В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности.
Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки):
1. Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель;
2. Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл
3. Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая обычно не отображается в бизнес приложении;
4. Сотрудник Организации, знал, подсмотрел или подслушал пароль другого сотрудника; подключился к бизнес приложению со своего АРМ от имени другого пользователя и получил несанкционированный доступ к информации
5. На АРМ сотрудника Организации произошло заражение и выполнение вредоносного кода, который автоматически просканировал сервера приложений и БД и получил несанкционированный доступ к ним через не устранённую уязвимость
6. Клиент Организации, используя уязвимость фильтрации данных в бизнес приложении выполнил атаку (например, SQL injection) и получил несанкционированный доступ к ценной информации
7. В рамках контроля выполнения требований ФЗ в области защиты ПДн, аудитор просит предоставить свидетельства регистрации всех фактов доступа к персональным данным
8. В рамках контроля выполнения требований PCI DSS, аудитор просит предоставить свидетельства регистрации всех фактов доступа к информации о пластиковых картах (Cardholder Data)
9. В рамках контроля выполнения требований ЦБ РФ, аудитор просит предоставить свидетельства регистрации всех фактов доступа к платежной информации
10. В результате жалобы клиента банка обнаружено, что одним из сотрудников месяц назад была выполнена несанкционированная операция (например, перевод денежных средств); Необходимо расследование инцидента
Хотелось бы услышать что произойдет в вашей организации не имеющей СОИБ? (будет ли что-то зарегистрировано в журналах, будет ли предотвращено автоматически какое-то нарушение, будет ли кто-то автоматически уведомлен, будет ли у вас необходимая информация для свидетельств)
Хотелось бы услышать что произойдет в вашей организации имеющей СОИБ?
Что предложите использовать в качестве контрмеры для данных инцидентов или случаев ИБ?
Можно по части пунктов.
Потом, соответственно, я приведу свои варианты.