Міністерство освіти і науки України

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ОДЕСЬКА

ПОЛІТЕХНІКА»
КАФЕДРА КІБЕРБЕЗПЕКИ ТА ПРОГРАМНОГО
ЗАБЕЗПЕЧЕННЯ

КОНСПЕКТ ЛЕКЦІЙ
з дисципліни
«УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ ТА/АБО
КІБЕРБЕЗПЕКИ»
для студентів
спеціальності - 125 Кібербезпека

Одеса, 2023
ЗМІСТ
Кібербезпека................................................................................................................................................................. 3

Термінологія........................................................................................................................................................... 4

Складові ризику.................................................................................................................................................... 5

Технічні та бізнес-впливи................................................................................................................................ 6

Рішення щодо управління ризиками...........................................................................................................6

Управління ризиком........................................................................................................................................... 7

ERM (Корпоративне управління ризиками)............................................................................................8

Аналіз ризиків.....................................................................................................................................................10

Вплив ризиків на підприємство..................................................................................................................11

Інтеграція документації в управління ризиками (частина 1)...............................................................13

Від політики до процедур..............................................................................................................................14

Теми для включення в політику безпеки та процедури...................................................................18

Кращі практики.................................................................................................................................................. 19

Інтеграція документації в управління ризиками (частина 2)...............................................................22

Типи політик безпеки......................................................................................................................................23

Типи процедур.................................................................................................................................................... 24

Документи підтримки бізнесу.....................................................................................................................27

Невиконання........................................................................................................................................................ 30

Оцінка ризику..................................................................................................................................................... 32

Види оцінки ризиків.........................................................................................................................................33

Документування.................................................................................................................................................35

Реєстрація ризику.............................................................................................................................................. 37

Базовий приклад.............................................................................................................................................38

Ризик-менеджмент.................................................................................................................................................. 39

УХИЛЕННЯ ВІД РИЗИКУ...........................................................................................................................40

ПРИЙНЯТТЯ РИЗИКУ..................................................................................................................................41
 РОЗПОДІЛ РИЗИКУ........................................................................................................................................43

АУТСОРСИНГ РИЗИКУ...............................................................................................................................45

ПОПЕРЕДЖЕННЯ РИЗИКУ.......................................................................................................................45

ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ............................................................................................................46

Додаткові матеріали............................................................................................................................................... 47

КЛАСИФІКАЦІЯ РИЗИКІВ.........................................................................................................................47

Розвиток теорії ризиків в Україні..............................................................................................................50

Ризик і невизначеність. Джерела невизначеності. Зв’язок між ризиком і невизначеністю

.................................................................................................................................................................................................... 62

5. Tom Demarko. Waltzing with Bears: Managing Risk on Software Projects...................................71

Загрози.................................................................................................................................................................... 71

Уразливі місця.................................................................................................................................................... 73

Рейтинг загроз.....................................................................................................................................................74

Кібербезпека
У нашому світі з високим ступенем зв’язку розвиток технологій
прискорюються експоненціально, надаючи людям нові та швидші способи
роботи з інформацією. Разом з цим відбувається зростання рівня загроз
інформаційної та/або кібербезпеки. Важко переоцінити значення безпеки в
сучасних інформаційних системах.
 Термінологія
Кібербезпека стосується захисту особистої чи корпоративної
інформації або інформаційних ресурсів від несанкціонованого доступу,
атак, крадіжки або пошкодження даних. У контексті кібербезпеки ви
зустрінете різні загальні терміни, які мають особливе значення:
 Актив: будь-що цінне, що може бути скомпрометовано,
викрадено або чому може бути завдано шкоди, включаючи інформацію,
фізичні ресурси та репутацію.
 Загроза: будь-яка подія чи дія, яка потенційно може спричинити
пошкодження активу або переривання послуг.
 Атака: навмисна спроба обійти одну або декілька служб безпеки
чи засобів керування інформаційною системою.
 Уразливість: стан, який робить систему та її активи відкритими
для шкоди включно з такими речами як помилки програмного забезпечення,
ненадійні паролі, неналежний фізичний захист і погано спроектовані мережі.
 Експлойт: техніка, яка використовує вразливість для здійснення
атаки. Експлойт також може стосуватися упакованої форми інструментів,
таких як програми або скрипти, які автоматизують процес зламу, щоб навіть
некваліфікований зловмисник міг використати експлойт для здійснення
атаки.
 Контроль: контрзахід, який ви застосовуєте, щоб уникнути,
зменшити або протидіяти ризикам безпеки через загрози чи атаки.

Складові ризику
Ваша відповідальність як професіонала з кібербезпеки полягає у
виявленні ризиків і захисті ваших систем від них. У цьому контексті ризик –
це міра вашої схильності до ймовірності пошкодження або втрати. Це
означає ймовірність виникнення небезпеки або небезпечної загрози. Ризик
часто пов’язаний із втратою системи, живлення чи мережі та іншими
фізичними втратами. Однак ризик також впливає на людей, практику та
процеси.
Хоча здається, що існує необмежена кількість можливостей і варіацій,
коли йдеться про типи атак, які можна влаштувати, на жаль, час і ресурси, які
ви можете присвятити захисту активу, не безмежні. Ви повинні визначити, як
боротися з різними ризиками, коли плануєте безпеку своїх активів, що є
процесом, який називається управлінням ризиками. Щоб ефективно
управляти ризиком, необхідно враховувати фактори, властиві ризикам, з
якими ви маєте справу.
Часто вважається, що ризик складається з трьох факторів, що
виражається у такій формулі:
Ризик = Загрози × Вразливі місця × Наслідки
 Загроза: щось або хтось, хто може скористатися вразливими
місцями.
 Вразливість: слабке місце або недолік, який дозволяє
зловмиснику порушити цілісність системи.
 Наслідком є збиток, який виникає через те, що загроза
скористалася вразливістю.
У наступному прикладі хакер (загроза) використовує бекдор
(вразливість), щоб установити зловмисне програмне забезпечення на
загальнодоступний веб-сервер, що спричиняє збій сервера (технічний
наслідок). Це призводить до втрати прибутку та потребує часу та грошей,
щоб переконатися, що сервер очищено від «інфекції» (незаплановані
витрати). Тоді акціонери компанії можуть втратити впевненість у безпеці
громадських послуг організації, що може зменшити ймовірність
продовження підтримки компанії.
 Технічні та бізнес-впливи
Наслідки можуть включати як технічні, так і бізнес-наслідки.
Наприклад, технічні наслідки атаки можуть включати певну послугу, яка стає
недоступною для користувачів (тобто, відмова в обслуговуванні [DoS]) або
різні активи, що скомпрометовані, наприклад, видалення даних або надання
доступу неавторизованому користувачеві. У свою чергу, ці технічні
проблеми можуть призвести до кінцевого впливу на бізнес, наприклад, до
розгніваних клієнтів, пошкодження ділових відносин, незапланованих витрат
і втрати довіри акціонерів.

Рішення щодо управління ризиками

Оцінивши ступінь трьох факторів, що складають ризик, ви можете
визначити ступінь ризику, який керуватиме вашим рішенням щодо того, як з
ним боротися. Наприклад, незважаючи на те, що певною вразливістю легко
скористатися, і загроза того, що хтось нею скористається, є високою, якщо
наслідки тривіальні або взагалі відсутні, ви можете вважати ризик
прийнятним, а заходи профілактики непотрібними. З іншого боку, якщо
вразливість і загроза низькі, але наслідки досить високі, ви можете вважати
ризик неприйнятним і вирішити витратити час і зусилля на впровадження
заходів безпеки.
Можливо, ви не в змозі приймати всі рішення щодо управління
ризиками. Ці рішення можуть прийматися іншими зацікавленими сторонами
або командою управління проектом. Однак ви можете бути в унікальному
становищі, щоб зрозуміти, де існують певні технічні ризики, і вам потрібно
привернути до них увагу осіб, які приймають рішення.
Причина, чому ризиком керують, а не повністю усувають його,
полягає в тому, що ризик не завжди суперечить цілям організації.
Насправді, якщо ви спробуєте повністю усунути ризик, організація перестане
функціонувати. Ви були б повністю відключені, ви б не могли
використовувати жодні електронні пристрої, а операції припинилися б. Ось
чому управління ризиками – це процес розуміння того, на які ризики ви
можете піти, якщо винагорода варта ризику.

