть замечательная способность -быстро действовать, и это позволяет экономить время и силы. Он помогает печатать тексты, подчёркивает неудачные фразы, проверяет орфографические ошибки… Он просто незаменимый друг!

Порой я думаю: «А что случится, если исчезнут все-все компьютеры на земле?» Скорее всего, людям бы стало тяжело, а точнее непривычно. Если мне нужна какая-то информация, то как легко и просто найти её в просторах интернета! Если моему другу грустно, то всегда можно поболтать с ним по скайпу, развеселить его в любое время! А фильмы! А музыка! Всё в общем доступе, нет необходимости покупать в магазине диски. Из этого всего можно сделать вывод, что свободного времени у меня остаётся больше и это не маловажно. Да и знание элементарных офисных программ обязательно пригодится в жизни.

Я считаю, что у каждой вещи есть свои плюсы и минусы, но мой компьютер состоит из одних плюсов!

Буклет, памятка родителям

Для изучения проблемы безопасности в сети Интернет и отношения к ней обучающихся в Школе классными руководителями 5-11 классов было проведено анкетирование (+тест) обучающихся. Предложенные анкеты позволяют проанализировать современную ситуацию в образовательной среде.

Анализ анкет показал, что

98% обучающихся имеют свободный доступ в Интернет через различные устройства (сотовый телефон, домашний компьютер), проводят в пространстве Интернет более 2 часов в день;

96% обучающихся используют компьютер и Интернет в основном в учебных целях, 2% только для игр и общения в Интернете;

96% обучающийся не разглашают личную информацию про себя, свою семью, стараются следовать правилам «Безопасный Интернет», но есть и те ребята, которые считают социальные сети не опасными.

В рамках «Недели информационной безопасности» обучающиеся приобрели новые знания об Интернет угрозах, научились различать и предотвращать их последствия, защищать от них себя и своих близких.

Отчет аудита информационной безопасности

В очередной статье мы постараемся рассказать о структуре отчета по результатам аудита информационной безопасности .

Такой отчет обычно состоит из 4 основных частей: введения, аналитической записки, отчета об обнаруженных уязвимостях и плана по их устранению. Также можно при необходимости можно классифицировать уязвимости по такому признаку, который бы отразил особенности состояния защищенности отдельного клиента. Например, по типам уязвимостей или по уязвимым компонентам информационного актива клиента.

Во введении необходимо обязательно указать начальную дату проведения аудита, название компании, проводившей услуги, а также ее контактные данные. Далее необходимо описать объект аудита, например, сайт. Для него мы указываем IP –адрес, операционную систему, работающую на сервере, основное используемое программное обеспечение с номерами версий. Необходимо также дать характеристику аппаратной инфраструктуры, а также указать место информационного актива в бизнес-процессах клиента.

Важно отметить во введении тип проводимого аудита (анализ уязвимостей или тест на проникновение ), а также количество начальной информации, предоставленной клиентом.

Есть еще одна важная деталь, информацию о которой можно поместить во введении. При заказе услуги аудита информационной безопасности заказчик может попросить учесть определенные ограничения при его проведении. Допустим, исключить из общего процесса анализа уязвимостей стресс-тесты. которые могут вызвать DDoS .

Аналитическая записка – это как раз та часть отчета, которую будут читать руководители компании. Она не должна быть больше 2-3 страниц, в ней нестоит использовать жаргон, и после ее прочтения у руководства заказчика должно возникнуть четкое представление о состоянии безопасности информации в компании.

Возможно, вам предложат оценить уровень состояния безопасности в компании по их собственной шкале рисков, в противном случае, можете воспользоваться распространенными DREAD или CVSSv2. Данной шкале мы посвятим отдельную развернутую статью. Аналитическая часть – это не только страницы сплошного текста. Все выводы должны быть выделены, большое количество графиков и сводных таблиц приветствуется, необходимо привести статистические данные. Текст лишь их поясняет и дополняет.

В нем необходимо отразить все обнаруженные в процессе аудита уязвимости. Эта часть предназначается техническим специалистам и иногда IT менеджерам. и используется для того, чтобы показать, конкретно показать слабые места в безопасности организации .

В данном разделе приветствуются технические термины, уязвимости, подробности эксплуатации, уязвимые хосты – все сюда. В случае теста на проникновение можно нарисовать развернутую схему проведенной атаки .

