Shembuj të aksidenteve dhe incidenteve të aviacionit. Përshkrimi i proceseve kryesore të menaxhimit të shërbimeve të TI-së. Menaxhimi i nivelit të shërbimit
E vlefshme Redaksia nga 27.12.2007
| Emri i dokumentit | "STANDARD KOMBËTAR I FEDERATISË RUSE. TEKNOLOGJIA E INFORMACIONIT. METODAT DHE MJETET E SIGURIMIT TË SIGURISË. MENAXHIMI I INCIDENTEVE TË SIGURISË TË INFORMACIONIT. GOST R ISO/IEC TO 18044-2007 të provuar nga Rostek.2007" 2007 N 513-st) |
| Lloji i dokumentit | porosi, standard, gost |
| Autoriteti marrës | Rostekhregulirovanie |
| Numri i dokumentit | 18044-2007 |
| Data e pranimit | 01.01.1970 |
| Data e rishikimit | 27.12.2007 |
| Data e regjistrimit në Ministrinë e Drejtësisë | 01.01.1970 |
| Statusi | e vlefshme |
| Publikimi |
|
| Navigator | Shënime |
"STANDARD KOMBËTAR I FEDERATISË RUSE. TEKNOLOGJIA E INFORMACIONIT. METODAT DHE MJETET E SIGURIMIT TË SIGURISË. MENAXHIMI I INCIDENTEVE TË SIGURISË TË INFORMACIONIT. GOST R ISO/IEC TO 18044-2007 të provuar nga Rostek.2007" 2007 N 513-st)
6 Shembuj incidentesh siguria e informacionit dhe arsyet e tyre
Incidentet e sigurisë së informacionit mund të jenë të qëllimshme ose aksidentale (për shembull, rezultat i disa gabimeve njerëzore ose fenomeneve natyrore) dhe të shkaktuara nga mjete teknike dhe joteknike. Pasojat e tyre mund të përfshijnë ngjarje të tilla si zbulimi ose modifikimi i paautorizuar i informacionit, shkatërrimi i tij ose ngjarje të tjera që e bëjnë atë të paarritshëm, si dhe dëmtim ose vjedhje të aseteve të organizatës. Incidentet e sigurisë së informacionit që nuk raportohen por janë identifikuar si incidente nuk mund të hetohen dhe nuk mund të zbatohen masa mbrojtëse për të parandaluar përsëritjen e këtyre incidenteve.
Më poshtë janë disa shembuj të incidenteve të sigurisë së informacionit dhe shkaqet e tyre, të cilat janë dhënë vetëm për qëllime sqarimi. Është e rëndësishme të theksohet se këta shembuj nuk janë shterues.
6.1 Refuzimi i shërbimit
Mohimi i shërbimit është një kategori e gjerë e incidenteve të sigurisë së informacionit që kanë një gjë të përbashkët.
Incidente të tilla të sigurisë së informacionit çojnë në pamundësinë e sistemeve, shërbimeve ose rrjeteve për të vazhduar funksionimin me të njëjtën performancë, më shpesh me një mohim të plotë të aksesit për përdoruesit e autorizuar.
Ekzistojnë dy lloje kryesore të incidenteve të sigurisë së informacionit që lidhen me mohimin e shërbimit të shkaktuar nga mjete teknike: shkatërrimi i burimeve dhe shterimi i burimeve.
Disa shembuj tipikë të incidenteve të tilla të qëllimshme të "mohimit të shërbimit" të sigurisë së informacionit teknik janë:
Provimi i adresave të transmetimit të rrjetit në mënyrë që të mbushet plotësisht gjerësia e brezit të rrjetit me trafikun e mesazheve të përgjigjes;
Transmetimi i të dhënave në një format të padëshiruar në një sistem, shërbim ose rrjet në përpjekje për të prishur ose prishur funksionimin normal të tij;
Hapja e disa seancave në të njëjtën kohë në një sistem, shërbim ose rrjet të caktuar në përpjekje për të shterur burimet e tij (d.m.th., ngadalësimi, bllokimi ose shkatërrimi i tij).
Disa incidente të "mohimit të shërbimit" të sigurisë së informacionit teknik mund të ndodhin aksidentalisht, për shembull si rezultat i një gabimi konfigurimi të bërë nga një operator ose për shkak të papajtueshmërisë së softuerit të aplikacionit, ndërsa të tjerat mund të jenë të qëllimshme. Disa incidente të sigurisë së informacionit teknik "mohimi i shërbimit" iniciohen qëllimisht me qëllim të shkatërrimit të një sistemi, shërbimi dhe reduktimit të performancës së rrjetit, ndërsa të tjerat janë vetëm nënprodukte të një aktiviteti tjetër keqdashës.
Për shembull, disa nga metodat më të zakonshme të skanimit dhe identifikimit të fshehtë mund të çojnë në shkatërrimin e plotë të sistemeve ose shërbimeve të vjetra ose të konfiguruara gabimisht kur ato skanohen. Duhet të theksohet se shumë incidente teknike të qëllimshme të mohimit të shërbimit shpesh inicohen në mënyrë anonime (d.m.th., burimi i sulmit është i panjohur) sepse sulmuesi zakonisht nuk ka njohuri për rrjetin ose sistemin që sulmohet.
Incidentet e IS "mohimi i shërbimit" të krijuara nga mjete jo-teknike dhe që çojnë në humbjen e informacionit, shërbimit dhe (ose) pajisjeve të përpunimit të informacionit mund të shkaktohen, për shembull, nga faktorët e mëposhtëm:
Shkeljet e sistemeve të sigurisë fizike që çojnë në vjedhje, dëmtim të qëllimshëm ose shkatërrim të pajisjeve;
Dëmtim aksidental i pajisjes dhe (ose) vendndodhjes së saj nga zjarri ose uji/përmbytja;
Kushtet ekstreme mjedisi, për shembull, temperatura e lartë (për shkak të dështimit të sistemit të kondicionimit);
Funksionimi i gabuar ose mbingarkesa e sistemit;
Ndryshime të pakontrolluara në sistem;
Funksionimi i gabuar i softuerit ose harduerit.
6.2 Mbledhja e informacionit
NË skicë e përgjithshme Incidentet e IS "mbledhja e informacionit" nënkuptojnë veprime që lidhen me identifikimin e objektivave të mundshëm të sulmit dhe marrjen e një kuptimi të shërbimeve që funksionojnë në objektivat e identifikuara të sulmit. Incidente të tilla të sigurisë së informacionit kërkojnë zbulim për të përcaktuar:
Prania e një objektivi, marrja e një kuptimi të topologjisë së rrjetit që e rrethon dhe me të cilin zakonisht lidhet ky objektiv duke shkëmbyer informacione;
Dobësitë e mundshme të objektivit ose të mjedisit të rrjetit rrethues të afërt që mund të shfrytëzohen për sulm.
Shembuj tipikë të sulmeve që synojnë mbledhjen e informacionit me mjete teknike janë:
Rivendosja e të dhënave DNS (Domain Name System) për domenin e synuar të Internetit (transferimi i zonës DNS);
Dërgimi i kërkesave testuese në adresa të rastësishme të rrjetit për të gjetur sisteme funksionale;
Hetimi i sistemit për të identifikuar (për shembull, me kontroll të skedarit) sistemin operativ pritës;
Skanimi i porteve të disponueshme të rrjetit për sistemin e protokollit të transferimit të skedarëve për të identifikuar shërbimet përkatëse (për shembull, email, FTP, rrjet, etj.) dhe versionet e softuerit të këtyre shërbimeve;
Skanimi i një ose më shumë shërbimeve me dobësi të njohura në një sërë adresash rrjeti (skanim horizontal).
Në disa raste, mbledhja e informacionit teknik zgjerohet dhe kalon në akses i paautorizuar, nëse, për shembull, një sulmues, ndërsa kërkon për një dobësi, përpiqet të fitojë akses të paautorizuar. Kjo zakonisht kryhet nga mjete të automatizuara hakerimi që jo vetëm kërkojnë për dobësi, por gjithashtu përpiqen automatikisht të shfrytëzojnë sistemet, shërbimet dhe (ose) rrjetet e cenueshme.
Incidentet e mbledhjes së inteligjencës të krijuara me mjete jo-teknike rezultojnë në:
Zbulimi ose modifikimi direkt ose indirekt i informacionit;
Vjedhja e pronës intelektuale e ruajtur në formë elektronike;
Shkelja e të dhënave, për shembull, gjatë regjistrimit të llogarive;
Keqpërdorimi i sistemeve të informacionit (për shembull, në kundërshtim me ligjin ose politikën organizative).
Incidentet mund të shkaktohen, për shembull, nga faktorët e mëposhtëm:
Shkeljet e mbrojtjes fizike të sigurisë që çojnë në akses të paautorizuar në informacion dhe vjedhje të pajisjeve të ruajtjes që përmbajnë të dhëna të ndjeshme, siç janë çelësat e enkriptimit;
Sisteme operative të dobëta dhe/ose të konfiguruara keq për shkak të ndryshimeve të pakontrolluara në sistem ose keqfunksionimit të softuerit ose harduerit që rezulton në aksesin e personelit organizativ ose personelit të paautorizuar në informacion pa autorizim.
