С целью оптимизации и стандартизации любой деятельности используется классификация (типизация), и процесс управления инцидентами информационной безопасности (ИБ) не является исключением.
В данной заметке речь пойдет о существующих подходах к классификации инцидентов ИБ. Ведь в зависимости от того, к какому классу/типу относится инцидент ИБ, будет зависеть и вариант реагирования на него.
Будут рассмотрены следующие источники:
- ISO/IEC 27035:2011 «Information technology — Security techniques — Information security incident management» ();
- ISO/IEC 27035-2:2016 «Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response» ();
- Reference Incident Classification Taxonomy от European Union Agency for Network and Information Security (), которая адаптировала eCSIRT.net Incident Classification;
- NIST Special Publication 800-61 Revision 2 «Computer Security Incident Handling Guide» ();
- Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах ();
- Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236 ().
Безусловно, интересна взаимосвязь классов, введенных в данных документах, между собой.
Вариант представления такой взаимосвязи приведен в таблице ниже.
Он, безусловно, не претендует на абсолютную вложенность, т.к. авторы данных документов в рамках одного класса закладывали совершено различные пояснения и примеры, например: у ENISA «Information Gathering» включает в себя и «Scanning», и «Sniffing», и «Social engineering», а у NIST «Scanning» относится к «Technical attack incident», а остальные к «Compromise of information incident», в то время как у НКЦКИ «Прослушивание (захват) сетевого трафика» и «Социальная инженерия» – это отдельные типы, а «Сканирование информационного ресурса (ОКИИ)» вообще не рассматривается как класс инцидента ИБ.
Если оставить за рамками стихийные бедствия, беспорядки и т.п. глобальные инциденты, точнее инциденты, чья сущность лежит за рамками информационных технологий, то самым полным выглядит перечень от НКЦКИ:
- Внедрение в объект модулей вредоносного программного обеспечения;
- Использование объекта для распространения вредоносного программного обеспечения;
- Компьютерная атака типа “отказ в обслуживании”, направленная на объект;
- Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на объект;
- Несанкционированный вывод объекта из строя;
- Непреднамеренное (без злого умысла) отключение объекта;
- Успешная эксплуатация уязвимости в объекте;
- Компрометация учетной записи в объекте;
- Прослушивание (захват) сетевого трафика объекта;
- Социальная инженерия, направленная на компрометацию объекта;
- Несанкционированное разглашение информации, обрабатываемой в объекте;
- Несанкционированное изменение информации, обрабатываемой в объекте;
- Рассылка спам-сообщений с объекта;
- Публикация в объекте запрещенной законодательством РФ информации;
- Злоупотребление при использовании объекта;
- Публикация в объекте мошеннической информации.
Но, к сожалению, не зная принципов, которые закладывались при составлении данного перечня, трудно судить о правилах его коррекции, как с точки зрения добавления, так и сокращения.
Безусловно, не только класс/тип инцидента ИБ определяет дальнейший вариант (сценарий) реагирования на него, но и его контекст, критичность и другие характеристики. Но это уже другие вопросы.
Успехов в классификации инцидентов ИБ!