Наиболее удобной формой составления отчета по уязвимостям является их запись и описание в порядке снижения риска. Риск определяется по шкале CVSSv2 или по любой другой принятой в компании.

При описании каждой конкретной уязвимости необходимо указать:

• краткое описание уязвимости;
• значение показателя CVSSv2 с обязательным указанием его вектора;
• обязательно привести ссылки на дополнительную информацию из баз уязвимостей WASC, MITRECVE и OSVBD;
• если проводиться тест на проникновение – информация о примененных эксплойтах, скриншоты и схемы выполненных атак.

Имя уязвимости должно быть взято из WASC Threat Classification, MITRE CWE или OWASP TOP 10. Описание уязвимости должно быть взято из этих же источников, или NIST или OSVDB. Такие источники данных об уязвимостях, как MITRE CVE, OSVDB, NIST, WASC – заслуживают отдельного разговора о них, поэтому мы обязательно восполним этот пробел в ближайшее время.

Вы должны дополнить информацию из вышеперечисленных источников, если то описание малопонятно или слишком общее. Вам необходимо удостоверится, что ваше описание уязвимости всегда соответствует проблеме, обнаруженной во время анализа уязвимостей или теста на проникновение.

В большинстве случаев вам необходимо объяснить процесс эксплуатации подробно, если он не очевиден. Помните что, не стоит приводить 100 SQL запросов, которые в итоге дадут вам пароль администратора. Вы должны доказать существование SQL инъекции с помощью простого примера.

Важно указать сложность эксплуатации, наиболее важные характеристики уязвимости, которые они обычно включены в вектор CVSSv2.

Простота эксплуатации может выражаться в том, например, что в Metasploit уже есть готовый модуль для реализации уязвимости.

В третьей части статьи мы закончим разговор о написании отчета по результатам аудита безопасности информации. рассмотрим последнюю часть отчета – план по устранению уязвимостей.

Ежегодный отчет Cisco по информационной безопасности показывает: разрыв между восприятием ИБ и реальностью растет

Компания Cisco опубликовала очередной ежегодный отчет по информационной безопасности, подтверждающий тезис о том, что для защиты от киберугроз организациям необходимо задействовать силы всех сотрудников. Злоумышленники все лучше используют уязвимости в средствах защиты от таких угроз, чтобы скрыть свою вредоносную деятельность. Соответственно, службы ИБ должны постоянно улучшать методы своей работы. Это тем более важно, если учесть геополитическую ангажированность злоумышленников и противоречивые требования, зачастую накладываемые местным законодательством по защите цифровой информации, местонахождению данных и шифрованию.

«Чтобы обеспечить информационную безопасность, необходимо задействовать всех сотрудников, от совета директоров до рядовых пользователей, — заявил старший вице-президент, главный директор компании Cisco по ИБ Джон Н. Стюарт (John N. Stewart). — Раньше мы опасались DOS-атак, а сейчас беспокоимся еще и о сохранности данных. Раньше мы опасались кражи интеллектуальной собственности, а теперь — полного отказа служб, имеющих критически важное значение. Злоумышленники действуют все искуснее, используя уязвимости нашей защиты и маскируя свою деятельность. Системы информационной безопасности должны обеспечивать защиту в течение всего цикла атаки, поэтому приобретать нужно только те технологии, которые разрабатывались с учетом данного фактора. Отказоустойчивость должна стать важной частью работы веб-сервисов. Чтобы защитить свое будущее, все вышесказанное нужно применять уже сейчас. Это требует беспрецедентных в истории индустрии усилий».

Киберпреступники расширяют арсенал методов своей деятельности и совершенствуют их для проведения скрытых атак. Cлужба информационной безопасности Cisco выявила три наиболее актуальные тенденции:

• «Спам на снегоступах»: злоумышленники распространяют спам небольшими порциями с большого количества IP-адресов, что позволяет успешно избегать обнаружения. При этом зараженные компьютеры могут быть использованы и для других атак.
• Секретные веб-эксплойты. Широко распространенные наборы эксплойтов быстро нейтрализуются службами безопасности. Чтобы не привлекать внимания, киберпреступники используют менее распространенные эксплойты. Такой механизм работы отслеживать сложнее, что позволяет пользоваться им постоянно.
• Сочетания вредоносных техник. Технологии Flash и JavaScript, например, всегда были небезопасными. Успехи в разработке механизмов защиты и обнаружения заставили злоумышленников разработать средства, которые используют уязвимости Flash и JavaScript одновременно. Распределение эксплойта между двумя файлами — Flash и JavaScript — делает его менее заметным для защитных устройств и затрудняет его анализ через реверс-инжиниринг.