6.3 Qasje e paautorizuar
Qasja e paautorizuar si lloj incidenti përfshin incidente që nuk përfshihen në dy llojet e para. Kryesisht ky lloj incidenti konsiston në përpjekje të paautorizuara për të hyrë në një sistem ose keqpërdorim të një sistemi, shërbimi ose rrjeti. Disa shembuj të përdorimit të aksesit të paautorizuar mjete teknike përfshijnë:
Përpjekjet për të nxjerrë skedarë me fjalëkalime;
Sulmet e tejmbushjes së buferit për të fituar akses të privilegjuar (për shembull, në nivelin e administratorit të sistemit) në rrjet;
Shfrytëzimi i dobësive të protokollit për të përgjuar lidhjet ose për të keqdrejtuar lidhjet legjitime të rrjetit;
Përpjekjet për të rritur privilegjet e aksesit në burime ose informacion përtej atyre që mbahen në mënyrë legjitime nga një përdorues ose administrator.
Incidentet e aksesit të paautorizuar të krijuara nga mjete jo-teknike që rezultojnë në zbulim ose modifikim të drejtpërdrejtë ose të tërthortë të informacionit, shkelje kontabël ose keqpërdorim të sistemeve të informacionit mund të shkaktohen nga faktorët e mëposhtëm:
Shkatërrimi i pajisjeve të mbrojtjes fizike me akses të mëvonshëm të paautorizuar në informacion;
Konfigurimi i pasuksesshëm dhe/ose i pasaktë i sistemit operativ për shkak të ndryshimeve të pakontrolluara në sistem ose mosfunksionimit të softuerit ose harduerit që çon në rezultate të ngjashme me ato të përshkruara në paragrafin e fundit të 6.2.
Incidenti (incidenti ose INC) – çdo ngjarje (dështime, kërkesa për konsultime, etj.) që nuk është pjesë e funksionimit normal të shërbimit, që çon/mund të sjellë ndërprerjen e shërbimit ose uljen e nivelit të cilësisë së tij.
Qëllimi i Procesit të Menaxhimit të Incidentit- shërim të shpejtë funksionimin normal shërbimi në përputhje me Marrëveshjen e Nivelit të Shërbimit dhe minimizimin e ndikimit të dështimit në operacionet e biznesit.
Për të menaxhuar me sukses incidentet, është e nevojshme të krijohet një shërbim dërgimi ( Tavolinë shërbimi), i cili duhet të jetë një pikë e vetme kontakti me përdoruesit dhe të koordinojë zgjidhjen e incidenteve. Tavolinë shërbimi - ndarje (në terminologji ITIL"funksion"), duke siguruar një pikë hyrëse të vetme dhe të vetme për të gjitha kërkesat e përdoruesit fundor dhe një procedurë të unifikuar të përpunimit të kërkesave.
Përshkallëzimi– një mekanizëm që shërben për zgjidhjen e INC-ve në kohën e duhur duke tërhequr njohuri shtesë (përshkallëzim funksional) ose autoritet (përshkallëzim hierarkik). Qëllimi është të zgjidhet INC brenda kohës së specifikuar në SLA.
Nëse incidenti nuk mund të zgjidhet nga linja e parë e mbështetjes brenda kohës së rënë dakord, duhet të merret ekspertizë ose autoritet shtesë. Ky quhet përshkallëzim, i cili ndodh në përputhje me prioritetet e diskutuara më sipër dhe, në përputhje me rrethanat, me kohën për të zgjidhur incidentin.
Ekzistojnë përshkallëzimi funksional dhe hierarkik:
- Përshkallëzimi funksional(horizontale) – nënkupton përfshirjen e më shumë specialistëve ose sigurimin e të drejtave shtesë të aksesit për të zgjidhur incidentin; në të njëjtën kohë, është e mundur që të ketë një shtrirje përtej kufijve të një departamenti strukturor IT.
- Përshkallëzimi hierarkik(vertikale) - nënkupton një kalim vertikal (në një nivel më të lartë) brenda organizatës, pasi nuk ka autoritet të mjaftueshëm organizativ (niveli i autoritetit) ose burime për të zgjidhur incidentin.
Detyra Menaxher i procesit të menaxhimit të incidentitështë të rezervohen në mënyrë proaktive mundësitë për përshkallëzimin funksional brenda njësive të linjës së organizatës në mënyrë që zgjidhja e incidentit të mos kërkojë përshkallëzim të rregullt hierarkik. Në çdo rast, njësitë e linjës duhet të sigurojnë burime të mjaftueshme për këtë proces.
Drejtimi i incidentit, ose përshkallëzimi funksional, përcaktohet nga niveli i kërkuar i njohurive, autoritetit dhe urgjencës. Linja e parë e mbështetjes(i quajtur edhe mbështetje e Nivelit 1) zakonisht është Tavolinë shërbimi, rreshti i dytë– departamentet përgjegjëse për menaxhimin e infrastrukturës së TI-së, e treta- Departamentet e zhvillimit të softuerit dhe arkitekturës, dhe i katërti - furnitorët. Sa më i vogël të jetë organizata, aq më pak nivelet e përshkallëzimit. Në organizatat e mëdha Menaxher i procesit të menaxhimit të incidentit mund të emërojë Koordinatorët e incidentit në departamentet përkatëse për të mbështetur aktivitetet e tyre. Për shembull, koordinatorët mund të veprojnë si një ndërfaqe ndërmjet aktiviteteve të procesit dhe menaxherëve të linjës. njësitë organizative. Secili prej tyre koordinon aktivitetet e grupeve të veta mbështetëse.
Dallimi ndërmjet incidentet Dhe problemetështë ndoshta një nga kontributet më të famshme, por jo më të njohura, të bibliotekës ITIL në zhvillimin e Menaxhimit të Shërbimit IT. Ndërsa ky dallim ndonjëherë mund të jetë konfuz, përfitimi i tij kryesor është se ai bën dallimin midis restaurimit të shpejtë të shërbimit dhe identifikimit të shkakut të një incidenti dhe korrigjimit të tij.
Procesi i Menaxhimit të Incidentit të destinuara për eliminimi i incidentit dhe rifillimi i shpejtë i shërbimeve. Incidentet regjistrohen dhe cilësia e informacionit të regjistrimit përcakton efektivitetin e një sërë procesesh të tjera.
Hank Markez ofron 6 Aspektet kryesore të procesit të menaxhimit të incidentit:
- Krijimi i bazës së të dhënave të të dhënave të të gjitha incidenteve. Është e nevojshme të regjistrohen të gjitha incidentet që ndodhin, pavarësisht nga mënyra e marrjes së tyre (email, telefonatë, faks, etj.). Të gjitha informacionet në lidhje me ecurinë e zgjidhjes së incidentit duhet gjithashtu të regjistrohen në bazën e të dhënave.
- Krijimi i një baze njohurish ku do të mbahet informacione shtesë për të zgjidhur incidentin. Sa më shumë informacion, aq më mirë. Në ITIL, këto janë bazat e të dhënave të menaxhimit të konfigurimit (CMDB) dhe/ose sistemet e menaxhimit të konfigurimit (CMS).
- Zhvilloni dhe miratoni qartë udhëzimet dhe rregullat për trajtimin e incidentit(regjistrimi, klasifikimi, prioritizimi, analiza etj.).
- Përcaktoni, në lidhje me SLA, procedurat që do t'ju lejojë të menaxhoni ndikimin e një incidenti në biznesin tuaj.
- Krijo modeli i "incidentit të madh".– një grup rregullash që përshkruajnë qartë një incident shumë të rëndë. Një incident i madh është ai që prek një shërbim kritik biznesi dhe/ose numër i madh klientët dhe përdoruesit. Në çdo rast, incidenti themelor kërkon përshkallëzim të menjëhershëm, njoftim të klientit dhe trajtime të tjera të veçanta. E gjithë çështja është se një incident i tillë kërkon përgjigje maksimale nga organizata e IT.
- Informoni ata që ju raportuan ngjarjen, për statusin e punës. Ju duhet të dini se kujt duhet t'i dërgoni informacione dhe sa shpesh. Për shembull, ju mund të njoftoni klientët dhe përdoruesit për incidentin. Ju gjithashtu duhet t'i informoni ata se nuk do të jetë e mundur të kthehet niveli i shërbimit të ofruar në parametrat e rënë dakord në kohën e rënë dakord.
Nëse nuk keni zbatuar të paktën një nga këto 6 pika, atëherë, në përputhje me standardin ISO/IEC 20000-1 (Menaxhimi i Shërbimit), duke u fokusuar në të, mund të përmirësoni cilësinë e shërbimit. Nëse i keni të gjitha pikat të zbatuara, atëherë me shumë mundësi nuk do t'ju duhet më të shpenzoni shumë kohë për zbatimin e procesit të menaxhimit të incidentit - fokusohuni në fusha të tjera të ITIL, si p.sh. Menaxhimi i problemeve (Menaxhimi i problemit) ose Menaxhimi i ndryshimit (Menaxhimi i Ndryshimeve).