Управління ризиком
Щоб задовольнити постійно зростаючі потреби в інформаційній
безпеці та надійності інформації, професіонал повинен мати можливість
керувати ризиками, яким піддається його інформація. Управління ризиками
зазвичай визначається як циклічний процес ідентифікації, оцінки,
аналізу та реагування на ризики.
Цей процес не закінчується – поки інформація існує, вона
потребуватиме захисту. Таким чином, управління ризиками повторюється
безстроково, щоб ви могли завжди зберігати свою інформацію якомога
безпечніше. Без управління ризиками ваша безпека буде пасивною; і якщо ви
пасивно захищаєте свою інформацію, вона буде залежати від швидких змін
технологічного прогресу.
 ERM (Корпоративне управління ризиками)
Комплексний процес оцінювання, вимірювання та пом’якшення
багатьох ризиків, які пронизують організацію, називається корпоративним
управлінням ризиками (ERM – Enterprise Risk Management). Процес
ERM є важливою частиною будь-якої організації, яка прагне досягти своїх
цілей. Традиційно відповідальність за ERM організації покладалася на
фінансового та актуарного фахівця (актуарій – спеціаліст з оцінки ризиків,
фінансовий аналітик і консультант у сфері страхування, людина, яка
застосовує на практиці актуарну математику; офіційно вповноважена особа,
яка має відповідну фахову підготовку та обчислює страхові тарифи).
Однак, враховуючи те, що сьогоднішній інформаційний ландшафт
зосереджений на інформації та взаємопов’язаних системах у всьому світі,
обов’язки ERM також повинен розділити ІТ-відділ.
Обсяг і складність ресурсів, які надають підприємства, можуть бути
величезними, і, безперечно, є викликом для тих, хто відповідає за їх безпеку.
Цей корпоративний підхід до наявності та доступності ресурсів спрямований
на виявлення ризиків, тобто через мозковий штурм пропонує численні
варіанти, за допомогою яких зловмисники можуть скомпрометувати роботу
бізнесу, а також ідентифікує способи, якими середовище підприємства,
співробітники, клієнти та партнери можуть ненавмисно зробити те саме.
 Розподіливши функції управління ризиками на всіх рівнях організації,
ви можете підвищити обізнаність про проблеми кібербезпеки та розглянути
всі рівні управління ризиками.
Причин, які спонукають до впровадження ERM, багато. Нижче
наведено деякі з них.
 Зберігання конфіденційної інформації про клієнта від
несанкціонованого доступу
 Зберігання комерційної таємниці від публічної сфери
 Уникнення фінансових втрат через пошкоджені ресурси
 Уникнення правових проблем
 Підтримання позитивного суспільного сприйняття бренду/іміджу
підприємства
 Забезпечення безперервності господарської діяльності
 Встановлення довіри та відповідальності в ділових відносинах
 Виконання вимог стейкхолдерів (зацікавлених сторін)
Якими б не були причини, ERM стає все більш важливою стратегією в
діловому світі та складною частиною обов’язків будь-якого спеціаліста із
забезпечення захисту інформації.
Схильність до ризику – це властивість, яка визначає, наскільки
організація вразлива до втрат. При кількісній оцінці ризик зазвичай
визначається як добуток ймовірності того, що інцидент станеться, і
очікуваного впливу або збитку, який настане, якщо він відбудеться.
Організація наражає себе на ризик у кожній своїй дії. Ці дії
відбуваються в процесі ведення бізнесу організацією, постійна потреба в
оцінці цих ризиків породила індустрію безпеки в цілому. Без ризику не було
б потреби в безпеці, оскільки не було б наслідків для погано виконаних
бізнес-процесів. Оскільки підприємства дедалі більше залежать від
технологій, зростаюча кількість ризиків пов’язана з професіоналами з
комп’ютерної безпеки як основним засобом керування цими ризиками.
 Завдяки ERM організація може підтримувати низький рівень ризику,
але ніколи не може його повністю уникнути. Ось чому це так важливо для
безпеки постійно бути пильними щодо елементів ризику (включаючи
загрози, атаки та вразливі місця), які потенційно можуть завдати шкоди
активам підприємства. Ігнорування ризику вашої організації обмежить її
здатність виживати в будь-якій галузі.

Аналіз ризиків
При визначенні того, як захистити комп’ютерні мережі, комп’ютерні
установки та інформацію, аналіз ризиків – це процес безпеки, який
використовується для оцінки збитків від ризиків, які можуть вплинути
на організацію. Стиль змісту та результатів будь-якого аналізу ризиків має
відображати рамки та юрисдикцію, в межах якої працює організація.
Наприклад, у Великій Британії аналіз ризиків, який виконується для уряду
або як частина державних контрактів, має представляти результати діловою
мовою. На противагу цьому, якщо аналіз ризиків проводиться як частина
сертифікації ISO 27000, тоді такого обмеження не існує, окрім ймовірності та
наслідків ризиків.
Методи аналізу ризику, які використовують для розрахунку ризику,
можна розділити на три категорії:
1. Якісні: Методи якісного аналізу використовують описи та слова
для вимірювання ймовірності та впливу ризику. Наприклад, оцінки впливу
можуть бути серйозними/високими , помірними/середніми або низькими.
Подібним чином рейтинги ймовірності можуть бути ймовірно,
малоймовірно або рідко. Якісний аналіз зазвичай базується на сценаріях.
Слабкість якісного аналізу ризику полягає в його методології, яка іноді є
суб’єктивною та не піддається перевірці. Ви також можете призначити числа
від 0 до 9 для вимірювання сили впливу та потенціалу пошкодження. Однак
ви не виконуєте розрахунки за числами, присвоєними ризикам. Метою
якісної оцінки є, наприклад, ранжування ризиків за шкалою від 1 до 25 (будь-
яке ранжування за будь-якою шкалою).
2. Кількісні: кількісний аналіз повністю базується на числових
значеннях. Дані аналізуються з використанням історичних записів, досвіду,
найкращих галузевих практик і записів, статистичних теорій, тестування та
експериментів. Ця методологія може бути слабкою в ситуаціях, коли ризик
важко визначити кількісно. Метою кількісного аналізу є обчислення
ймовірних втрат для кожного ризику.
 3. Напівкількісні (або напівякісні чи змішані): метод
напівкількісного аналізу існує, оскільки неможливо провести суто кількісну
оцінку ризику, враховуючи, що деякі проблеми не піддаються цифрам.
Наприклад, скільки моральний стан вашого працівника коштує в гривнях?
Чого варта ваша корпоративна репутація? Напівкількісний аналіз
намагається знайти золоту середину між двома попередніми типами аналізу
ризику, щоб створити гібридний метод.

