Національна академія наук України Інститут програмних систем НАН України ЗАТВЕРДЖЕНО 05540149.90000.044.И3-01-АЗ Програма інформатизації НАН України Проект «Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ» Шифр –КСЗІ АІС НАНУ Система управління інцидентами інформаційної безпеки Керівництво адміністратора 05540149.90000.043.И3-06 2009  ЗМІСТ ВСТУП 4 1. ПРАКТИКИ ЩОДО УПРАВЛІННЯ ІНЦИДЕНТАМИ ТА НОРМАТИВНІ ДОКУМЕНТИ 8 1.1. Опис створюваної системи управління інцидентами інформаційної безпеки 9 1.2. Процеси управління 11 1.3. Засоби автоматизації 13 1.4. Документація системи управління 13 1.5. Впровадження системи 14 1.6. Склад робіт зі створення системи 15 1.7. Практичний підхід до побудови системи управління ІБ 16 1.8. Складнощі управління інцидентами інформаційної безпеки 20 2. МЕТОДИ УПРАВЛІННЯ ІНЦИДЕНТАМИ ІБ 22 2.1. Що таке інцидент? 22 2.2. Управління інцидентами інформаційної безпеки 23 2.3. Ознаки інциденту інформаційної безпеки 26 2.4. Аналіз інцидентів інформаційної безпеки 27 2.5. Документування інциденту інформаційної безпеки 28 2.6. Концепція і структура побудови системи управління інцидентами ІБ 29 2.7. Пріоретизація інцидентів інформаційної безпеки 31 2.8. Розповсюдження повідомлень про інцидент інформаційної безпеки 31 2.9. Розробка політики реакції на інцидент 31 2.10. Як управляти інцидентами інформаційної безпеки? 32 2.10.1. Планування та підготовка 35 2.10.2. Експлуатація 37 2.10.3. Аналіз 37 2.10.4. Поліпшення 37 2.11. Виявлення і реєстрація інциденту 38 2.12. Усунення причин, наслідків інциденту і його розслідування 39 2.13. Коректуючі та превентивні дії 40 2.14. Рекомендації і можливі труднощі 42 2.15. Ефект від впровадження процесу управління інцидентами 44 2.16. Ефект від впровадження процесу управління проблемами 44 2.17. ITIL як бібліотека інфраструктури ІТ 45 3. ЗАСОБИ УПРАВЛІННЯ ІНЦИДЕНТАМИ NETFORENSICS 48 3.1. Автоматизація процесів управління інцидентами 48 3.2. Характеристики netForensics 49 3.3. Встановлення та деінсталяція nFX Log One 51 3.3.1. Вимоги до програмного забезпечення nFX LogOne 51 3.3.2. Покрокова інсталяція 52 3.3.3. Ліцензування nFX Log One 52 3.3.4. Огляд поточної ліцензійної інформації 52 3.3.5. Оновлення ліцензійного файлу nFX Log One 53 3.3.6. Деінсталяція агентів 53 3.3.7. Деінсталяція серверних компонентів nFX Log One 53 3.4. Початок роботи з nFX Log One 54 3.4.1. Консоль управління nFX Log One 54 3.4.2. Реєстрація всередині консолі управління nFX Log One 54 3.4.3. Реєстрація консолі управління nFX Log One ззовні 56 3.4.4. Інсталяція віддаленої консолі управління nFX Log One 56 3.5. Інтерфейс кофігурації установки nFX Log One 57 3.6. Інсталяція агентів nFX Log One 58 3.6.1. Віддалена агентна інсталяція 59 3.6.2. Створення звітів користувача 59 3.7. Властивості параметрів користувача 61 3.7.1. Розклад сповіщення 61 3.7.2. Формат повідомлення 61 3.7.3. Dialup-пейджер та SMS опції 62 3.8. Створення ділових груп 63 3.8.1. Таблиця властивостей перевірок звітності 64 3.8.2. Таблиця привілегій 64 3.8.3. Таблиця варіантів розгортання 65 3.8.4. Внесення корегуючих дій 66 3.9. Конфігурація маршруту обробки подій 67 3.9.1. Таблиця електронної пошти 68 3.9.2. Загальна таблиця Dialup пейджера 69 3.9.3. Таблиця генератора пасток (Traps Generator) SNMP 69 3.10. Спостерігач подій (Event Watcher) 71 3.10.1. Використання правил в спостерігачі подій 71 3.10.2. Перегляд живих подій (Live Events) в nFX Log One консолі 72 3.10.3. Побудова спостерігача живих подій (Live Event Watcher) 73 3.11. Правила спостерігача подій 75 3.11.1. Побудова правила Event Watcher Rule з події 75 3.11.2. Використання екрану опису правила спостерігача подій 77 3.11.3. Використання функцій правила спостерігача подій 77 3.11.4. Критерій правила, що базується на Header Subscreen 79 3.12. Вікно варіантів правила спостерігача подій 79 3.12.1. Варіант дії, покладеної на узгодженість події 80 3.12.2. Варіант відбору корегуючої дії 80 3.12.3. Варіант підтвердження події 81 ...