Në kontekst Bibliotekat ITIL Incidentet përfshijnë jo vetëm gabime harduerike ose softuerike, por edhe Kërkesat e Shërbimit.
Kërkesa për shërbimështë një Kërkesë e Përdoruesit për mbështetje, informacion, konsultim ose dokumentacion, e cila nuk është një dështim i infrastrukturës së IT.
Shembuj të kërkesave për shërbim:
- një pyetje në lidhje me funksionimin e sistemeve të TI-së ose një kërkesë për ndonjë informacion;
- një kërkesë për gjendjen (statusin) e diçkaje në infrastrukturën e TI-së;
- kërkesë për ndryshim të fjalëkalimit;
- kërkesat për punë në grup, rikuperim ose autorizim të fjalëkalimit;
- marrjen e informacionit nga baza e të dhënave.
Për të qenë në gjendje të dalloni " incidente të vërteta"nga" Incidentet-Kërkesat e Shërbimit“, rekomandohet të caktoni një kategori të veçantë për Kërkesat e Shërbimit.
Kur përpunohen disa incidente në të njëjtën kohë, është e nevojshme të organizohet prioritetet. Arsyeja për caktimin e përparësisë është niveli i rëndësisë së gabimit për biznesin dhe për përdoruesit. Bazuar në dialog me përdoruesin dhe në përputhje me dispozitat Marrëveshjet e nivelit të shërbimit (Marrëveshjet e nivelit të shërbimit – SLA) Tavolinë shërbimi cakton prioritete që përcaktojnë radhën në të cilën përpunohen incidentet. Kur incidentet përshkallëzohen në një linjë të dytë, të tretë ose më shumë mbështetje, duhet mbajtur i njëjti prioritet, por ndonjëherë mund të rregullohet në konsultim me Shërbimin Desk.
- ndikimi i incidentit: shkalla e devijimit nga niveli normal i ofrimit të shërbimit, i shprehur në numrin e përdoruesve ose proceseve të biznesit të prekur nga incidenti;
- Urgjenca e incidentit: Vonesa e pranueshme në zgjidhjen e një incidenti për një përdorues ose proces biznesi.
Prioriteti përcaktohet në bazë të urgjencës dhe ndikimit. Për çdo prioritet, përcaktohet numri i specialistëve dhe sasia e burimeve që mund të drejtohen për zgjidhjen e incidentit. Rendi në të cilin trajtohen incidentet me të njëjtin prioritet mund të përcaktohet sipas përpjekjeve të nevojshme për të zgjidhur incidentin. Për shembull, një incident që zgjidhet lehtësisht mund të trajtohet përpara një incidenti që kërkon më shumë përpjekje.
5.3.1 Përpunimi i incidentit.
Shumica e departamenteve të TI-së dhe ekipeve të specializuara janë të përfshirë në trajtimin e incidentit në një shkallë ose në një tjetër. Tavolina e Shërbimit është përgjegjëse për monitorimin e procesit të zgjidhjes për të gjitha Incidentet e regjistruara dhe është në fakt pronari i të gjitha Incidenteve. Ky proces funksionon kryesisht në një bazë reaktive. Për t'u përgjigjur në mënyrë produktive dhe efektive kërkon metoda zyrtare të punës që mund të mbështeten nga softueri.
Incidentet që Shërbimi i Shërbimit nuk mund t'i zgjidhë menjëherë mund t'i referohen një prej ekipeve tona të dedikuara për t'i trajtuar. Zgjidhja ose zgjidhja duhet të sigurohet në masën maksimale të mundshme. afate të shkurtra në mënyrë që të rikthehet shërbimi për Përdoruesit me ndikim minimal në punën e tyre. Pasi është eliminuar shkaku i incidentit dhe është rikthyer shërbimi i rënë dakord, Incidenti mbyllet.
Figura 5.2 tregon proceset që ndodhin gjatë cikli jetësor Incidenti. Shtojca 5D paraqet këto procese nga një këndvështrim tjetër.
Figura 5.2 - Cikli jetësor i incidentit.
Statusi i një incidenti pasqyron pozicionin e tij aktual në ciklin e jetës, ndonjëherë i referuar si "pozicioni i tij në diagramin e rrjedhës së punës". Çdo punonjës duhet të dijë të gjitha statuset e mundshme dhe kuptimet e tyre. Disa shembuj të kategorive të statusit:.
■ e re;.
■ pranuar;.
■ janë përcaktuar afatet;
■ caktohet/transferohet te një specialist;.
■ në punë (Work In Progress, WIP);
■ duke pritur;.
■ lejohet;.
■ mbyllur.
Gjatë ciklit jetësor të një Incidenti, është e rëndësishme që një regjistrim i Incidentit të mbahet i përditësuar. Kjo do të lejojë çdo anëtar të ekipit të shërbimit t'i sigurojë klientit informacionin më të fundit në lidhje me ecurinë e kërkesës. Disa shembuj veprimesh për përditësimin e të dhënave:.
■ përditësoni informacionin historik;.
■ ndryshoni statusin (për shembull, nga statusi "i ri" në statusin "në progres" ose "në pritje");
■ ndryshimi i ndikimit dhe prioritetit të biznesit;.
■ shkruani kohën e shpenzuar dhe kostot;.
■ gjurmoni statusin e përshkallëzimit.
Përshkrimi fillimisht i deklaruar nga Klienti mund të ndryshojë gjatë ciklit jetësor të Incidentit. Megjithatë, është e rëndësishme të ruhet një përshkrim i simptomave origjinale, si për shqyrtim, ashtu edhe në mënyrë që ankesa të mund të referohet duke përdorur gjuhën që përmban kërkesa origjinale. Për shembull, Klienti mund të ketë deklaruar se printeri nuk po funksiononte, por u përcaktua se problemi ishte shkaktuar nga një dështim i rrjetit. Kur i përgjigjeni Klientit, është më mirë që fillimisht të shpjegoni se Incidenti i Printerit është zgjidhur, në vend që të flisni për zgjidhjen e çështjeve të rrjetit.
Një histori e verifikuar e një incidenti është e nevojshme kur analizohet ecuria e përpunimit të tij, kjo është veçanërisht e rëndësishme kur zgjidhen çështjet që lidhen me shkeljen e SLA. Gjatë ciklit jetësor të një Incidenti, duhet të regjistrohen përditësimet e mëposhtme të regjistrimit të Incidentit:.
■ emrin e personit që ka bërë ndryshimin në hyrje;.
■ data dhe ora e ndryshimit;.
■ çfarë ka ndryshuar saktësisht ky person (për shembull, përparësia, statusi, historia);
■ pse është bërë ndryshimi;.
■ kohë e humbur.
Nëse shitësit e jashtëm nuk lejohen të përditësojnë të dhënat e Shërbimit Desk (gjë që rekomandohet), atëherë ju duhet të përcaktoni një procedurë për përditësimin e të dhënave për shitësin. Kjo siguron llogaritjen e duhur të burimeve të përdorura. Megjithatë, nëse software lejon mundësinë e identifikimit të një klase incidentesh që mund të zgjidhen nga ofruesit e jashtëm dhe të kryhen kontroll paraprak informacioni i futur, disa organizata mund ta kenë shumë të përshtatshme të lejojnë ofruesit e jashtëm të përditësojnë informacionin drejtpërdrejt. Nëse e merrni këtë vendim, do t'ju duhet të përcaktoni se çfarë informacioni nuk jeni të gatshëm t'i jepni furnizuesit dhe sa informacion duhet të keni për veprimet e furnizuesit.
E njëjta situatë mund të ndodhë kur Shërbimi i Shërbimit përditëson një kërkesë në vend të një tekniku shërbimi mbështetje teknike ndodhet jashtë zyrës. Ndonjëherë mund të jetë e nevojshme të përditësohet llogaria e Incidentit pas faktit, për shembull, nëse specialistë janë duke punuar në të koha e mbrëmjes, dhe Tavolina e Shërbimit duhet të përditësojë të dhënat në vend të kësaj mëngjesin tjetër.
5.3.2 Linjat e para, të dyta dhe të treta të mbështetjes.
Shpesh departamentet dhe grupet (të specializuara) mbështetëse që nuk janë pjesë e Shërbimit Desk quhen grupe mbështetëse të linjës së dytë ose të tretë. Ata kanë aftësi më të specializuara, kohë shtesë ose burime të tjera për të zgjidhur Incidentet. Bazuar në këtë, Service Desk quhet linja e parë e mbështetjes. Figura 5.3 tregon se si kjo terminologji lidhet me aktivitetet e Menaxhimit të Incidentit të diskutuara në paragrafët e mëparshëm.
Vini re se e treta dhe/ose Rreshti i N-të mbështetja mund të përfshijë përfundimisht ofrues të jashtëm të cilët mund të kenë akses të drejtpërdrejtë në objektet e regjistrimit të incidenteve (në varësi të rregulloreve të sigurisë dhe çështje teknike).
Figura 5.3 ~ Linjat e para, të dyta dhe të treta të mbështetjes.