Вплив ризиків на підприємство

Як керівник інформаційного
забезпечення, ви, ймовірно, зіткнетеся з
ризиком у багатьох різних формах. Перш
ніж ви зможете навіть почати
пом’якшувати ризики, щоб гарантувати
мінімізацію впливу інцидентів, вам
потрібно знати, де існують ризики на
вашому підприємстві, і визначити, як
вони можуть завдати шкоди. Далі класифікуються різні типи ризиків, з якими
ви можете зіткнутися на своєму підприємстві. Майте на увазі, що
кіберризики впливають на всі сфери та типи корпоративних ризиків і що
вони не обов’язково є технічними, але можуть бути сформульовані в
термінах бізнесу.
 Юридичні ризики: кожне підприємство, незалежно від галузі,
повинно дотримуватися певних законів і правил, щоб залишатися в рамках
закону. Наприклад, більшість урядів ухвалили закони про захист споживачів,
які карають організації, які займаються діяльністю, яка обманює споживача.
Інші неетичні методи ведення бізнесу, недобросовісні працівники та недбале
керівництво можуть поставити ваше підприємство під загрозу. Якщо
підприємство не дотримується вимог, воно може спочатку отримати
сповіщення з більш суворими покараннями, якщо проблему не буде
вирішено належним чином і своєчасно. Підприємство може не тільки
порушити певні закони, але й бути предметом судового розгляду певними
сторонами, які вважають, що заслуговують на компенсацію. Крім того,
зростання судових витрат може мати значний грошовий ефект для
підприємства.
  Фінансові ризики: ваша організація, ймовірно, має очікуваний
дохід і прибуток на основі ряду розрахунків, і багато різних загроз можуть
призвести до того, що ваш бізнес не зможе відповідати грошовим
очікуванням. Фінансові ризики можуть серйозно вплинути на виживання
вашого підприємства на конкурентному ринку. Ці ризики можуть мати
прямий вплив на ваші фінанси, як-от негайна втрата прибутку, або наслідки
можуть бути більш непрямими, як-от вплив на операційні витрати, що може
дещо знизити продуктивність через брак витрат на необхідні ресурси. Ви
також повинні розглянути, як особливо руйнівна та/або підступна загроза
може вплинути на витрати на страхування, оскільки вони часто можуть бути
ризиком для себе.
 Ризики фізичних активів: залежно від розміру вашого
підприємства, ви можете мати багато цінної фізичної власності, що
зберігається на різних сайтах компанії. Будь-який фізичний продукт, який
продає ваша організація, є вашою головною турботою. Електроніка, така як
комп’ютери, промислове обладнання та офісна техніка, також ризикує бути
викраденою чи іншим чином пошкодженою. Загрози людини та фактори
навколишнього середовища можуть поставити під загрозу ваші фізичні
активи.
 Ризики інтелектуальної власності: організації, які створюють
та володіють інтелектуальною власністю, такою як розважальний контент,
програмне забезпечення, комерційні таємниці та дизайн продуктів, усі
ризикують втратити інтелектуальну власність через знищення, пошкодження
або використання її у несанкціонований спосіб. Хоча інтелектуальну
власність зазвичай не викрадають у такому ж сенсі, як фізичну, можуть бути
порушені авторські права. Загроза, яка знищує або змінює вашу
інтелектуальну власність, може надзвичайно ускладнити або навіть
унеможливити її відновлення. Складні методи викрадання даних також
можуть ускладнити вам виявлення отримання несанкціонованого доступу або
пошкодження вашої інтелектуальної власності.
 Ризики інфраструктури: організація повинна залежати від своєї
структури, щоб функціонувати з максимальною ефективністю. І фізичні, і
абстрактні структури вразливі до ряду загроз. Особливо це стосується будь-
якої інфраструктури, яка постачає електроенергію або сприяє
транспортуванню. Ризики інфраструктури впливають на бізнес
фундаментально і здатні призвести до катастрофічних наслідків.
 Операційні ризики: щоденні операції – це те, що забезпечує
роботу вашого підприємства та виконання не лише його грошових очікувань,
але й його місій або цілей. Навіть якщо при реалізації ризику немає негайних
фінансових наслідків, підприємство ризикує втратити свою позицію на
ринку, а його продукти чи послуги можуть більше не бути життєздатними.
Особливо шкідливими є ризики, які впливають на операційну спроможність
організації (тобто на її здатність виконувати багато бізнес-процесів
одночасно). Так само операційні ризики можуть вплинути на час, який
людина або інші активи витрачають на усунення наслідків ризику – час, який
інакше було б витрачено на звичайні бізнес-процеси. Якщо певні процеси
кібербезпеки виявляються неефективними для зменшення ризику, тоді
можуть знадобитися вдосконалення цих процесів кібербезпеки, що ще
більше вплине на загальні бізнес-операції.
 Репутаційні ризики: сприйняття організації громадськістю може
сильно вплинути на її успіх, а в деяких випадках може приректи її на
поразку. Компанії часто повинні підтримувати хороші стосунки зі своїми
клієнтами та зважати на те, як на них дивиться суспільство. Бренд вашої
організації може бути знецінений, якщо громадськість негативно реагує на
такі сценарії, як крадіжка особистих даних, неетична бізнес-практика або
зниження якості продуктів і послуг. Ці сценарії також можуть негативно
вплинути на ефективність програм управління зв’язками з громадськістю.
 Ризики здоров’я: чи то ваші співробітники, чи то клієнти, з
якими вони працюють, люди ризикують отримати шкоду в результаті вашої
діяльності. Хоча галузі високого ризику, такі як правоохоронні органи тощо,
мають очевидні проблеми зі здоров’ям, навіть звичайні підприємства можуть
наражати на небезпеку свій персонал і клієнтів, надаючи небезпечні,
неперевірені продукти та послуги. Фізичні активи, такі як промислове
обладнання та електричне обладнання, можуть становити значний ризик для
здоров’я працівників, які ними користуються.

Інтеграція документації в управління ризиками (частина 1)

Важливою частиною управління ризиками є розробка документації для
використання в майбутньому. Написання політики та запис діяльності,
пов’язаної з ризиком, перемістить вашу стратегію ERM від концептуальної
до конкретної. Ця лекція забезпечить основу для підтримки ваших методів
оцінки та пом’якшення наслідків і, зрештою, скерує ваше реагування на
інциденти.
 Від політики до процедур
Політика визначає наміри організації. Політики тлумачаться та
вводяться в дію через стандарти, настанови (керівні принципи) та
процедури. Що стосується інформаційної безпеки та відповідності, ці
терміни використовуються таким чином:

Рисунок 1.1: Політика є основою, на якій будуються стандарти,

настанови (керівні принципи) та процедури
Політики – це заяви високого рівня, які визначають наміри організації.
Стандарти складаються з конкретних обов’язкових засобів контролю
низького рівня, які допомагають забезпечити виконання та підтримку
політики.
Керівні принципи (настанови) є рекомендованими, необов’язковими
засобами контролю, які підтримують стандарти або надають посилання для
прийняття рішень, коли не існує відповідного стандарту.
Процедури – це покрокові інструкції щодо виконання завдань,
необхідних для впровадження різних політик, стандартів і настанов.
Життєвий цикл політики
 Життєвий цикл політики починається, коли організація вирішує,
що їй потрібна формальна політика інформаційної безпеки. Драйвер
(пусковий механізм) для розробки або модифікації політики інформаційної
безпеки залежить від організації. Це може бути пов’язано зі збільшенням
розміру організації, що вимагає письмової політики безпеки для заміни
неофіційних інструкцій, для виконання договірних зобов’язань або у
відповідь на порушення. Незалежно від причин її розробки, в кінцевому
рахунку політика повинна бути затверджена виконавчим керівництвом, а в
деяких випадках і радою директорів, якщо організація досить велика.
Після того як організація визначила потребу, існує кілька способів
почати розробку політики. Один із найпростіших методів – завантажити
безкоштовний шаблон політики, доступний у різних організаціях безпеки, а
потім налаштувати політику відповідно до вашої організації. Також часто
організації залучають консалтингову компанію з питань безпеки, щоб
допомогти їм у розробці політики.
Незалежно від того, як ви підходите до політики вашої компанії,
важливо також порівнювати та протиставляти політику компанії з політикою
інших організацій. Можуть існувати теми чи ризики, які ви раніше не
розглядали, які впливають на елементи політики.
Не всі політики однакові. Найкраще використовувати чітку та стислу
мову в політиці, яку легко зрозуміти. Іншими словами, спробуйте обмежити
формалізм і технічні терміни, які пронизують багато політик. При цьому
важливо розуміти, що політика інформаційної безпеки організації є
юридичним документом, який ви можете надати співробітникам, клієнтам, а
в деяких випадках і суду.
У поєднанні з будь-якими законами чи нормативними вимогами, які
можуть діяти в організації, важливо залучати бізнес-лідерів до розробки
політики. Якщо політика є надто суворою, це може погіршити здатність
працівників вести бізнес, що, у свою чергу, зашкодить організації. Добре
розроблена політика повинна враховувати всі ризики, з якими може
зіткнутися бізнес. Це живий документ, який слід регулярно оновлювати
відповідно до того, як змінюються бізнес, технології, середовище та ризики
на підприємстві. Коли ідентифікують нові ризики, важливо, щоб ваша
політика чітко вказувала, коли повідомляти про інцидент і кому повідомляти
про інцидент. Не всі інциденти вимагають судових дій, тому необхідно, щоб
політика передбачала, коли повідомляти правоохоронним органам, а коли
повідомляти лише внутрішньому персоналу.
Для підтримки політик, розроблених вашою організацією, важливо
створити документи про процеси та процедури, які дуже чітко пояснюють, як
організація реалізує різні функції безпеки. Це «інструкції», якими
користуються системні адміністратори та співробітники компанії, тому вони
мають містити необхідні кроки для впровадження та забезпечення
дотримання політик. Вони мають бути достатньо конкретними, щоб будь-
який користувач, який, як очікується, слідкував за ними, міг це зробити,
незалежно від своїх технічних знань. Якщо потрібен заздалегідь визначений
рівень технічної майстерності, це має бути чітко зазначено. Наприклад,
процедура обробки даних, призначена для використання системними
адміністраторами, може передбачати, що адміністратори знайомі з
платформою, яку вони підтримують; однак подібна процедура, розроблена
для працівників маркетингу та продажів, які мають менше технічних знань,
може потребувати більш глибоких, детально розписаних і чітких кроків.
Стиль і зміст цих документів також значно відрізнятимуться між
комерційними організаціями та державними органами. Зазвичай
документи, що стосуються військових або подібних відомств, наприклад
екстрених служб, мають більш інструкційний характер, ніж документи для
стандартних підприємств. Іншими словами, ви повинні розуміти свою
цільову аудиторію та відповідним чином адаптувати процеси та процедури.
Розробка процесу та процедури здійснюється майже так само, як і
розробка політики. Багато організацій зі стандартизації, наприклад NIST або
CIS, мають попередньо визначені процедури або стандартні документи, які
можна використовувати як відправну точку, а потім адаптувати їх відповідно
до вашої організації. Певні організації матимуть певні типи стандартів, яким
вони мають відповідати. Крім того, ви можете залучити консультантів, які
допоможуть визначити процедури чи оптимізувати бізнес-процеси, щоб
привести їх у відповідність із певною політикою. Незалежно від підходу,
завжди доцільно порівняти та зіставити політику з іншими організаціями,
щоб побачити, як вони впроваджують інструкції з інформаційної безпеки.
Багато організацій, як комерційних, так і державних, публікують свою
ключову політику в Інтернеті, щоб дати можливість потенційним
користувачам їхніх послуг зрозуміти та отримати впевненість у тому, як
організація керує інформацією.
Як і політики, на яких вони базуються, процеси та процедури є живими
документами. Якщо політика змінюється у світлі нових ділових,
технологічних чи екологічних змін, то так само повинні змінюватися процеси
та процедури. Політика, яка оновлює стан безпеки підприємства перед лицем
нових загроз і ризиків, марна, якщо її не втілити на практиці через
процедурну документацію.

