СРАВНИТЕЛЬНЫЙ АНАЛИЗ МОДЕЛЕЙ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

СРАВНИТЕЛЬНЫЙ АНАЛИЗ МОДЕЛЕЙ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

А.К. Дёмина, магистрант

Южно-Российский государственный политехнический университет (НПИ) им.

М.И. Платова

(Россия, г. Новочеркасск)

DOI:10.24412/2500-1000-2024-5-1-232-236

Аннотация. В статье проводится сравнительный анализ ключевых моделей управления инцидентами информационной безопасности. Рассматриваются основные подходы и методологии, применяемые в данной области, а также проводится их анализ с точки зрения эффективности, масштабируемости и устойчивости к изменениям в информационной среде. Результаты анализа предполагают рекомендации по выбору и адаптации моделей для организаций различных типов.

Ключевые слова: модель управления инцидентами ИБ, УИИБ, комплексный подход, структурированный подход, международные стандарты, отечественные стандарты.

В эпоху глобализации информационных технологий и растущих киберугроз, управление инцидентами информационной безопасности становится критически важной задачей для организаций любого размера. Управление инцидентами информационной безопасности - это комплекс мер, направленных на быстрое обнаружение, анализ и реагирование на инциденты безопасности, что позволяет минимизировать потенциальный ущерб и восстановить нормальную операционную деятельность. С ростом числа и сложности угроз становится очевидной необходимость в эффективных моделях управления инцидентами ИБ (УИИБ), которые могли бы минимизировать потенциальный ущерб от инцидентов и укрепить общую устойчивость организации к новым вызовам. От выбора подходящей модели зависит не только скорость реагирования на инциденты ИБ, но и способность организации предотвращать будущие нарушения безопасности.

В данной статье проанализированы как международные, так и российские стандарты управления инцидентами информационной безопасности, включая NIST SP Rev 2 800-61, ISO/IEC 27035, ГОСТ Р ИСО/МЭК 18044-2007, ГОСТ Р 597102022, ГОСТ Р 59711-2022, ГОСТ Р 597122022 и РС БР ИББС-2.5-2014. Выбор данных моделей обусловлен их широким применением и признанием в индустрии, а

также различиями в подходах к решению проблем управления инцидентами.

Исследование направлено на анализ и сравнение данных моделей с использованием ряда важных критериев, таких как эффективность реагирования, гибкость и адаптивность, масштабируемость и устойчивость.

Анализ моделей управления инцидентами информационной безопасности

Стандарт NIST SP 800-61 Rev 2 [1], разработанный Национальным институтом стандартов и технологий США (NIST), представляет собой детальное руководство по реагированию на инциденты ИБ. Руководство NIST SP 800-61 Rev 2 предназначено для оказания помощи организациям всех видов в разработке, внедрении и улучшении процессов управления инцидентами информационной безопасности. Стандарт представляет собой практическое руководство по созданию, организации и управлению командой управления инцидентами, а также по выполнению всех этапов реагирования на инциденты ИБ. NIST подчеркивает важность подготовки персонала и создания коммуникативных и оперативных планов для всех типов инцидентов ИБ. Модель NIST SP 800-61 Rev 2 имеет широкое распространение и предоставляет детальные процедуры для всех этапов управления инцидентами, от идентификации и анализа до восстановления после инцидента. Структурированный

подход способствует снижению последствий инцидентов и помогает минимизировать ущерб от атак. Модель достаточно гибкая и позволяет адаптироваться под специфику различных организаций и меняющуюся киберугрозную среду. Она предусматривает возможности для настройки процессов в соответствии с организационной структурой, ресурсами и конкретными рисками, что делает её применимой в различных условиях. NIST SP 800-61 Rev 2 подходит как для малых, так и для крупных организаций. Процессы управления инцидентами можно масштабировать в зависимости от размера и потребностей организации, что делает эту модель универсальной. Масштабируемость обеспечивается за счёт модульности и гибкости в применении рекомендаций. Модель поддерживает устойчивость организаций к инцидентам информационной безопасности за счет обеспечения надежных процессов идентификации, реагирования и восстановления. Модель NIST SP 800-61 Rev 2 требует начальных затрат на внедрение и обучение персонала. А также, сложность некоторых аспектов может потребовать дополнительных усилий для адаптации и настройки процессов, особенно в меньших организациях с ограниченными ресурсами.