5.3.3 Krahasimi i përshkallëzimit funksional dhe hierarkik.
“Përshkallëzimi” është një mekanizëm që lehtëson zgjidhjen në kohë të një incidenti. Mund të aktivizohet në çdo fazë të procesit të lejes.
Transferimi i një Incidenti nga ekipet mbështetëse të linjës së parë në ekipet mbështetëse të linjës së dytë ose më gjerë quhet "përshkallëzim funksional" dhe ndodh për shkak të mungesës së njohurive ose aftësive. Preferohet që përshkallëzimi funksional të ndodhë në rastet kur koha e rënë dakord për zgjidhjen e një Incidenti ka skaduar. Përshkallëzimi funksional automatik që shkaktohet pas një periudhe të caktuar kohe duhet të planifikohen me kujdes dhe nuk duhet të kalojnë kohën e rezolucionit të rënë dakord (në SLA).
Përshkallëzimi hierarkik mund të ndodhë në çdo moment gjatë procesit të zgjidhjes nëse ekziston mundësia që zgjidhja e incidentit të mos përfundojë në kohën e duhur ose të jetë e pakënaqshme. Në rastet kur mungon njohuria ose aftësia, përshkallëzimi hierarkik zakonisht bëhet me dorë (nga Shërbimi i Shërbimit ose stafi tjetër mbështetës). Përshkallëzimi automatik hierarkik mund të konsiderohet pas një periudhe kritike kohore kur bëhet e qartë se Incidenti nuk do të zgjidhet në kohën e duhur. Preferohet që përshkallëzimi të ndodhë shumë përpara skadimit të kohës së lejuar (në SLA) për zgjidhje. Kjo do t'i lejojë menaxhmentit të linjës, me autoritetin e duhur, të ndërmarrë veprime korrigjuese, të tilla si punësimi i specialistëve nga një furnizues i jashtëm.
5.3.4 Prioriteti.
Prioriteti i një incidenti përcaktohet fillimisht nga ndikimi i tij në biznes dhe urgjenca me të cilën duhet të sigurohet një zgjidhje ose një zgjidhje. Objektivat për zgjidhjen e incidenteve ose trajtimin e kërkesave zakonisht përfshihen në SLA. Në praktikë, objektivat e zgjidhjes së incidentit shpesh shoqërohen me kategori. Shembuj të kategorive dhe prioriteteve, si dhe sistemet e tyre të kodimit, mund të gjenden në Shtojcat 5A dhe 5B, respektivisht.
Tavolina e Shërbimit luan një rol të rëndësishëm në procesin e Menaxhimit të Incidentit:.
■ të gjitha Incidentet raportohen në Zyrën e Shërbimit dhe punonjësit e saj regjistrojnë Incidentet; Në rastet kur Incidentet krijohen automatikisht, procesi duhet të përfshijë ende regjistrimin përmes Shërbimit Desk.
■ pjesa më e madhe e Incidenteve (ndoshta deri në 85% me një nivel të lartë të aftësive të stafit) do të zgjidhet nga Shërbimi i Shërbimit;.
■ Servis Desk është një njësi “e pavarur” që monitoron ecurinë e zgjidhjes së të gjitha Incidenteve të regjistruara.
Më poshtë është një listë e veprimeve kryesore që kryhen nga Shërbimi i Shërbimit pas marrjes së njoftimit për një Incident:.
■ regjistrimi i informacionit bazë - duke përfshirë kohën dhe detajet e simptomave të marra;
■ Nëse bëhet një kërkesë për shërbim, kërkesa trajtohet në përputhje me procedurat standarde në këtë organizatë;.
■ për të plotësuar regjistrimin e Incidentit bazuar në CMDB, zgjidhen Elementet e Kontabilitetit (EC) që raportohen si shkaktarë të Incidentit.
■ vendosja e prioritetit të duhur dhe transferimi te Përdoruesi i një numri unik Incident, të gjeneruar automatikisht nga sistemi (për ta raportuar atë pas thirrjeve të mëtejshme në shërbim);
■ vlerësimi i incidentit dhe, nëse është e mundur, dhënia e rekomandimeve për zgjidhjen e tij: kjo është shpesh e mundur për Incidentet standarde ose kur shkaktohet nga një problem/gabim i njohur;
■ mbyllja e një regjistrimi Incident pas zgjidhjes së tij të suksesshme: shtimi i informacionit në lidhje me veprimet që lidhen me zgjidhjen dhe vendosja e kodit të kategorisë së duhur;.
■ përshkallëzimi i një Incidenti në një ekip mbështetës të linjës së dytë (d.m.th., një ekip i dedikuar) pas një përpjekjeje të pasuksesshme për zgjidhjen ose kur përcaktohet se nevojitet një nivel më i lartë mbështetjeje.
5.3.5 Marrëdhëniet ndërmjet incidenteve, problemeve, gabimeve të njohura dhe kërkesave për ndryshim (RFC).
Incidentet që rezultojnë nga dështimet ose gabimet në infrastrukturën e TI-së çojnë në devijime aktuale ose të mundshme nga funksionimi i planifikuar i shërbimeve të TI-së.
Shkaku i incidentit mund të jetë i qartë dhe nuk do të kërkohet hetim i mëtejshëm për të zgjidhur shkakun. Kjo do të rezultojë në kryerjen e një riparimi, përcaktimin e një zgjidhjeje ose lëshimin e një RFC që do të korrigjojë defektin. Në disa raste, eliminoni vetë Incidentin - d.m.th. ndikimi i tij tek Klienti mund të arrihet mjaft shpejt. Mund të kërkojë thjesht një rindezje të kompjuterit ose rifillim të kanalit të komunikimit pa identifikuar shkakun themelor të Incidentit.
Në rastet kur shkaku themelor i incidentit është i panjohur, mund të duhet të regjistrohet një Regjistrim Problemi. Pra, Problemi është në fakt një tregues i një gabimi të panjohur në infrastrukturë. Në mënyrë tipike, një problem do të regjistrohet vetëm kur ashpërsia e problemit justifikon nevojën për ta hetuar atë.
Ndikimi i një problemi të tillë shpesh do të vlerësohet bazuar në ndikimin (si aktual ashtu edhe potencial) në shërbimet e biznesit, si dhe në numrin e Incidenteve të ngjashme të raportuara që mund të kenë të njëjtin shkak themelor. Krijimi llogari Problemet mund të jenë të rëndësishme edhe kur pasojat e Incidentit janë eliminuar. Rrjedhimisht, një rekord Problemi mund të trajtohet në mënyrë të pavarur nga të dhënat e lidhura me incidentin, dhe si regjistrimi i problemit ashtu edhe hetimi për shkakun e tij mund të vazhdojnë edhe pasi Incidenti origjinal të jetë mbyllur me sukses.
Përpunimi i suksesshëm i një hyrje Problemi do të rezultojë në identifikimin e gabimit rrënjësor; kjo hyrje mund të bëhet një hyrje e gabimit të njohur pasi të zhvillohet një zgjidhje dhe/ose RFC. Ky zinxhir logjik, nga njoftimi fillestar deri te zgjidhja e problemit fillestar, është paraqitur në Figurën 5.4.
Figura 5.4 - Marrëdhëniet ndërmjet incidenteve, problemeve, gabimeve të njohura dhe kërkesave për ndryshim (RFC).
Pra, kemi përkufizimet e mëposhtme:.
■ Problemi: shkaku themelor i panjohur i një ose më shumë incidenteve.
■ Gabim i njohur: Një problem që është diagnostikuar me sukses dhe për të cilin dihet një zgjidhje.
■ RFC: Kërkesë për ndryshim në çdo komponent të infrastrukturës së TI-së ose në ndonjë aspekt të shërbimit IT.
Problemi mund të çojë në shumë incidente; Është gjithashtu e mundur që Problemi të mos diagnostikohet derisa të kenë ndodhur disa Incidente gjatë një periudhe kohore. Trajtimi i problemit është dukshëm i ndryshëm nga trajtimi i incidentit dhe për këtë arsye përshkruhet nga procesi i Menaxhimit të Problemit.
Gjatë procesit të zgjidhjes, Incidenti kontrollohet për marrëdhënie në bazën e të dhënave të çështjeve dhe gabimeve të njohura. Duhet gjithashtu të kontrollohet në lidhje me marrëdhëniet në bazën e të dhënave të Incidentit për të përcaktuar nëse ka Incidente të ngjashme të hapura dhe nëse Incidentet e mëparshme të ngjashme janë zgjidhur. Nëse një zgjidhje ose zgjidhje është tashmë e disponueshme, incidenti mund të zgjidhet menjëherë. Përndryshe, procesi i Menaxhimit të Incidentit është përgjegjës për zgjidhjen ose gjetjen e një zgjidhjeje me ndërprerje minimale në procesin e biznesit.