При
клад документа Політики
 Рисунок 1.3: Приклад документа процесу

Теми для включення в політику безпеки та процедури

Усі політики та процедури інформаційної безпеки містять теми,
специфічні для організації та її вимог. Однак існує рекомендований
перелік тем, які має включати ваша документація щодо політик безпеки та
процедур. Розробляючи документацію, переконайтеся, що ви отримали
схвалення та згоду від вищого керівництва на наступне:
 Сфера дії політики
 Класифікація інформації
 Цілі безпечної обробки інформації
 Як інші політики управління пов’язані з політикою безпеки
 Посилання на підтверджуючі документи
 Конкретні інструкції щодо вирішення питань безпеки
 Особа або група з визначеними обов'язками
 Відомі наслідки недотримання політики безпеки
 Кращі практики
Документи безпеки, які містять попередні теми, допоможуть знизити
загальний ризик. Крім того, ви повинні підтримувати розробку політик і
процедур, які містять найкращі практики, перелічені нижче. Зауважте, що
організація не обов’язково зможе або не повинна включити всі ці практики в
процес управління ризиками.
Реагування на інциденти: визначає вимоги до моніторингу,
реагування та звітності щодо інцидентів, які включають порушення безпеки
або підозрювані порушення. Загалом цей набір політик вимагає відповіді на
всі інциденти та ймовірні інциденти протягом визначеного періоду часу та
відповідно до ієрархії звітності, яка може залежати від серйозності
інциденту. І обізнаність у сфері безпеки, і навчання відіграють важливу роль
у реагуванні на інциденти, так що особа, чиї основні ролі виходять за межі
інформаційної безпеки, знає, до кого та куди звертатися щодо різних рівнів
інцидентів, причому служба обслуговування або довідкова служба є першою
лінією в ієрархії звітування. Без своєчасного звітування потрібним людям
буде набагато важче знизити ризик порушення безпеки, що завдасть шкоди
вашому підприємству.
Криміналістичні завдання: дослідити, звідки почалося порушення, як
могло статися порушення та хто міг бути відповідальним за порушення.
Політика криміналістичної експертизи повинна включати інформацію про те,
кого потрібно повідомляти, коли потрібна судова експертиза, за яких умов
вона потрібна та як зв’язатися з особами, відповідальними за ці обов’язки.
Важливо залучити юридичного консультанта до формулювання політики
криміналістичної експертизи, щоб за необхідності можна було включити
відповідні правові вказівки.
Розподіл обов'язків: стверджує, що ніхто не повинен мати занадто
багато влади чи відповідальності. Обов’язки та відповідальність слід
розподілити між людьми, щоб запобігти етичним конфліктам або
зловживанню владою. Такі обов’язки, як авторизація та схвалення,
проектування та розробка, не повинні покладатися на одну й ту саму особу,
оскільки цій особі було б надто легко обдурити або іншим чином завдати
шкоди організації. Наприклад, працівнику було б легше переконатися, що
організація використовує лише певне програмне забезпечення, яке містить
уразливості, якщо він є єдиним, хто відповідає за це. У багатьох типових ІТ-
відділах ролі оператора резервного копіювання, оператора відновлення та
аудитора призначаються різним людям.
Ротація роботи: стверджує, що жодна особа не залишається на
життєво важливій посаді надто довго. Обертання окремих осіб на посадах,
таких як адміністратор брандмауера чи спеціаліст із контролю доступу,
допомагає організації гарантувати, що вона не буде надто міцно прив’язана
до однієї особи, оскільки життєво важливі інституційні знання поширюються
серед довірених співробітників. Ротація робочих місць також допомагає
зменшити ризик зловживання людьми своєю владою та привілеями, а також
запобігає змові між працівниками.
Обов’язкова відпустка: метод запобігання шахрайству, який дає вам
можливість переглянути діяльність співробітників. Типова політика
обов’язкових відпусток вимагає, щоб працівники брали принаймні одну
відпустку на рік із кроком у повний тиждень, щоб вони були відсутні на
роботі принаймні п’ять днів поспіль. За цей час ваші відділи корпоративного
аудиту та безпеки мають час, щоб дослідити та виявити будь-які
невідповідності в діяльності співробітників. Коли працівники розуміють
безпеку політики обов’язкових відпусток, ризик шахрайства зменшується.
Найменший привілей: вимагає, щоб користувачі або системи мали
лише мінімальний рівень доступу, необхідний для виконання покладених на
них обов’язків. Цей рівень мінімального доступу включає засоби,
обчислювальне обладнання, програмне забезпечення та інформацію. Коли
користувачеві або системі надається доступ, цей доступ має бути лише на
рівні, необхідному для виконання необхідних завдань. Якщо ви надаєте
користувачеві або системі доступ, який перевищує той, що їм потрібно, то це
ще один вектор, який можна використати для компрометації вашої
організації.
Процедури працевлаштування та звільнення: визначає процедури
прийому на роботу та звільнення, коли працевлаштування починається та
закінчується відповідно. Правильна адаптація передбачає привчання нових
співробітників до практик безпеки, яких ви очікуєте від них. Це гарантує, що
в угоді буде передбачено відповідальність. Подібним чином, коли працівник
залишає організацію, ви повинні встановити процес виходу з організації.
Звільнений працівник повинен погодитися відмовитися від будь-якого
доступу до систем компанії, даних і фізичного обладнання. У деяких
випадках звільнення працівника може поставити секрети вашої компанії під
загрозу витоку. Щоб підготуватися до цього, ваша політика має визначати,
коли ви повинні застосовувати угоди про нерозголошення (NDA).
Постійний моніторинг: описує, які механізми та інструменти
використовуються для постійного моніторингу систем на наявність змін, які
можуть збільшити ризик для підприємства. Ця практика також точно
визначає, які події та середовища слід контролювати на основі попереднього
аналізу ризиків. Деякі політики включатимуть положення щодо постійного
вдосконалення, щоб підприємство могло взяти на себе активну роль у
вирішенні виявлених ризиків.
Навчання та підвищення обізнаності користувачів: без комплексної
освіти атаки на користувача (такі як соціальна інженерія) будуть основним
джерелом ризику для організації. Окрім навчання користувачів про
невід’ємні ризики використання технологій, важливо також навчити їх
політикам і процедурам, необхідним для безпечної роботи в системах
організації. Навчання також має враховувати типи доступу та ролі, які мають
працівники. Наприклад, ви б не навчали продавця ризикам атак SQL-ін’єкцій,
але ви б навчили розробників свого веб-сайту цій темі. Спеціальні навчальні
механізми можуть варіюватися від нагадувань через повідомлення на екрані
під час входу в систему, через паперові брошури на столах співробітників
або в зонах загального користування, до навчання конкретним елементам
операцій підприємства (пристрої, програмне забезпечення, безпека будівлі
тощо).
Вимоги до аудиту та частота: визначає типи аудитів, які проводяться,
хто проводить ці аудити та як часто вони проводяться, а також чітко визначає
повноваження для усунення проблем аудиту, виявлених у процесі. Політики
аудиту зазвичай включають положення про тригери подій, які базуються на
оцінці ризиків підприємства. Політика аудиту також повинна визначати
вимоги до аудиту для ділових партнерів і субпідрядників, які повинні бути
включені в усі контракти з третіми сторонами, які можуть мати вплив на
загальну безпеку організації.
Класифікація інформації: інформацію слід класифікувати відповідно
до її чутливості та критичності для ділових операцій. Це дає змогу визначати
пріоритети методів захисту даних і застосовувати ці засоби захисту щодо
конфіденційності, цілісності та доступності (CIA, confidentiality, integrity, and
availability) цих даних. Дані можна розділити на такі категорії:
загальнодоступні, приватні, обмежені та конфіденційні, що задовольнять
потреби більшості організацій, але ви можете створити власну схему
категоризації, якщо вона не підходить (наприклад, в Україні прийнято ділити
дані на публічну інформацію (яка не становить таємниці) і конфіденційну
інформацію – особливої важливості, цілком таємну і таємну).