Пользователи оказались между молотом и наковальней: будучи жертвами, они, сами того не зная, помогают вести кибератаки. Исследования, проведенные в 2014 г. службой ИБ Cisco, показали, что теперь злоумышленники преимущественно атакуют не только серверы и операционные системы, но и данные пользователей через браузеры и электронную почту. Из-за пользователей, загружающих данные с зараженных веб-страниц, количество атак через Silverlight возросло на 228%, а количество спама и рекламных вирусов — на 250%.

В исследовании под названием Cisco Security Capabilities Benchmark участвовали руководители служб информационной безопасности 1700 организаций из США, Бразилии, Великобритании, Германии, Италии, Индии, Китая, Австралии и Японии. Вывод неутешителен: руководители стали чаще переоценивать свои возможности по обеспечению ИБ. Например, более 75% респондентов считают, что их системы информационной безопасности очень, а то и чрезвычайно надежны. При этом менее 50% опрошенных уделяют внимание таким стандартным средствам устранения уязвимостей, как регулярное обновление и безопасная настройка ПО. К примеру, Heartbleed стала крупнейшей уязвимостью прошлого года, и тем не менее 56% используемых версий OpenSSL старше 4 лет. Очевидно, что службы ИБ не занимаются обновлением ПО.

Таким образом, вопросам информационной безопасности нужно уделять больше внимания, даже если те, кто за нее отвечает, убеждены, что все в порядке.

«Злоумышленники все лучше и лучше используют уязвимости в системах защиты, — говорит ведущий инженер подразделения Cisco по разработке решений ИБ Джейсон Брвеник (Jason Brvenik). — Мы обнаружили, что для 56% установленных версий OpenSSL все еще актуальна уязвимость Heartbleed, а в крупномасштабных атаках используется лишь один процент всех высококритичных на конкретный момент времени уязвимостей. Несмотря на это, более половины опрошенных представителей служб безопасности не применяет стандартные средства защиты — например, обновление ПО и его безопасную настройку. Даже используя лучшие технологии ИБ, нужно безупречно выстраивать рабочие процессы, чтобы защитить организации и пользователей от изощренных атак и вредоносных кампаний».

В целом результаты проведенного компанией Cisco исследования показывают, что в постановке задач информационной безопасности и управлении ее приоритетами пришло время проявить себя руководству компаний. «Манифест информационной безопасности» от Cisco, представляющий собой формализованный набор основных принципов построения модели корпоративной безопасности, имеет целью помочь руководству, службам ИБ и пользователям понять и нейтрализовать современные киберугрозы. Он может помочь организациям действовать в вопросах информационной безопасности динамичнее, гибче и прогрессивнее злоумышленников. Принципы же таковы:

1. ИБ должна поддерживать бизнес.
2. Механизмы ИБ должны быть удобны и способны работать в условиях существующей архитектуры.
3. ИБ должна быть незаметной, но информативной.
4. ИБ должна давать возможность вести наблюдение и предпринимать необходимые меры.
5. ИБ должна рассматриваться как комплекс человеческих факторов.

Ежегодный отчет Cisco по информационной безопасности на 2015 год — одно из наиболее серьезных отраслевых исследований. В нем рассматриваются самые свежие сведения об угрозах ИБ, собранные экспертами Cisco, и он содержит отраслевые оценки, тенденции и выводы, касающиеся тех проблем в области информационной безопасности, которые могут возникнуть в 2015 году. В отчете использованы данные исследования Cisco Security Capabilities Benchmark, в рамках которого было изучено множество организаций и то, как эти организации оценивают состояние своей информационной безопасности. В отчете уделено также внимание геополитическим тенденциям, мировым событиям, связанным с требованиями к местонахождению данных, и вопросу вынесения проблем ИБ на уровень высшего руководства компаний.

Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.

Чистый объем продаж компании в 2014 финансовом году составил 47,1 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com.

Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.

Дополнительную информацию рад предоставить
Александр Палладин, глава пресс-службы Cisco в России/СНГ
тел. (985) 226-3950