Kur procesi i Menaxhimit të Incidentit gjen një Zgjidhje, ai do të rishikohet nga ekipi i Menaxhimit të Problemit, i cili më pas do të përditësojë rekordin përkatës të Problemit (shih Figurën 5.5). Duhet të kihet parasysh se regjistrimi përkatës i problemit mund të mos ekzistojë ende në këtë moment, për shembull, mënyra e zgjidhjes mund të jetë dërgimi i një raporti me faks për shkak të një dështimi të komunikimit, por regjistrimi i problemit për atë dështim komunikimi mund të mos ekzistojë ende ; në këtë rast, ekipi i menaxhimit të problemeve duhet të krijojë një të tillë. Pra, procesi përfshin aktivitete ku Zyra e Shërbimit shoqëron Incidente që janë rezultat i një Problemi të regjistruar.
Figura 5.5 - Përpunimi i zgjidhjeve dhe zgjidhjeve të incidenteve.
Është gjithashtu e mundur që ekipi i menaxhimit të problemit, gjatë hetimit të një problemi të lidhur me një incident, të gjejë një zgjidhje ose zgjidhje për vetë problemin dhe/ose disa incidente të lidhura. Në këtë rast, ekipi i Menaxhimit të Problemit duhet ta raportojë këtë në procesin e Menaxhimit të Incidentit në mënyrë që të ndryshojë statusin e Incidenteve të hapura në Gabim të njohur ose të Mbyllur.
Kur, në momentin e paraqitjes së një incidenti, sugjerohet që incidenti të trajtohet si një problem, atëherë ai duhet t'i referohet menjëherë procesit të menaxhimit të problemit, ku, nëse është e nevojshme, një hyrje e re rreth Problemit. Procesi i Menaxhimit të Incidentit, si gjithmonë, do të jetë përgjegjës për vazhdimin e zgjidhjes së Incidentit për të minimizuar ndikimin e tij në proceset e biznesit.
11 tetor 2012 në ora 10:58Ballafaqimi me incidentet e sigurisë së informacionit
- Siguria e informacionit
Mirëdita, i dashur habrahabr!
Unë vazhdoj të botoj artikuj nga praktika e sigurisë së informacionit.
Këtë herë do të flasim për një komponent kaq të rëndësishëm si incidentet e sigurisë. Puna me incidentet do të marrë pjesën e luanit të kohës pasi të jetë vendosur regjimi i sigurisë së informacionit (dokumentet janë pranuar, instaluar dhe konfiguruar pjesa teknike, u zhvilluan trajnimet e para).
Raportimi i incidentit
Gjëja e parë që duhet të bëni është të merrni informacion në lidhje me incidentin. Kjo pikë duhet menduar në fazën e formimit të një politike sigurie dhe krijimit të prezantimeve mbi programet arsimore në sigurinë e informacionit për punonjësit.
Burimet kryesore të informacionit:
1. Helpdesk.
Si rregull (dhe kjo është një traditë e mirë), ata telefonojnë ose shkruajnë në tryezën e ndihmës së shërbimit tuaj të IT për çdo keqfunksionim, keqfunksionim ose keqfunksionim në pajisje. Prandaj, është e nevojshme që paraprakisht të "integroheni" në procesin e biznesit të ndihmës dhe të tregoni llojet e incidenteve për të cilat kërkesa do të transferohet në departamentin e sigurisë së informacionit.
2. Mesazhe direkt nga përdoruesit.
Organizoni një pikë të vetme kontakti dhe komunikoni këtë në trajnimin për sigurinë e informacionit për punonjësit. Për momentin, departamentet e sigurisë së informacionit në organizata, si rregull, nuk janë shumë të mëdha, shpesh përbëhen nga 1-2 persona. Prandaj, nuk do të jetë e vështirë të caktoni dikë përgjegjës për marrjen e incidenteve, madje nuk duhet të shqetësoheni me caktimin e një adrese emaili për nevojat e IS Helpdesk.
3. Incidentet e zbuluara nga stafi i sigurisë së informacionit.
Gjithçka është e thjeshtë këtu dhe nuk kërkohen lëvizje fizike për të organizuar një kanal të tillë pritjeje.
4. Regjistrimet dhe sinjalizimet e sistemit.
Konfiguro sinjalizimet në tastierën e antiviruseve, IDS, DLP dhe sistemeve të tjera të sigurisë. Është më i përshtatshëm të përdorni grumbullues që mbledhin gjithashtu të dhëna nga regjistrat e programeve dhe sistemeve të instaluara në organizatën tuaj. Vëmendje e veçantëështë e nevojshme t'i kushtohet vëmendje pikave të kontaktit me rrjetin e jashtëm dhe vendeve ku ruhen informacionet sensitive.
Megjithëse incidentet e sigurisë janë të ndryshme dhe të ndryshme, ato janë mjaft të lehta për t'u ndarë në disa kategori, të cilat janë më të lehta për t'u mbajtur statistika.
1. Zbulimi i informacionit konfidencial ose të brendshëm, ose kërcënimi për një zbulim të tillë.
Për ta bërë këtë, duhet të keni, të paktën, një listë të përditësuar të informacionit konfidencial, sistemi i punës vulosje e mediave elektronike dhe të letrës. Shembull i mirë- Modelet e dokumenteve për pothuajse të gjitha rastet, të vendosura në portalin e brendshëm të organizatës ose në depozitën e brendshme të skedarëve, janë shënuar si parazgjedhje "Vetëm për përdorim të brendshëm".
Më lejoni të sqaroj pak në lidhje me kërcënimin e zbulimit në një postim të mëparshëm kam përshkruar një situatë ku një dokument i etiketuar "Vetëm përdorim i brendshëm" ishte postuar në një sallë të përbashkët ngjitur me një organizatë tjetër. Ndoshta nuk kishte vetë zbulim (ai u postua pas përfundimit të ditës së punës dhe u vu re shumë shpejt), por fakti i kërcënimit të zbulimit është i dukshëm!
2. Qasje e paautorizuar.
Për ta bërë këtë, ju duhet të keni një listë të burimeve të mbrojtura. Domethënë, ato ku ndodhet çdo informacion i ndjeshëm i organizatës, klientëve apo kontraktorëve të saj. Për më tepër, është e dëshirueshme që në këtë kategori të përfshihet jo vetëm depërtimi në një rrjet kompjuterik, por edhe aksesi i paautorizuar në ambiente.
3. Teprica e autoritetit.
Në parim, ju mund ta kombinoni këtë pikë me atë të mëparshme, por është më mirë ta theksoni atë dhe të shpjegoni pse. Qasja e paautorizuar i referohet aksesit nga persona të cilët nuk kanë asnjë akses ligjor në burimet ose mjediset e organizatës. Ky është një ndërhyrës i jashtëm pa hyrje legjitime në sistemin tuaj. Teprica e autoritetit kuptohet si akses i paautorizuar në çdo burim dhe ambient të punonjësve ligjorë të organizatës.
4. Sulmi me virus.
Në këtë rast, duhet të kuptoni sa vijon: një infeksion i vetëm i kompjuterit të një punonjësi nuk duhet të çojë në proces gjyqësor, pasi kjo mund t'i atribuohet një gabimi ose faktorit famëkeq njerëzor. Nëse një përqindje e konsiderueshme e kompjuterëve të organizatës janë të infektuar (këtu vijojmë nga numri i përgjithshëm i makinave, shpërndarja, segmentimi i tyre, etj.), Atëherë është e nevojshme të fillohet një hetim i plotë i incidentit të sigurisë me kërkimin e nevojshëm për burimet e infeksionit, shkaqet etj.
5. Kompromisi i llogarisë.
Kjo pikë i bën jehonë 3
. Në fakt, ngjarja vjen nga 3
V 5
kategori nëse gjatë hetimit të incidentit rezulton se përdoruesi në atë moment ka qenë fizikisht dhe faktikisht i paaftë për të përdorur kredencialet e tij.
Klasifikimi i incidenteve
Kjo pikë në punën me incidentet mund të trajtohet në 2 mënyra: e thjeshtë dhe komplekse.
Një mënyrë e thjeshtë: merrni marrëveshjen e nivelit të shërbimit të shërbimit tuaj të IT dhe përshtateni atë sipas nevojave tuaja.
Mënyra e vështirë: bazuar në analizën e rrezikut, identifikoni grupe incidentesh dhe/ose pasurish për të cilat zgjidhja ose eliminimi i shkaqeve të incidentit duhet të jetë i menjëhershëm.
Mënyra e thjeshtë funksionon mirë në organizata të vogla ku nuk ka shumë informacion të pronarit dhe jo sasi e madhe punonjësit. Por ia vlen të kuptohet se shërbimi i IT-së e bazon SLA-në në rreziqet e veta dhe statistikat e incidenteve. Është mjaft e mundur që një printer i bllokuar me letër të jetë në tryezë drejtor i përgjithshëm do të ketë një prioritet shumë të lartë nëse kompromisi i fjalëkalimit të administratorit të bazës së të dhënave të korporatës është më i rëndësishëm për ju.