Інтеграція документації в управління ризиками (частина 2)

Ця лекція є продовженням інтеграції документації в управління
ризиками (частина 1). Розглянемо найкращі практики, політики та
процедури, необхідні для інтеграції документації в управління ризиками в
організації.
 Типи політик безпеки
Нижче наведено приклади загальних політик безпеки, які можна
знайти в багатьох організаціях.

Політика реагування на інциденти: визначає правила реагування на

інциденти безпеки до, під час і після їх виникнення. Ці політики зазвичай
відображають інформацію про те, хто відповідає за вирішення конкретних
аспектів інциденту, наприклад стримування атак і повідомлення деталей
зацікавленим сторонам. Вони також містять інформацію про ресурси, які
доступні для реагування на інциденти.
Політика прийнятного використання: визначає набір правил і
обмежень щодо того, як різноманітні внутрішні та зовнішні зацікавлені
сторони можуть поводитися щодо активів організації. Ці політики зазвичай
окреслюють загальні або конкретні дії, які, на думку організації, зменшать,
збільшать або не вплинуть на ризик. У більшості випадків від зацікавлених
сторін очікується дотримання політики прийнятного використання, і, якщо
вони порушують будь-яку з її умов, до них можуть бути застосовані
покарання (наприклад, звільнення).
Політика керування обліковим записом: описує обов’язки
адміністраторів щодо забезпечення безпеки різноманітних ідентифікаційних
даних і підтримки бізнес-цілей. Такі політики визначають очікувану
поведінку щодо того, як створюється, змінюється та видаляється
ідентифікаційна інформація зовнішнього або внутрішнього користувача
щодо організаційних систем.
Політика паролів: часто ця політика є підмножиною політики
керування обліковим записом, яка визначає правила створення та підтримки
облікових даних користувачами. Зазвичай встановлюються такі обмеження,
як мінімальна кількість символів у паролі, необхідний рівень складності
пароля та частота зміни паролів. Політика паролів призначена для того, щоб
зменшити ризик спроб злому пароля.
Політика володіння даними: описує, як інформація в організації
призначається «власникам» – тобто персоналу, який остаточно відповідає за
безпеку цієї інформації та доступ до неї лише уповноваженим особам. Ці
типи політик допомагають організації гарантувати, що всі дані
обліковуються та що кожен власник розуміє, що від нього очікується.
Політика класифікації даних: визначає, як організація вирішує
класифікувати різні рівні конфіденційності даних. Організація може
сортувати свої заходи безпеки на основі того, які дані становлять найбільший
ризик у разі їх витоку чи підробки.
Політика збереження даних: визначає, як і коли організація повинна
зберігати дані у своїх системах, а також як і коли організація має видаляти ці
дані. Це особливо важливо, якщо організація обробляє ідентифікаційну
інформацію (Personally Identifiable Information, PII) або захищену
інформацію про здоров’я (Protected Health Information, PHI), яка часто
підпадає під нормативні та юридичні обмеження.

Типи процедур
Нижче наведено приклади загальних процедур безпеки, які можна
знайти в багатьох організаціях.
Видобуток доказів: щоб підтримати процес судового розслідування,
коли це необхідно після інциденту безпеки, організація повинна розробити
процедури для збору та надання доказів. Залежно від обставин інциденту ці
докази можуть зберігатися всередині компанії, але їх також може
знадобитися надати третій юридичній особі. Процедури повинні гарантувати,
що докази підтримують цілісність і підтверджуються на кожному етапі
процесу, щоб їх актуальність і точність не могли бути поставлені під сумнів.
 Виправлення: дослідники безпеки, групи розробників і зловмисники
постійно виявляють нові вразливості програмного забезпечення, навіть якщо
це програмне забезпечення існує роками. Таким чином, виправлення є
життєво важливою процедурою, яка запобігає використанню цих
уразливостей зловмисником. В організації процедури виправлення часто не
є простим натисканням кнопки оновлення чи навіть автоматизованим
процесом. Службі безпеки та іншому персоналу може знадобитися ретельно
перевірити виправлення, перш ніж вони надішлють їх у робочі системи,
переконавшись, що зміни в програмному забезпеченні не вплинуть на роботу
негативно.
Розвиток компенсаційного контролю: компенсаційний контроль – це
захід безпеки, який використовується для зменшення ризику, коли основний
контроль безпеки не працює або не може повністю відповідати очікуванням.
Наприклад, основним контролем може бути те, що хост генерує сповіщення
для адміністратора, коли виявляє підозрілу поведінку, як-от повторні невдалі
спроби входу. Однак існує ймовірність, що сповіщення не дійде до
адміністратора з будь-якої причини або що хост взагалі не попередить про
дію. Таким чином, перегляд журналів вручну, таких як системний
журнал/журнали подій, журнали автентифікації та журнали брандмауера, є
компенсаційним контролем, оскільки людина може помітити підозрілу
поведінку, яку автоматизована система не помітила. Ви також можете
розробити компенсаційні елементи керування для підтримки первинних
елементів керування, а не просто замінити їх у разі необхідності. Наприклад,
залучення до аналізу даних може допомогти зміцнити існуючий інструмент
або систему. Співробітники служби безпеки можуть виконувати аналіз
тенденцій і історичний аналіз, щоб передбачити майбутню поведінку певної
системи, яку статичний інструмент може бути не в змозі передбачити, а
також персонал може збирати в одне ціле та співвідносити дані, щоб надати
інструменту повнішу перспективу подій.
 Контрольні процедури тестування: так само, як тестування патчів
(виправлень), організаціям може знадобитися окреслити процедури
тестування запланованих або існуючих засобів контролю безпеки. Ці
процедури мають перевірити ефективність контролю щодо зниження ризику
та зважити це проти його вартості. Процедури тестування контролю краще
виконувати не один раз, а постійно, щоб ви могли визначити, коли засіб
керування відстає від сучасних технологій або коли він більше не відповідає
мінливим потребам бізнесу.
Планування виправлення: коли оцінка безпеки або інший огляд
визначає проблемні області в організації, має бути розроблений план
усунення цих проблем. Плани виправлення зазвичай включають кроки з
видалення або призупинення роботи системи на час усунення помилки; це
має бути зроблено таким чином, щоб максимально уникнути збоїв. Плани
виправлення можуть також включати загальні кроки для реалізації самого
виправлення, припускаючи, що це відоме рішення. В іншому випадку план
може потребувати надання більш узагальнених кроків для нового та
неперевіреного рішення.
Управління винятками: у цьому контексті винятком є будь-яка
обставина, яка ускладнює для організації виконання стандартних процедур
усунення. Наприклад, організація може мати застаріле програмне
забезпечення, яке є невід’ємною частиною бізнес-операцій. Оцінка безпеки
визначає кілька вразливостей в інтерфейсах прикладного програмування
(API) і бібліотеках, які він використовує. Зазвичай коригувальною дією буде
лише оновлення цих API та бібліотек, але це, по суті, порушить застарілу
програму. Переписування коду в застарілій програмі, щоб вона працювала з
цими оновленнями, теж не зовсім здійсненне. Це виняток із процесу
відновлення.
Суворі процедури керування винятковими ситуаціями передбачатимуть
подібні проблеми та інструктуватимуть персонал щодо найкращих дій. У
наведеному вище прикладі працівникам служби безпеки знадобиться план,
щоб повідомити керівникам вищого рівня про їхній вибір: або прийняти
ризик, або відмовитися від застарілої програми та шукати нове рішення.
План керування винятковими ситуаціями також може надати персоналу
служби безпеки компенсаційні засоби контролю, які не зовсім пом’якшують
ризик, але принаймні дещо його зменшують або переносять в інше місце
(страхування ризику).