Международный стандарт

ISO/IEC 27035 [2] представляет собой руководство по управлению инцидентами информационной безопасности. Этот стандарт направлен на помощь организациям в эффективном реагировании на инциденты информационной безопасности, минимизации вреда от них и восстановлении после инцидентов, а также на предотвращение будущих нарушений. Он подчеркивает важность создания, внедрения и непрерывного улучшения процесса управления инцидентами на основе лучших международных практик. Стандарт состоит из двух основных частей. Первая часть содержит основные принципы и руководства по управлению инцидентами, включая описание процесса, требования и рекомендации. Во второй части приведены примеры документов, которые могут быть использованы в рамках управления инцидентами. Стандарт подчеркивает важность

быстрого обнаружения и адекватного реагирования, что позволяет сократить время до начала реагирования и время восстановления. По сравнению с моделью управления инцидентами ИБ NIST SP 800-61 Rev 2, модель ISO/IEC 27035 является более общей и менее детализированной. Модель не содержит достаточно конкретных инструкций или методик для решения определенных типов инцидентов или управления определенными видами угроз. Организация может столкнуться с необходимостью разработки собственных процессов или дополнительной детализации руководств для успешного применения модели. ISO/IEC 27035 предлагает достаточно гибкие рамки, которые можно адаптировать к специфическим потребностям и условиям любой организации, независимо от её размера или отрасли. Стандарт легко масштабируется, что делает его пригодным как для малых, так и для крупных организаций. Масштабируемость обеспечивается через модульность процессов управления инцидентами, что позволяет организациям выбирать и реализовывать только те компоненты стандарта, которые необходимы для их текущих операций.

Российский стандарт ГОСТ Р ИСО/МЭК 18044-2007 [4] подразделяет процесс управления инцидентами ИБ на четыре отдельных этапа: планирование и подготовка, использование, анализ и улучшение. ГОСТ Р ИСО/МЭК 180442007 включает детализированные описания этапов процесса управления инцидентами, регламентирует вопросы предоставления нормативной и управленческой документации, а также ресурсов. Этот стандарт является прямым аналогом устаревшего международного стандарта ISO/IEC TR 18044:2004, что подтверждает его соответствие международным нормам в сфере управления инцидентами информационной безопасности. Модель охватывает широкий спектр аспектов управления инцидентами, включая процессы, политики, процедуры и технические меры, что позволяет организациям разработать комплексный подход к обеспечению безопасности. ГОСТ Р ИСО/МЭК 18044-2007 акцентирует внимание на создании структурированной системы для эффективного

реагирования на инциденты. Эффективное реагирование улучшается за счет разработки четко определенных процедур, обучения персонала и постоянного совершенствования процессов на основе анализа предыдущих инцидентов. Стандарт можно масштабировать для применения в организациях различного размера - от малых предприятий до крупных корпораций. Процессы управления инцидентами, описанные в ГОСТ Р ИСО/МЭК 18044-2007, могут быть настроены в соответствии с объемом операций и доступными ресурсами организации, делая этот стандарт универсальным решением для организаций различных типов. Регулярный анализ инцидентов и улучшение процессов реагирования помогают снижать вероятность возникновения повторных инцидентов и уменьшать их потенциальное воздействие на организацию.