Mbledhja e dëshmive të ngjarjes
Ekziston një shkencë e posaçme e aplikuar - kriminalistika, e cila merret me çështje të mjekësisë ligjore në fushën e krimeve kompjuterike. Dhe ka një libër të mrekullueshëm nga N. N. Fedotov. “Forenzika – kriminalistika kompjuterike”. Nuk do të përshkruaj me detaje tani aspektet e mjekësisë ligjore, thjesht do të veçoj 2 pika kryesore në ruajtjen dhe sigurimin e provave që duhen respektuar.
Për dokumentet në letër, origjinali ruhet në mënyrë të sigurt me një regjistrim të personit që zbuloi dokumentin, ku u zbulua dokumenti, kur u zbulua dokumenti dhe që ishte dëshmitar i zbulimit. Çdo hetim duhet të sigurojë që origjinalet nuk janë falsifikuar
Për informacion mbi median kompjuterike: imazhet pasqyrë ose çdo media e lëvizshme, informacioni në hard disk ose memorie duhet të merret për të siguruar aksesueshmërinë. Duhet të mbahet një regjistër i të gjitha aktiviteteve gjatë procesit të kopjimit dhe procesi duhet të dëshmohet. Media dhe protokolli origjinal (nëse kjo nuk është e mundur, atëherë të paktën një imazh pasqyre ose kopje) duhet të mbahen të mbrojtura dhe të paprekura
Pas zbardhjes së ngjarjes
Pra, ngjarja ka përfunduar, pasojat janë eliminuar dhe është kryer hetim zyrtar.
Por puna nuk duhet të përfundojë me kaq.
Veprimet e mëtejshme pas incidentit:
Rivlerësimi i rreziqeve që çuan në incident
përgatitja e një liste masash mbrojtëse për të minimizuar rreziqet e identifikuara në rast të përsëritjes së incidentit
përditësimin e politikave të nevojshme, rregulloreve, rregullave të sigurisë së informacionit
të kryejë trajnime për personelin e organizatës, duke përfshirë punonjësit e IT-së, për të rritur ndërgjegjësimin në sigurinë e informacionit
Kjo do të thotë, është e nevojshme të ndërmerren të gjitha veprimet e mundshme për të minimizuar ose neutralizuar cenueshmërinë që çoi në zbatimin e një kërcënimi të sigurisë dhe, si rezultat, shfaqjen e një incidenti.
1.
Mbani një regjistër incidenti, ku regjistroni kohën e zbulimit, detajet e punonjësit që zbuloi incidentin, kategorinë e incidentit, asetet e prekura, kohën e planifikuar dhe aktuale për të zgjidhur incidentin, si dhe punën e kryer për të eliminuar incidentin dhe pasojat e tij.
2.
Regjistroni veprimet tuaja. Kjo është e nevojshme, para së gjithash, për veten tuaj, për të optimizuar procesin e zgjidhjes së incidentit.
3.
Njoftoni punonjësit për incidentin në mënyrë që, së pari, të mos ndërhyjnë në hetimin tuaj dhe së dyti, të përjashtojnë përdorimin e aseteve të prekura gjatë hetimit.
Ky libër mund të quhet një enciklopedi praktike. Ai siguron mbulim maksimal të çështjeve të sigurisë së informacionit, duke filluar me qasjet moderne, një përmbledhje të mbështetjes rregullatore në botë dhe në Rusi dhe duke përfunduar me shqyrtimin e fushave specifike të sigurisë së informacionit (sigurimi i sigurisë së informacionit rrethues, kundër sulmeve, monitorimi i sigurisë së informacionit, private virtuale rrjete dhe shumë të tjera), zgjidhje specifike harduerike dhe softuerike në këtë fushë. Libri do të jetë i dobishëm për menaxherët e biznesit të kompanive dhe ata, kompetenca e të cilëve përfshin zgjidhjen e çështjeve teknike të sigurimit të sigurisë së informacionit.
Të gjitha të drejtat e rezervuara. Asnjë pjesë e këtij libri nuk mund të riprodhohet në asnjë formë ose me asnjë mjet, duke përfshirë postimin në internet dhe rrjetet e korporatave, ose regjistrimin në kujtesën e kompjuterit për përdorim privat ose publik, pa lejen me shkrim të të drejtës së pronarit të së drejtës së autorit. Lidhur me çështjen e organizimit të aksesit në bibliotekë elektronike botuesit ju lutemi kontaktoni
mailto:% [email i mbrojtur]
Përveç kësaj, më 26 nëntor 2004, gjashtë të dyshuarit e mbetur u arrestuan, duke përfshirë tre punonjës të shërbimit parapagues të vetë kompanisë VimpelCom. Gjatë hetimit, rezultoi se siti ishte krijuar nga një ish-student i Moskës universiteti shtetëror i cili nuk punonte në këtë kompani.
Dokumentet për këtë incident u bënë të mundura falë vendimit të Gjykatës Kushtetuese në vitin 2003, e cila pranoi se detajet e telefonatave përmbanin një sekret. bisedat telefonike të mbrojtura me ligj.
Mundësitë e Brendshme
Dy nga punonjësit e VimpelCom të identifikuar mes pjesëmarrësve në incident punonin si tregtarë në kompani dhe i treti ishte një ish-punonjës dhe punonte në tregun Mitinsky në kohën e krimit.
Puna si tregtarë në vetë kompani tregon se këta punonjës kishin akses të drejtpërdrejtë në informacionin e ofruar për shitje në faqen e internetit www.sherlok.ru. Për më tepër, që nga ish punonjës Kompania tashmë po punonte në tregun Mitinsky, mund të supozohet se me kalimin e kohës ky treg mund të bëhet një nga kanalet e shpërndarjes për këtë informacion ose ndonjë informacion tjetër nga bazat e të dhënave të kompanisë VimpelCom.
Pasojat
Pasojat kryesore për VimpelCom nga ky incident mund të jenë një goditje për reputacionin e vetë kompanisë dhe humbjen e klientëve. Megjithatë, ky incident u bë publik drejtpërdrejt falë veprimeve aktive të vetë kompanisë.
Për më tepër, bërja publike e këtij informacioni mund të ketë një ndikim negativ tek klientët e VimpelCom, pasi detajet e bisedave na lejojnë të nxjerrim një përfundim në lidhje me aktivitetet aktuale të pajtimtarit, zonën e tij të interesit dhe rrethin e njohjeve.
Në mars 2005, Gjykata e Qarkut Ostankino e Moskës dënoi të dyshuarit, përfshirë tre punonjës të kompanisë VimpelCom, me gjoba të ndryshme. Kështu, organizatori i grupit u gjobit me 93,000 rubla. Sidoqoftë, funksionimi i faqes së internetit www.sherlok.ru u ndal për një kohë të pacaktuar vetëm nga 1 janari 2008.
Rrjedhja më e madhe e të dhënave personale në historinë japoneze
Shënim
Në verën e vitit 2006, ndodhi rrjedhja më e madhe e të dhënave personale në historinë e Japonisë: një punonjës i gjigantit të printimit dhe elektronikës Dai Nippon Printing vodhi një disk me informacione private të pothuajse nëntë milionë qytetarëve.
Përshkrimi i incidentit
Kompania japoneze Dai Nippon Printing, e specializuar në prodhim produktet e printimit, lejoi rrjedhjen më të madhe në historinë e vendit të saj. Hirofumi Yokoyama, një ish-punonjës i një prej kontraktorëve të kompanisë, kopjoi të dhënat personale të klientëve të kompanisë në një hard disk celular dhe e vodhi atë. Gjithsej 8.64 milionë njerëz ishin në rrezik sepse informacioni i vjedhur përfshinte emrat, adresat, numrat e telefonit dhe numrat e kartave të kreditit. Informacioni i vjedhur përfshinte informacione për klientët nga 43 kompani të ndryshme, si 1,504,857 klientë të American Home Assurance, 581,293 klientë të Aeon Co dhe 439,222 klientë të NTT Finance.
Pas vjedhjes së këtij informacioni, Hirofumi hapi tregtinë e informacionit privat në pjesë prej 100,000 regjistrimesh. Falë të ardhurave të qëndrueshme, insajderi ka lënë edhe punën e përhershme. Në momentin e arrestimit, Hirofumi kishte arritur t'i shiste të dhënat e 150,000 klientëve të firmave më të mëdha të kreditit një grupi mashtruesish të specializuar në blerjet online. Përveç kësaj, disa nga të dhënat tashmë janë përdorur për mashtrime me karta krediti.
Më shumë se gjysma e organizatave, të dhënat e klientëve të të cilave u vodhën, as nuk u paralajmëruan për rrjedhjen e informacionit.
Pasojat
Si pasojë e këtij incidenti, humbjet e qytetarëve që pësuan për shkak të mashtrimit me karta krediti, që u bë e mundur vetëm si pasojë e kësaj rrjedhjeje, arritën në disa milionë dollarë. Në total, klientët e 43 kompanive të ndryshme u prekën, duke përfshirë Toyota Motor Corp., American Home Assurance, Aeon Co dhe NTT Finance. Megjithatë, më shumë se gjysma e organizatave as që u paralajmëruan për rrjedhjen.