Документи підтримки бізнесу

Існує кілька поширених типів ділових документів, з якими спеціалісти
із забезпечення інформації повинні стикатися під час виконання своїх
звичайних обов’язків. Багато з них зосереджені на ділових партнерствах і
альянсах. Оскільки всі організації ведуть бізнес з іншими організаціями,
існує багато типів спільних угод, які використовуються для регулювання
цих відносин. Деякі з цих угод конкретно стосуються безпеки, управління
ризиками та реагування на інциденти, тоді як інші можуть включати їх у
другорядному порядку або не включати їх зовсім.

Генеральна угода про надання послуг (Master Service Agreement,

MSA): закладає основу для будь-яких майбутніх ділових документів, які
можуть узгодити дві сторони. Метою MSA є прискорення процесу укладання
угоди в міру розвитку відносин між кожним діловим партнером. Організації
можуть використовувати MSA, щоб усунути надмірності, які виникають,
коли організації-партнери укладають кілька угод, подібних до перелічених у
решті таблиці.
 Заява про застосовність (Statement of Applicability, SOA): визначає
засоби контролю, які існують в організації, і пояснює їх призначення.
Оскільки SOA визначають, чому використовується той чи інший засіб
керування, вони часто знаходяться під прямим впливом висновків, зроблених
під час оцінки ризику. SOA має посилатися на політику та процедури, які
використовуватимуть визначені засоби контролю. Може бути корисним не
лише пояснити, чому було включено певний елемент керування, але й
пояснити, чому певні елементи керування було виключено.
Аналіз впливу на бізнес (Business Impact Analysis, BIA): Визначає
поточні організаційні ризики та визначає вплив на поточні, критично важливі
для бізнесу операції та процеси, якщо такі ризики дійсно виникають. BIA
містить оцінки вразливості та оцінки для визначення ризиків та їх впливу.
BIA має включати всі фази бізнесу, щоб забезпечити надійну стратегію
продовження бізнесу.
Угода про оперативну сумісність (Interoperability Agreement, IA):
загальний термін для будь-якого документа, який описує ділове партнерство
або співпрацю, у якому всі організації обмінюються деякими ресурсами під
час спільної роботи.
Угода про безпеку взаємозв’язку (Interconnection Security
Agreement, ISA): спрямована на інформаційні системи партнерських
організацій, щоб гарантувати, що використання міжорганізаційних
технологій відповідає певним стандартам безпеки для CIA. Оскільки вони
зосереджені на безпеці, ISA часто пишуться як юридично обов’язкові. ISA
також можуть підтримувати меморандуми про взаєморозуміння для
підвищення життєздатності їх безпеки. NIST надає спеціальну публікацію
800-47 для розробки плану взаємозв'язку під назвою Керівництво з безпеки
для взаємозв'язних систем інформаційних технологій.
Меморандум про взаєморозуміння (Memorandum of Understanding,
MOU): зазвичай не має обов’язкової юридичної сили та зазвичай не
передбачає фінансових зобов’язань. Меморандум про взаєморозуміння є
менш формальним, ніж традиційні контракти, але все ж має певну важливість
для всіх залучених сторін. Зазвичай вони вводяться як спосіб виразити
бажання всіх сторін досягти тієї самої мети узгодженим способом. Документ
може містити довідкову інформацію про кожну організацію; історія відносин
між двома організаціями та обставини, які призвели до партнерства; і
загальний або конкретний графік для спільної ділової діяльності. Оскільки
вони зазвичай не мають правової основи, меморандуми про взаєморозуміння
не є найбезпечнішою угодою для партнерства.
Угода про рівень обслуговування (Service-Level Agreement, SLA):
чітко визначає, які послуги мають надаватися клієнту та яку підтримку, якщо
така є, буде надано. Послуги можуть включати все: від обладнання та
програмного забезпечення до людських ресурсів. Сильний SLA окреслить
основні очікувані послуги для цілей відповідальності. Документ може
містити часові рамки, протягом яких несправності будуть виправлені або
обслуговуватися, гарантії безвідмовної роботи або, у випадку мережевого
провайдера, гарантії швидкості завантаження та завантаження даних.
Угода операційного рівня (Operating-Level Agreement, OLA):
виявляє та визначає робочі відносини між групами або підрозділами
організації, оскільки вони розподіляють відповідальність за виконання однієї
чи кількох угод SLA зі своїми внутрішніми чи зовнішніми клієнтами.
Угода про нерозголошення (Non-Disclosure Agreement, NDA): угода
між організаціями, яка передбачає, що вони не будуть ділитися
конфіденційною інформацією, знаннями чи матеріалами з неавторизованими
третіми сторонами. У NDA також зазвичай вказується, у яких випадках, якщо
такі є, дані можуть бути використані або оброблені суб’єктом-одержувачем.
Для даних, отриманих із відкритих джерел, NDA не підлягає виконанню.
Угода про ділове партнерство (Business Partnership Agreement,
BPA): визначає, як буде здійснюватися партнерство між суб’єктами
господарювання та що саме очікується від кожного суб’єкта з точки зору
послуг, фінансів і безпеки. З міркувань безпеки BPA має точно описувати,
чим партнери готові ділитися один з одним, і як оброблятиметься будь-який
міжорганізаційний доступ.
Примітка. Прикладом стандарту з’єднання є Код з’єднання PSN (Code
of Interconnection, CoICo). Цей урядовий стандарт Великобританії
застосовується до послуг підключення, які надають комерційні
постачальники. Стандарт можна знайти за адресою
https://www.gov.uk/government/publications/psn-code-of-interconnection-coico .