Отечественные стандарты ГОСТ Р 59710-2022 [5], ГОСТ Р 59711-2022 [6], ГОСТ Р 59712-2022 [7] устанавливают базовые требования и предоставляют методические рекомендации для организации процессов управления инцидентами в информационных системах организаций. Эти стандарты вводят систематизированный и последовательный подход к управлению инцидентами информационной безопасности, адаптированный для координации и выполнения задач по управлению компьютерными инцидентами в рамках деятельности государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Преимуществами модели является её соответствие отечественным стандартам и требованиям в области информационной безопасности. ГОСТ Р 59710-2022 устанавливает общие требования и методологии управления инцидентами, что помогает организациям быстро идентифицировать и реагировать на инциденты, минимизируя их воздействие. ГОСТ Р 59711-2022 и ГОСТ Р 59712-2022 предоставляют более детализированные процедуры и инструкции для реагирования на инциденты, что улучшает координацию и ускоряет процесс реагирования. Эти стандарты предлагают достаточно широ-

кие рамки, позволяя организациям адаптировать процессы к своим уникальным условиям и потребностям. Они учитывают различные типы угроз и возможные сценарии, предоставляя гибкость в выборе методов реагирования. ГОСТ Р 59710-2022, ГОСТ Р 59711-2022, и ГОСТ Р 59712-2022 разработаны таким образом, чтобы быть применимыми для организаций разного масштаба, от малых предприятий до крупных организаций. Стандарты могут масштабироваться в зависимости от размера и сложности инфраструктуры организации. Применение этих стандартов способствует укреплению устойчивости организации к инцидентам информационной безопасности за счет систематического подхода к управлению инцидентами, регулярного обучения персонала и улучшения процессов на основе анализа инцидентов. Введение стандартов требует первоначальных усилий по внедрению и обучению, но благодаря четко структурированным рекомендациям и широкому охвату потенциальных инцидентов, они обеспечивают удобство в долгосрочной эксплуатации.

Еще одним отечественным стандартом является стандарт РС БР ИББС-2.5 [8]. Рекомендации в области стандартизации Банка России РС БР ИББС-2.5 разработаны в 2014 году Банком России с целью обеспечения эффективного управления инцидентами информационной безопасности в банковском секторе. Модель предоставляет структурированные методы и процедуры для реагирования на инциденты ИБ. РС БР ИББС-2.5 гарантирует высокую устойчивость и простоту в использовании. Модель предоставляет комплексный подход к управлению инцидентами информационной безопасности, охватывая различные аспекты и процессы. Она может быть гибко адаптирована к различным организационным и техническим контекстам, однако является менее гибкой и адаптивной в сравнении с моделями NIST SP 800-61 Rev 2 и ISO/IEC 27035. Недостатком является то, что модель ориентирована на организации банковской отрасли, что может ограничить ее применимость для других сфер деятельности. Помимо этого, модель дает общие рекомендации к управлению инцидентами ИБ и не

предоставляет достаточного уровня детализации.

В таблице 1 приведен сравнительный анализ моделей управления инцидентами информационной безопасности по заданным критериям. Это позволяет наглядно

Выбор модели УИИБ для конкретных организаций

Выбор подходящей модели управления инцидентами информационной безопасности зависит от множества факторов, включая специфику отрасли, размер организации, правовые и регуляторные требования, а также уровень зрелости существующих процессов информационной безопасности. Ниже представлены рекомендации по выбору модели, основанные на этих критериях.

1. Для малых и средних предприятий

Малые и средние предприятия часто

сталкиваются с ограничениями ресурсов, поэтому им требуется модель, которая не требует значительных инвестиций в начальные настройки и обучение персонала. Модель ГОСТ Р ИСО/МЭК 180442007, ГОСТ Р 59710-2022, ГОСТ Р 597112022, ГОСТ Р 59712-2022 предлагают гибкие и масштабируемые решения, которые можно адаптировать к потребностям бизнеса без значительных начальных затрат.

2. Для крупных международных компаний

Большие организации с распределенной инфраструктурой нуждаются в комплексном подходе к управлению инцидентами, который обеспечивает строгое соблюдение нормативных требований и устойчивость к инцидентам ИБ. ISO/IEC 27035 и NIST SP Rev 2 800-61 подходят для крупных орга-

сравнить каждый стандарт по разным аспектам управления инцидентами информационной безопасности, что может быть полезно при выборе подходящей модели для конкретной организации.