Në vitin 2003, Japonia miratoi Aktin e Mbrojtjes së Informacionit Personal 2003 (PIPA), por prokurorët nuk ishin në gjendje ta zbatonin atë në procedurat penale aktuale. këtë rast në fillim të vitit 2007, prokuroria dështoi të akuzonte personin e brendshëm për shkelje të PIPA-s. Ai akuzohet vetëm se ka vjedhur një hard disk me vlerë 200 dollarë.
Nuk vlerësohet. Hakeri i Zaporozhye kundër një banke ukrainase
Shënim
Një ish-administrator i sistemit të një prej bankave të mëdha në Ukrainë transferoi rreth 5 milionë hryvnia përmes bankës ku ai punonte më parë nga llogaria e doganave rajonale në llogarinë e një kompanie të falimentuar inekzistente Dnepropetrovsk.
Përshkrimi i incidentit
Karriera e tij si administrator sistemi filloi pasi ai mbaroi shkollën teknike dhe u punësua nga një nga bankat e mëdha në Ukrainë në softuer dhe mbështetje teknike. Pas ca kohësh, menaxhmenti e vuri re talentin e tij dhe vendosi që ai të ishte më i dobishëm për bankën si shef departamenti. Megjithatë, ardhja e menaxhmentit të ri në bankë solli edhe ndryshime në personel. Atij iu kërkua të lirojë përkohësisht pozicionin e tij. Së shpejti, menaxhmenti i ri filloi të formonte ekipin e tyre, por talenti i tij rezultoi i padeklaruar dhe atij iu ofrua posti inekzistent i zëvendësshefit, por në një departament tjetër. Si rezultat i ndryshimeve të tilla të personelit, ai filloi të bënte diçka krejtësisht të ndryshme nga ajo që dinte më mirë.
Administratori i sistemit nuk e duroi dot këtë qëndrim të drejtimit ndaj vetes dhe dha dorëheqjen. sipas dëshirës. Sidoqoftë, ai ishte i përhumbur nga krenaria dhe pakënaqësia e tij ndaj menaxhmentit, përveç kësaj, ai donte të provonte se ishte më i miri në biznesin e tij dhe të kthehej në departamentin ku filloi karriera e tij.
Pas dorëheqjes, ish-administratori i sistemit vendosi të rifitonte interesin për personin e tij nga drejtuesit e mëparshëm duke përdorur papërsosmëritë e sistemit Bank-Klient i përdorur pothuajse në të gjitha bankat në Ukrainë. Plani i administratorit të sistemit ishte që ai vendosi të zhvillonte programin e tij të sigurisë dhe t'ia ofronte bankës, duke u kthyer në vendin e tij të mëparshëm të punës. Zbatimi i planit konsistonte në depërtimin në sistemin bankë-klient dhe bërjen e ndryshimeve minimale në të. E gjithë llogaritja është bërë për faktin se banka do të kishte zbuluar një hakim të sistemit.
Për të depërtuar në sistemin e specifikuar, ish-administratori i sistemit ka përdorur fjalëkalime dhe kode që i ka mësuar gjatë punës me këtë sistem. Të gjitha informacionet e tjera të nevojshme për hakerim janë marrë nga faqe të ndryshme hakerash, ku janë përshkruar në detaje raste të ndryshme hakerimi. rrjetet kompjuterike, teknikat e hakerimit dhe përmbanin të gjithë softuerin e nevojshëm për hakerim.
Pasi krijoi një boshllëk në sistem, ish-administratori i sistemit depërtoi periodikisht në sistemin kompjuterik të bankës dhe linte shenja të ndryshme në të, duke u përpjekur të tërhiqte vëmendjen për faktet e hakerimit. Specialistët e bankës duhej të zbulonin hakimin dhe të jepnin alarmin, por, për habinë e tij, askush nuk e vuri re as depërtimin në sistem.
Pastaj administratori i sistemit vendosi të ndryshojë planin e tij, duke bërë rregullime në të që nuk mund të kalonin pa u vënë re. Ai vendosi të falsifikojë urdhërpagesë dhe transferoni një shumë të madhe përmes saj përmes sistemit kompjuterik të bankës. Duke përdorur një laptop dhe telefon celular me një modem të integruar, administratori i sistemit depërtoi në sistemin kompjuterik të bankës rreth 30 herë: shikoi dokumentet, llogaritë e klientëve, trafikun para të gatshme- kërkimi i klientëve të përshtatshëm. Ai zgjodhi doganat rajonale dhe një kompani të falimentuar të Dnepropetrovsk si klientë të tillë.
Pasi fitoi edhe një herë akses në sistemin e bankës, ai krijoi një urdhërpagesë në të cilën llogari personale zyra rajonale doganore u tërhoq dhe transferoi përmes bankës në llogarinë e një kompanie të falimentuar 5 milionë hryvnia. Për më tepër, ai me qëllim bëri disa gabime në "pagesë", të cilat nga ana tjetër duhet të kishin ndihmuar më tej të tërhiqnin vëmendjen e specialistëve të bankës. Sidoqoftë, edhe fakte të tilla nuk u vunë re nga specialistët e bankës që i shërbenin sistemit Bank-Klient dhe ata transferuan me qetësi 5 milion hryvnia në llogarinë e një kompanie të zhdukur.
Realisht, administratori i sistemit shpresonte që fondet të mos transferoheshin, të zbulohej fakti i hakerimit përpara se të transferoheshin fondet, por në praktikë gjithçka doli ndryshe dhe ai u bë kriminel dhe transferimi i tij i rremë u përshkallëzua në vjedhje.
Fakti i hakimit dhe vjedhjes së fondeve në një shkallë veçanërisht të madhe u zbulua vetëm pak orë pas transferimit, kur punonjësit e bankës thirrën doganën për të konfirmuar transferimin. Por ata raportuan se askush nuk kishte transferuar një shumë të tillë. Paratë u kthyen urgjentisht në bankë dhe u hap një çështje penale në zyrën e prokurorit të rajonit Zaporozhye.
Pasojat
Banka nuk ka pësuar asnjë humbje, pasi paratë i janë kthyer pronarit dhe sistemi kompjuterik ka pësuar dëme minimale, si pasojë e të cilit drejtuesit e bankës kanë refuzuar çdo pretendim ndaj ish-administratorit të sistemit.
Në vitin 2004, me dekret të Presidentit të Ukrainës, përgjegjësia penale për krimet kompjuterike u forcua: gjoba nga 600 në 1000 minimume pa taksa, burgim nga 3 në 6 vjet. Megjithatë, ish-administratori i sistemit ka kryer një krim para hyrjes në fuqi të dekretit presidencial.
Në fillim të vitit 2005, u zhvillua një provë e administratorit të sistemit. Ai u akuzua për kryerjen e një krimi sipas Pjesës 2 të nenit 361 të Kodit Penal të Ukrainës - ndërhyrje e paligjshme në funksionimin e sistemeve kompjuterike që shkakton dëm dhe sipas Pjesës 5 të nenit 185 - vjedhje e kryer në një shkallë veçanërisht të madhe. Por meqenëse menaxhmenti i bankës refuzoi të bënte ndonjë pretendim ndaj tij, akuza për vjedhje u hoq nga ai dhe pjesa 2 e nenit 361 u ndryshua në pjesën 1 - ndërhyrje e paligjshme në funksionimin e sistemeve kompjuterike.
Tregtim i pakontrolluar në bankën Societe Generale
Shënim
Më 24 janar 2008, Societe Generale njoftoi një humbje prej 4.9 miliardë eurosh për shkak të makinacioneve të tregtarit të saj Jerome Kerviel. Siç tregoi një hetim i brendshëm, për disa vite tregtari hapi pozicione mbi limitet në të ardhmen për indekset evropiane të aksioneve. Shuma totale e pozicioneve të hapura arriti në 50 miliardë euro.
Përshkrimi i incidentit
Nga korriku 2006 deri në shtator 2007, sistemi i kontrollit të brendshëm kompjuterik lëshoi një paralajmërim për shkelje të mundshme 75 herë (pra sa herë Jerome Kerviel kreu transaksione të paautorizuara ose pozicionet e tij tejkaluan kufirin e lejuar). Punonjësit e departamentit të monitorimit të rrezikut të bankës nuk kanë kryer kontrolle të detajuara për këto paralajmërime.
Kerviel fillimisht filloi të eksperimentonte me tregtimin e paautorizuar në vitin 2005. Më pas ai mori një pozicion të shkurtër në aksionet e Allianz, duke pritur që tregu të bjerë. Shumë shpejt tregu ra vërtet (pas sulmeve terroriste në Londër), kështu që u fituan 500 mijë eurot e para. Kerviel më pas u tha hetuesve për ndjenjat e tij që përjetoi që nga suksesi i tij i parë: "Unë tashmë dija ta mbyllja pozicionin tim dhe isha krenar për rezultatin, por në të njëjtën kohë isha i befasuar. Suksesi më bëri të vazhdoj, ishte si një top bore... Në korrik 2007, propozova të merrja një pozicion short në pritje të rënies së tregut, por nuk mora mbështetje nga menaxheri im. Parashikimi im u realizua dhe fituam, këtë herë ishte plotësisht i ligjshëm. Më pas kam vazhduar të kryej operacione të tilla në treg, qoftë me pëlqimin e eprorëve, qoftë në mungesë të kundërshtimit të tij të qartë... Më 31 dhjetor 2007, fitimi im arriti në 1.4 miliardë euro. Në atë moment nuk dija si ta deklaroja këtë në bankën time, pasi ishte një shumë shumë e madhe që nuk ishte deklaruar askund. Isha i lumtur dhe krenar, por nuk dija t'i shpjegoja menaxhmentit tim marrjen e këtyre parave dhe të mos dyshoja për kryerjen e transaksioneve të paautorizuara. Prandaj vendosa të fsheh fitimin tim dhe të kryej operacionin e kundërt fiktiv...”
