M
Нарушение работы можно также понимать по-разному. Некоторые отталкиваться от SLA и только в случае их просадки склонны считать что процесс нарушен.
Size: a a a
2020 April 24
M
И все попытки попытки брутфоса, фишинга, нарушение политик и т.п. к компьютерному инциденту не относятся.
SM
Из-за чего у меня такой вопрос возник? Читая статьи по защите ОКИИ и ЗОКИИ я часто сталкиваюсь, что эти понятия объединяют. Якобы компьютерный инцидент это составляющая инцидента ИБ. Как можно сравнивать колбасу с селёдкой?
M
Для отнесения события к компьютерному инциденту необходима оценка его влияния на ОКИИ или обрабатываемую в нем информацию, с инцидентами ИБ все проще
К
Sergey M
На мой взгляд инцидент ИБ и компьютерный инцидент - это два разных понятия. У нас есть система ИБ. Некие события информационной безопасности создают угрозу ИБ. Через эту угрозу происходит факт нарушения системы ИБ. Факт нарушения - это компьютерный инцидент. С помощью инцидентов ИБ мы создаем угрозу, но ей еще надо воспользоваться. Компьютерный инцидент -это когда угрозой уже воспользовались и нарушили систему ИБ.
Да, поэтому в 187фз вводится еще понятие Компьютерная атака, которая и будет ИИБ, а Компьютерный инцидент - факт нарушения, в том числе произошедший в результате компьютерной атаки.
SM
Компьютерная атака будет инцидентом если она создает угрозу безопасности информации, а если это целенаправленное воздействие на уже существующую угрозу?
M
Да, поэтому в 187фз вводится еще понятие Компьютерная атака, которая и будет ИИБ, а Компьютерный инцидент - факт нарушения, в том числе произошедший в результате компьютерной атаки.
Компьютерная атака != инцидент ИБ
Это разные сущности
Это разные сущности
К
Имхо нарушение функционирования системы (действие, использующее уязвимость) - это угроза ИБ, поэтому компьютерная атака - всегда ИИБ. ИИБ сущность, включающая в себя компьютерную атаку, она шире. В чем я не прав?
M
Инцидент ИБ - результат (следствие) компьютерной атаки
АБ
Вот вам заняться нечем. А кража КТ/ДСП с компа на флешку имея права, это ИИБ или КИ? А кража бумажного КТ/ДСП документа?
К
Инцидент ИБ - результат (следствие) компьютерной атаки
Можно тогда пример?
M
У компьютерной атаки есть злоумышленник, цель, средства реализации намерений.
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
M
Если брать аналогии: бомбардировка города - атака; обрушение зданий, гибель и ранения людей - инциденты
SM
У компьютерной атаки есть злоумышленник, цель, средства реализации намерений.
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
Складно, но где угрозы ИБ?
SM
У компьютерной атаки есть злоумышленник, цель, средства реализации намерений.
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
Инцидент ИБ - это просто результат обработки событий ИБ.
Компьютерная атака -> попытка получения доступа к корпоративной сети путем рассылки фишинговых писем с вредоносной нагрузкой.
Инцидент ИБ -> факт получения писем с вредоносной нагрузкой, запуск вредоносного ПО на компе, утечка информации...
В данном случае вы описали компьютерную атаку, которая создает угрозу ИБ, а если комп.атака уже воздействует на существующую угрозу?
К
Sergey M
В данном случае вы описали компьютерную атаку, которая создает угрозу ИБ, а если комп.атака уже воздействует на существующую угрозу?
У нас получается цепочка угроз и все равно мы приходим к ИИБ.
M
Sergey M
Складно, но где угрозы ИБ?
А зачем вам угрозы? Злоумышленник вряд ли задумывается о них, вне зависимости от их существования.
Например, мы создали HoneyPot с сервисами HTTP, FTP, SMB технологически делающие невозможность их взлом. Считаем что угрозы подбора пароля или реализации уязвимости - нет, а атаки есть )
Например, мы создали HoneyPot с сервисами HTTP, FTP, SMB технологически делающие невозможность их взлом. Считаем что угрозы подбора пароля или реализации уязвимости - нет, а атаки есть )
АС
Не туда копаете.
Просто примите, что компьютерная атака - это процесс, компьютерный инцидент - это факт случившегося события (успешной или не успешной попытки компьютерной атаки)
Просто примите, что компьютерная атака - это процесс, компьютерный инцидент - это факт случившегося события (успешной или не успешной попытки компьютерной атаки)
M
Sergey M
В данном случае вы описали компьютерную атаку, которая создает угрозу ИБ, а если комп.атака уже воздействует на существующую угрозу?
Еще пример, есть угроза получения доступа к системе через подбор пароля. Атака может быть направленна на реализацию угрозы, но далеко не факт что угроза реализуется и приведет к компьютерному инциденту. При этом фиксация атаки "брутфорс" вполне может быть инцидентом ИБ.
SM
А мне кажется, что комп.атака это шире чем инцидент ИБ. Бесполезно проводить комп.атаку, если нет дыры (угрозы ИБ). Тогда атака будет событием ИБ, а не инцидентом. Но тогда как называется комп.атака, с помощью которой нарушили функционирование ОКИИ?