низаций, которые стремятся к соответствию международным стандартам безопасности.

3. Для государственных организаций

Организации, деятельность которых строго регулируется, должны выбирать модели, соответствующие национальным и международным нормативным стандартам. ГОСТ Р 59710-2022, ГОСТ Р 597112022, ГОСТ Р 59712-2022, ГОСТ Р ИСО/МЭК 18044-2007, РС БР ИББС-2.5-2014 могут предложить структурированный и детализированный подход, соответствующий требованиям законодательства и стандартов безопасности.

Заключение. Результаты исследования позволяют сделать вывод о том, что выбор подходящей модели управления инцидентами должен основываться на тщательном анализе организационных потребностей, структуры, ресурсов и специфики деятельности. Организации должны также учитывать потенциальные изменения в регуля-торной среде и возможное развитие технологий, чтобы выбранная модель могла адаптироваться и оставаться эффективной в долгосрочной перспективе. Понимание ключевых элементов и подходов каждой модели позволит принимать обоснованные решения, которые способствуют повышению уровня информационной безопасности и устойчивости организации к инцидентам.

Таблица 1. Сравнительный анализ моделей УИИБ

Модель УИИБ Эффективность реагирования Гибкость и адаптивность Масштабируемость Устойчивость

NIST SP Rev 2 800-61 Высокая Средняя Высокая Высокая

ISO/IEC 27035 Высокая Высокая Высокая Средняя

ГОСТ Р ИСО/МЭК 18044-2007 Высокая Высокая Высокая Средняя

ГОСТ Р 59710-2022 Высокая Средняя Высокая Высокая

ГОСТ Р 59711-2022 Высокая Средняя Высокая Высокая

ГОСТ Р 59712-2022 Высокая Средняя Высокая Высокая

РС БР ИББС-2.5-2014 Высокая Низкая Средняя Высокая

Библиографический список

1. NIST SP 800-61. Computer Security Incident Handling Guide. - [Электронный ресурс]. -Режим доступа: https://www.altx-soft.ru/upload/iblock/316/1eve209pbt8nk3udh3hhrouueokue078/NIST%20SP%20800%2061%2 0rev2%20Руководство%20по%20обработке%20инцидентов%20компьютерной%20безопас ности.pdf (дата обращения 06.05.2024).

2. ISO/IEC 27035. - [Электронный ресурс]. - Режим доступа: https://www.amnafzar.net/files/1/IS0%2027000/IS0%20IEC%2027035-1-2016.pdf (дата обращения 06.05.2024).

3. ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». -[Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200068822 (дата обращения 06.05.2024).

4. ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами ИБ. Общие положения». - [Электронный ресурс]. - Режим доступа: https://wikisec.ru/images/8/88/Gost_r_59710-2022.pdf (дата обращения 06.05.2024).

5. ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами». - [Электронный ресурс]. - Режим доступа: https://wikisec.ru/images/9/98/Gost_r_59711-2022.pdf (дата обращения 06.05.2024).

6. ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты». - [Электронный ресурс]. - Режим доступа: https://wikisec.ru/images/b/b6/Gost_r_59712-2022.pdf (дата обращения 06.05.2024).

7. Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности». - [Электронный ресурс]. - Режим доступа: https://www.garant.ru/products/ipo/prime/doc/70567338/ (Дата обращения 06.05.2024).

COMPARATIVE ANALYSIS OF INFORMATION SECURITY INCIDENT

MANAGEMENT MODELS

A.K. Demina, Graduate Student

South Russian State Polytechnic University (NPI) named after M.I. Platov (Russia, Novocherkassk)

Abstract. The article provides a comparative analysis of key information security incident management models. The main approaches and methodologies used in this area are considered, and their analysis is carried out from the point of view of efficiency, scalability and resistance to changes in the information environment. The results of the analysis suggest recommendations for the selection and adaptation of models for organizations of various types.

Keywords: information security incident management model, information security management system, integrated approach, structured approach, international standards, domestic standards.