Невиконання
Недотримання певних ділових документів, особливо тих, які мають
юридичну силу, може призвести до серйозних покарань для організації чи
особи. Наприклад, припустімо, що ваша організація має ISA з іншою
організацією. Якщо ваша безпека надто сильно відхиляється від вимог, з
якими ви погодилися в ISA, і станеться порушення, ваша організація не лише
нестиме відповідальність за порушення, але й суб’єкт господарювання, з
яким ви співпрацюєте, також може подати позов проти вашої організації. Це
може призвести до великих штрафів, які серйозно вплинуть на бізнес-
операції та прибутковість. Ви можете нести значну відповідальність навіть за
юридично необов’язкові угоди. Негативні наслідки часто більш
нематеріальні. Ваша організація може втратити повагу в очах зацікавлених
сторін і потенційних партнерів, що може вплинути на її репутацію на ринку.
Навіть фізичні особи можуть бути притягнуті до відповідальності за
невиконання, особливо таких документів, як NDA. Якщо ваш роботодавець
змусить вас підписати NDA і ви розголошуєте конфіденційну інформацію
неавторизованим сторонам, ви можете втратити роботу та отримати позов
про відшкодування збитків.
 Дотримуйтесь цих вказівок під час інтеграції документації у ваші
стратегії ERM:
Завантажте безкоштовні шаблони політики, щоб спростити створення
політики.
Розгляньте можливість найняти консультанта, якщо ваша організація
не може підтримувати внутрішню розробку політики.
Використовуйте пряму, стислу мову та уникайте юридичного жаргону
в політиках.
Залучайте бізнес-лідерів до розробки політики та переконайтеся, що
виконавче керівництво схвалює політику перед тим, як її застосовувати.
Підтримка політики з чітко визначеними процесами та процедурами.
Зробіть процеси та процедури легкими для дотримання та пристосуйте
їх до технічних можливостей вашої аудиторії.
Порівняйте політику, процеси та процедури з політиками інших
організацій.
Розглядайте політики, процеси та процедури як живі документи, які
можуть змінюватися в міру розвитку бізнесу та технологій.
Включіть найкращі практики, такі як ротація робочих місць,
обов’язкові відпустки та навчання користувачів, у свою політику на основі
конкретних вимог підприємства.
Залучайте HR, юрисконсультів, керівництво та інші організації до
процесу розробки політики, щоб отримати унікальні перспективи.
Переконайтеся, що політика містить положення щодо відповідності
законодавству та нормам.
 Визначте будь-яку конфіденційну ідентифікаційну інформацію, яку
обробляє ваша організація.
Відверто повідомляйте своїм клієнтам, як і з якою метою
використовуватиметься їхня ідентифікаційна інформація.
Порадьте своїх клієнтів щодо найкращих практик збереження
конфіденційності.
Розробіть план безперервності бізнесу (business continuity plan, BCP),
щоб підтримувати повсякденну роботу в разі інциденту.
Визначте в BCP, які компоненти знаходяться під загрозою та як їх слід
зберігати в безпеці.
Перевіряйте свій BCP і перевіряйте його регулярно.
Визначте різноманітні ділові документи та угоди, які стосуються
потреб вашого підприємства.
Використовуйте таку угоду, як SLA, у будь-якому партнерстві, яке
потребує надійної безпеки та юридичної та фінансової відповідальності.

Оцінка ризику
Оцінка ризику використовується для виявлення, аналізу та обчислення
ризиків. Вона виконується для ідентифікації будь-яких інформаційних
активів, які можуть стати ціллю кібератаки: апаратне забезпечення,
програмне забезпечення, дані клієнтів та інтелектуальну власність. Після
визначення типів даних оцінка ризику визначить типи ризиків, пов’язані з
кожним типом ідентифікованого ризику. Потім буде запроваджено засоби
контролю, щоб запобігти виникненню будь-якого із зазначених ризиків. Цей
процес буде постійним циклом, який слід виконувати регулярно, оскільки
система та активи організації постійно змінюватимуться.

Під час проведення оцінки ризику необхідно враховувати такі речі:

 Яка є загроза ?
  Чи вразлива система до цієї загрози?
 Як цей ризик вплине на організацію (репутаційні або матеріальні
збитки)?

Використовуючи цю просту структуру, можна розробити

високорівневий розрахунок кіберризику:

Кіберризик = Загроза × Вразливість × Цінність інформації

Види оцінки ризиків

Після того, як усю цю інформацію, згадану вище, буде зібрано, ви
можете розпочати розробку плану оцінки ризиків для задоволення потреб
конкретного тесту. Існує кілька різних типів оцінки ризику, які залежатимуть
від типу організації, з якою ви маєте справу, та її цілей.

 Юридичний ризик (ризик комплаєнсу або ризик дотримання

норм) ґрунтується на порушеннях законодавства, зокрема законів, правил і
нормативних актів, або, з іншого боку, на внутрішніх політиках або бізнес-
стандартах певної організації.
 Репутаційний ризик – це будь-який вид негативної реклами,
суспільного сприйняття або будь-яка неконтрольована подія, яка може
вплинути на репутацію організації.
 Трансакційний ризик – це будь-який ризик, пов’язаний із
наданням послуг або продукту. Наприклад, це може бути пов’язано з
коливаннями курсу іноземної валюти на продукт, продаж якого завершено,
але ще не розраховано.
 Стратегічний ризик – це все, що може статися внаслідок бізнес-
рішень, прийнятих працівниками на основі бізнес-цілей. Це можна
розглядати як ризик недосягнення цих цілей.
 Операційний ризик – це будь-яка зміна в бізнес-процесах,
людях, системах або зовнішніх подіях, які можуть завдати збитків
організації.

*Розділення ризиків на дані категорії не є універсальним,

згідно з різними класифікаціями можна виділити ще багато
інших видів ризиків (екологічні, фінансові тощо).

Крім цього, існує 2 типи методів оцінки ризиків, які можна виконати.

Кількісний: це аналіз ризиків з найвищим пріоритетом, який

використовує числову рейтингову систему для визначення їхньої
ймовірності. Це оцінить результат певного процесу за ймовірністю того, що
він дійсно досяжний і досягає бізнес-цілей. Це може бути корисно під час
спроби оцінити рішення, коли є певна невизначеність щодо теми, і це може
створити реалістичну та досяжну вартість, графік або цільовий обсяг.

Якісний: це найпоширеніший тип оцінки ризику. Він базується на

судженні оцінювача (експерта). Оцінювачем зазвичай є людина з досвідом у
цій галузі, яка зможе використовувати власні судження та знання для оцінки
та аналізу ризиків.

Документування
Оцінка ризиків буде основою стратегії управління ризиками для
організації, тому це фундаментальна частина процесу. Нижче наведено
кроки, які ви можете виконати під час проведення оцінки ризику.
 1. Будьте в курсі системи: що це таке, що вона робить, хто нею
користується тощо.
2. Визначте загрози: несанкціонований доступ, неправомірне
використання інформації, витік даних, втрата даних або порушення роботи
служби.
3. Визначте ризик і вплив ризику: ризик матиме високий, середній
чи низький вплив на систему?
4. Проаналізуйте контрольне середовище: ви можете зробити це,
переглянувши кілька категорій інформації та оцінивши середовище. Ви
шукаєте все, що може допомогти запобігти загрозам, будь-яку форму
пом’якшення, процеси виявлення або будь-який тип контролю, який можна
використовувати для виявлення загроз у системі. Знову ж таки, кожен з цих
засобів можна категоріювати згідно з такими категоріями: задовільний,
задовільний із рекомендаціями, потребує покращення, невідповідний.
5. Визначте оцінку ймовірності: визначте, наскільки ймовірна
кожна подія, проаналізувавши засоби контролю, які ваша організація має на
місці для запобігання цим проблемам. Це також можна класифікувати на
високий, середній і низький рівень ймовірності.
6. Нарешті, ви зможете розрахувати рейтинг ризику:

Вплив (якщо експлуатується) * Імовірність (експлойту в оцінюваному

контрольному середовищі) = Рейтинг ризику

Наприклад: є ризик порушення доступності інформації, якщо

зловмисники перехоплять керування і змінять логіни та паролі облікових
записів. Це може призвести до матеріальних збитків розміром 1 000 000 грн.
Ймовірність реалізації даного ризику складає 2%.

Рейтинг1=1 000 000*0,02=20 000

Крім того існує ризик порушення цілісності і конфіденційності

інформації, якщо зловмисник зможе отримати доступ до неї. Це призведе до
матеріальних збитків розміром 500 000 грн, ймовірність реалізації такого
ризику 10%.

Рейтинг2= 500 000*0,1=50 000

Таким чином ризик 2 має вищий рейтинг, ніж ризик 1, і потребує

першочергового опрацювання.

Є багато корисних документів для оцінки ризиків, але

найпоширенішим є реєстр ризиків. Реєстр ризиків використовується для
документування ризиків і дій, необхідних для управління ними. Це життєво
важлива частина успішного управління ризиками в організації. Це допомагає
вести облік усіх виявлених ризиків разом із способами їхнього керування,
пом’якшення чи реагування на них.