Në fakt, në fillim të janarit të atij viti, Jerome Kerviel rihyri në lojë me kontrata të së ardhmes në tre indekset Euro Stoxx 50, DAX dhe FTSE, të cilat e ndihmuan atë të mposhtte tregun në fund të vitit 2007 (megjithëse ai preferoi të shkonte shkurt në koha). Sipas përllogaritjeve, në prag të 11 janarit, portofoli i tij përmbante 707.9 mijë të ardhme (secila me vlerë 42.4 mijë euro) në Euro Stoxx 50, 93.3 mijë Futures (192.8 mijë euro për 1 copë) në DAX dhe 24.2 mijë Futures (82.7 mijë euro). për 1 kontratë) për indeksin FTSE. Në total, pozicioni spekulativ i Kerviel ishte i barabartë me 50 miliardë euro, domethënë ishte më shumë se vlera e bankës në të cilën ai punonte.
Duke ditur kohën e çeqeve, ai hapi në momentin e duhur një pozicion mbrojtës fiktiv, të cilin e mbylli më vonë. Si rezultat, rishikuesit nuk panë kurrë një pozicion të vetëm që mund të konsiderohej i rrezikshëm. Ata nuk mund të alarmoheshin nga shumat e mëdha të transaksioneve, mjaft të zakonshme në treg. kontratat e së ardhmes sipas indekseve. Ai u zhgënjye nga transaksionet fiktive të kryera nga llogaritë e klientëve të bankave. Përdorimi i llogarive të klientëve të ndryshëm të bankave nuk ka sjellë probleme të dukshme për kontrollorët. Megjithatë, me kalimin e kohës, Kerviel filloi të përdorte të njëjtat llogari klientësh, gjë që çoi në aktivitet "jonormal" të vërejtur në këto llogari dhe, nga ana tjetër, tërhoqi vëmendjen e kontrollorëve. Ky ishte fundi i mashtrimit. Doli se partneri i Kerviel në marrëveshjen shumë miliardë dollarëshe ishte një bankë e madhe gjermane, e cila dyshohet se konfirmoi transaksionin astronomik në email. Megjithatë, konfirmimi elektronik ngriti dyshime tek inspektorët dhe u krijua një komision pranë Societe Generale për verifikimin e tyre. Më 19 janar, në përgjigje të një kërkese, banka gjermane nuk e njohu këtë transaksion, pas së cilës tregtari pranoi të rrëfente.
Kur u bë e mundur të zbulohej përmasat astronomike të pozicionit spekulativ, CEO dhe kryetari i bordit të drejtorëve të Societe Generale, Daniel Bouton, njoftoi synimin e tij për të mbyllur pozicionin e rrezikshëm të hapur nga Kerviel. Kjo zgjati dy ditë dhe rezultoi me humbje prej 4.9 miliardë eurosh.
Mundësitë e Brendshme
Jerome Kerviel punoi për pesë vjet në të ashtuquajturën "back office" të bankës, domethënë në një departament që nuk përfundon drejtpërdrejt asnjë transaksion. Merret vetëm me kontabilitetin, ekzekutimin dhe regjistrimin e transaksioneve dhe monitoron tregtarët. Ky aktivitet na mundësoi të kuptojmë veçoritë e sistemeve të kontrollit në bankë.
Në 2005, Kerviel u promovua. Ai u bë një tregtar i vërtetë. Në përgjegjësitë e menjëhershme i ri përfshinte operacione bazë për të minimizuar rreziqet. Duke punuar në tregun e të ardhmes për indekset evropiane të aksioneve, Jerome Kerviel duhej të monitoronte se si po ndryshonte portofoli i investimeve të bankës. Dhe detyra e tij kryesore, siç shpjegoi një përfaqësues i Societe Generale, ishte të zvogëlonte rreziqet duke luajtur në drejtim të kundërt: "Përafërsisht, duke parë që banka po vinte baste në të kuqe, ai duhej të vinte bast për të zezën." Si të gjithë tregtarët e vegjël, Kerviel kishte një kufi që nuk mund ta kalonte, ky monitorohej prej tij ish-kolegët në zyrën e pasme. Societe Generale kishte disa shtresa mbrojtjeje, për shembull tregtarët mund të hapnin pozicione vetëm nga kompjuteri i tyre i punës. Të gjitha të dhënat për hapjen e pozicioneve u transmetuan automatikisht në kohë reale në zyrën e pasme. Por, siç thonë ata, gjuetari më i mirë është një ish-pylltar. Dhe banka bëri një gabim të pafalshëm duke e vënë ish-pylltarin në pozitën e një gjahtari. Jerome Kerviel, i cili kishte gati pesë vjet përvojë në monitorimin e tregtarëve, nuk e pati të vështirë ta anashkalonte këtë sistem. Ai dinte fjalëkalimet e të tjerëve, dinte kur kryheshin kontrollet në bankë, ishte i njohur mirë teknologjia e informacionit.
Arsyet
Nëse Kerviel ishte i përfshirë në mashtrim, kjo nuk ishte për qëllimin e pasurimit personal. Këtë e thonë avokatët e tij dhe këtë e pranojnë edhe përfaqësuesit e bankës, duke i quajtur veprimet e Kerviel-it të paarsyeshme. Vetë Kerviel thotë se ai veproi vetëm në interes të bankës dhe vetëm donte të provonte talentin e tij si tregtar.
Pasojat
Në fund të vitit 2007, aktivitetet e saj i sollën bankës rreth 2 miliardë euro fitim. Në çdo rast, këtë e thotë vetë Kerviel, i cili pretendon se drejtuesit e bankës ndoshta e dinin se çfarë po bënte, por preferoi të mbyllte një sy për sa kohë ai ishte fitimprurës.
Mbyllja e pozicionit të rrezikshëm të hapur nga Kerviel çoi në humbje prej 4.9 miliardë eurosh.
Në maj 2008, Daniel Bouton u largua nga posti i CEO i Societe Generale dhe u zëvendësua në këtë pozicion nga Frédéric Oudea. Një vit më vonë, ai u detyrua të jepte dorëheqjen nga posti i tij si kryetar i bordit drejtues të bankës. Arsyeja e largimit të tij ishte kritika e mprehtë nga shtypi: Bouton u akuzua për faktin se drejtuesit e lartë të bankës nën kontrollin e tij inkurajuan transaksione financiare të rrezikshme të kryera nga punonjësit e bankës.
Me gjithë mbështetjen e bordit të drejtorëve, presioni ndaj z. Bouton u rrit. Aksionerët e bankës dhe shumë politikanë francezë kërkuan dorëheqjen e tij. Presidenti francez Nicolas Sarkozy gjithashtu i bëri thirrje Daniel Bouton të jepte dorëheqjen pasi u bë e ditur se një vit e gjysmë para skandalit, sistemi kompjuterik i kontrollit të brendshëm të Societe Generale lëshoi një paralajmërim 75 herë, pra çdo herë që Jerome Kerviel kryente transaksione të mundshme të paautorizuara .
Menjëherë pasi u zbuluan humbjet, Societe Generale krijoi një komision të posaçëm për të hetuar veprimet e tregtarit, i cili përfshinte anëtarë të pavarur të bordit të drejtorëve të bankës dhe auditorë PricewaterhouseCoopers. Komisioni arriti në përfundimin se sistemi i kontrollit të brendshëm të bankës nuk ishte mjaft efektiv. Kjo rezultoi që banka të mos ishte në gjendje të parandalonte një mashtrim kaq të madh. Raporti thotë se “stafi i bankës nuk kreu kontrolle sistematike” të aktiviteteve të tregtarit dhe vetë banka nuk kishte “një sistem kontrolli që mund të parandalonte mashtrimin”.
Në raportin mbi rezultatet e auditimit të tregtarit thuhet se pas rezultateve të hetimit, është marrë një vendim për të “forcuar ndjeshëm procedurën e mbikëqyrjes së brendshme të aktiviteteve të punonjësve të Societe Generale”. Kjo do të bëhet përmes një organizimi më të rreptë të punës së divizioneve të ndryshme të bankës dhe koordinimit të ndërveprimit të tyre. Gjithashtu do të merren masa për gjurmimin dhe personalizimin e operacioneve tregtare të punonjësve të bankës duke “forcuar sistemin e sigurisë së IT dhe duke zhvilluar zgjidhje të teknologjisë së lartë për identifikimin personal (biometrik).
