Классификация инцидентов ИБ

Классификация инцидентов ИБ
С целью оптимизации и стандартизации любой деятельности используется классификация (типизация), и процесс управления инцидентами информационной безопасности (ИБ) не является исключением.
В данной заметке речь пойдет о существующих подходах к классификации инцидентов ИБ. Ведь в зависимости от того, к какому классу/типу относится инцидент ИБ, будет зависеть и вариант реагирования на него.
Будут рассмотрены следующие источники:
- ISO/IEC 27035:2011 «Information technology — Security techniques — Information security incident management» ( ссылка );
- ISO/IEC 27035-2:2016 «Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response» ( ссылка );
- Reference Incident Classification Taxonomy от European Union Agency for Network and Information Security ( ссылка ), которая адаптировала eCSIRT.net Incident Classification;
- NIST Special Publication 800-61 Revision 2 «Computer Security Incident Handling Guide» ( ссылка );
- Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах ( ссылка );
- Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236 ( ссылка ).
Безусловно, интересна взаимосвязь классов, введенных в данных документах, между собой.
Вариант представления такой взаимосвязи приведен в таблице ниже.
Он, безусловно, не претендует на абсолютную вложенность, т.к. авторы данных документов в рамках одного класса закладывали совершено различные пояснения и примеры, например: у ENISA «Information Gathering» включает в себя и «Scanning», и «Sniffing», и «Social engineering», а у NIST «Scanning» относится к «Technical attack incident», а остальные к «Compromise of information incident», в то время как у НКЦКИ «Прослушивание (захват) сетевого трафика» и «Социальная инженерия» – это отдельные типы, а «Сканирование информационного ресурса (ОКИИ)» вообще не рассматривается как класс инцидента ИБ.
de8670f133a7d52b70ce46fa570bdfec.png

Если оставить за рамками стихийные бедствия, беспорядки и т.п. глобальные инциденты, точнее инциденты, чья сущность лежит за рамками информационных технологий, то самым полным выглядит перечень от НКЦКИ:
- Внедрение в объект модулей вредоносного программного обеспечения;
- Использование объекта для распространения вредоносного программного обеспечения;
- Компьютерная атака типа “отказ в обслуживании”, направленная на объект;
- Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на объект;
- Несанкционированный вывод объекта из строя;
- Непреднамеренное (без злого умысла) отключение объекта;
- Успешная эксплуатация уязвимости в объекте;
- Компрометация учетной записи в объекте;
- Прослушивание (захват) сетевого трафика объекта;
- Социальная инженерия, направленная на компрометацию объекта;
- Несанкционированное разглашение информации, обрабатываемой в объекте;
- Несанкционированное изменение информации, обрабатываемой в объекте;
- Рассылка спам-сообщений с объекта;
- Публикация в объекте запрещенной законодательством РФ информации;
- Злоупотребление при использовании объекта;
- Публикация в объекте мошеннической информации.
Но, к сожалению, не зная принципов, которые закладывались при составлении данного перечня, трудно судить о правилах его коррекции, как с точки зрения добавления, так и сокращения.
Безусловно, не только класс/тип инцидента ИБ определяет дальнейший вариант (сценарий) реагирования на него, но и его контекст, критичность и другие характеристики. Но это уже другие вопросы.
Успехов в классификации инцидентов ИБ!
ISO NIST инцидент НКЦКИ ФСТЭК России
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только