Реєстр ризиків зазвичай міститиме такі відомості:

 Дата виявлення ризику

 Назва ризику
 Власник ризику (той, хто відповідає за керування цим ризиком)
 Реакцію на ризик (що робити, якщо ризик реалізувався)
 Опис ризику
 Ймовірність реалізації ризику
 Потенційний вплив ризику (матеріальні, моральні збитки, їх
кількісна або якісна оцінка)
 Рейтинг ризику

Інша документація:

 Політика ризиків
 План пом’якшення (покращення, зменшення) ризиків
 План комунікації ризиків
 План реагування на ризики
  Процес ризику

Реєстрація ризику
Розглянемо вміст реєстру ризиків і побачимо, для чого його можна
використовувати.

Публікація Міжнародної організації зі стандартизації (ISO) 73:2009

«Управління ризиками — Словник» визначає реєстр ризиків як:

запис інформації про виявлені ризики.

Від Recipro City Labs

Реєстр ризиків може бути представлений у кількох форматах,

включаючи електронну таблицю, таблицю або список на інформаційній
панелі. Ризики можна класифікувати за рейтингом:

 Серйозний: термінова загроза для організації та зменшення

ризику або виправлення мають бути негайними.
 Підвищений: для організації існує обґрунтована загроза, яку слід
усунути в прийнятний час.
 Низький: загроза має досить низький рейтинг і зазвичай
прийнятна, що все ще може становити ризик для організації. Можливо,
знадобиться запровадити додаткові процедури безпеки, щоб запобігти
подальшій загрозі.

Після виконання кроків, згаданих у попередніх цілях, ви повинні мати

знання та зібрану інформацію для заповнення реєстру ризиків. Кожен
ідентифікований вами ризик слід помістити в реєстр ризиків разом із усією
необхідною інформацією, щоб ви могли розрахувати рейтинг ризику та
зробити наступний крок для захисту організації (як зазначено в попередній
меті).

Кроки :
 Базовий приклад
Нижче наведено приклад реєстру ризиків, взятий із Tyler Cybersecurity .
Його завершено та внесено всю відповідну інформацію залежно від
виявленого ризику.

 Виявлена загроза 1: несанкціонований доступ буде мати

високий вплив, оскільки якщо це станеться, це може спричинити багато
ризиків для системи. Імовірність цього також висока. Через те, що обидві ці
категорії оцінюються як високі, ризик вважається серйозним, що дає вам
зрозуміти, що це вимагає негайних дій. За даними PurpleSec у 2020 році
Magellan Health постраждала від атаки програм-вимагачів і витоку даних,
згідно з якими 365 000 пацієнтів постраждали від складної кібератаки.
 Виявлена загроза 2: зловживання інформацією шляхом
несанкціонованого доступу матиме великий вплив, оскільки критично
важливо, якщо будь-яка конфіденційна інформація доступна будь-кому, хто
не повинен мати до неї доступу. Імовірність цього вважається середньою. Це
означає, що це не зовсім неможливо, але якщо в організації є правильні
процедури безпеки в певних місцях, шансів на це буде менше. Через це
розраховане значення становить 50, а розрахунок ризику підвищений. Це
означає, що він вимагає дій, але не таких негайних, як попередній ризик.

Виявлена загроза 6: порушення роботи служби або продуктивності

матиме значний вплив, якщо організації потрібна ця служба для
функціонування, тобто доступ до файлів у спільному мережевому ресурсі або
в онлайн-магазині. Вплив є високим, оскільки деякі організації не могли б
функціонувати без певних подібних послуг. Імовірність цього вважається
низькою, оскільки зазвичай це трапляється не надто часто. Зазвичай існує
також процедура, якої слід дотримуватися, якщо це станеться, що знижує
пов’язані з цим ризики. Через це розраховане значення є досить низьким, а
остаточний розрахунок ризику є низьким.

Ризик-менеджмент
Ризик-менеджмент – це не автономна діяльність, ізольована від
основних видів діяльності. Ризик-менеджмент є частиною обов’язків
керівництва та невід'ємною частиною всіх організаційних процесів,
включаючи стратегічне планування, проекти і процеси.
Ризик-орієнтоване управління передбачає створення необхідної
культури та інфраструктури бізнесу для:
виявлення причин і основних факторів виникнення ризиків;
ідентифікації, аналізу та оцінки ризиків;
прийняття рішень на основі проведеної оцінки;
вироблення антиризикових керуючих впливів;
зниження ризику до прийнятного рівня;
організації виконання протиризикової програми;
контролю виконання запланованих дій;
аналізу та оцінки результатів.
 Методи реагування на ризики
УХИЛЕННЯ ВІД РИЗИКІВ.
ПРИЙНЯТТЯ РИЗИКІВ.
РОЗПОДІЛ ТА АУТСОРСИНГ РИЗИКУ.
ПОПЕРЕДЖЕННЯ РИЗИКУ.
ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ.

УХИЛЕННЯ ВІД РИЗИКУ

УХИЛЕННЯ ВІД РИЗИКУ передбачає відмову від вчинення певних дій
та прийняття рішень, що характеризуються високим ризиком, зокрема:
від ризикованих інвестиційних та інноваційних проектів;
від послуг ненадійних (сумнівних) партнерів і контрагентів;
від послуг некомпетентних, недобросовісних співробітників;
від прийняття ризикованих рішень;
від здійснення операції, рівень ризику за якими надмірно високий;
від використання у значних обсягах позикового капіталу;
від надмірного використання оборотних активів в низьколіквідних
формах;
від використання вільних грошових активів в короткострокових
вкладеннях
Відмова від ризику дозволяє повністю уникнути можливих втрат, але
позбавляє підприємство додаткових джерел формування прибутку, а
відповідно негативно впливає на темпи його економічного розвитку,
ефективність використання власного капіталу та вільних грошових активів в
короткострокових вкладеннях.
УХИЛЕННЯ ВІД РИЗИКУ повинно здійснюватися дуже виважено за
таких умов: якщо відмова від одного ризику не спричиняє виникнення
іншого ризику вищого рівня; якщо рівень ризику незалежний з рівнем
дохідності операції за шкалою «дохідність-ризик»; якщо втрати за даним
видом ризику перевищують можливості їх відшкодування за рахунок власних
фінансових коштів підприємства; якщо розмір доходу від операції, яка
генерує певні види ризику, є несуттєвим, тобто має невідчутну питому вагу у
формуванні грошового потоку підприємства; якщо операція є нехарактерною
для діяльності підприємства, носить інноваційний характер і за нею відсутня
інформаційна база, необхідна для визначення рівня ризиків та прийняття
відповідних управлінських рішень.

ПРИЙНЯТТЯ РИЗИКУ
ПРИЙНЯТТЯ РИЗИКУ передбачає взяття ризику на свою
відповідальність або його збереження та не передбачає вживання жодних
заходів щодо захисту від нього. Застосовується у випадках, коли рівень
ризику знаходиться на прийнятному рівні, а вплив на нього є неможливим
або економічно неефективним і за умови настання ризику призводить до
втрат.
ПРИЙНЯТТЯ РИЗИКУ Втрати у разі настання ризику можуть
покриватись за рахунок: поточного грошового потоку; отримання кредитів,
позик; державних дотацій; використання додаткових коштів, що вносяться
власниками бізнесу з метою його підтримки; спонсорства; резервування
власних коштів для непередбачених випадків; самострахування.
ПРИЙНЯТТЯ РИЗИКУ може бути запланованим (свідомим) та
незапланованим (несвідомим)
Незаплановане прийняття ризику виникає, якщо: джерело небезпеки не
було виявленим; страхового покриття виявилося недостатньо; третя сторона
не виконала взятих на себе зобов'язань щодо компенсації збитків від ризиків;
втрати виявилися поза рамками пункту контракту про передачу ризику третій
стороні; можливість зниження ризику була проігнорована через низьку
ймовірність його реалізації.
Заплановане прийняття ризику передбачає два підходи до покриття
можливих втрат: покривати втрати по мірі їх виникнення; резервувати певну
суму доходу в кожен період.
 Резервування коштів полягає в тому, що на підприємстві створюються
відокремлені фонди відшкодування збитків за рахунок частини власних
коштів (фінансові резерви, резервні фонди). Залежно від призначення фонди
створюються в формах: натуральна форма – підприємства створюють
страхові запаси сировини, матеріалів та комплектуючих, залишають вільні
потужності, встановлюють додаткові контакти. грошова форма – резервні
грошові фонди створюються головним чином для непередбачених витрат,
пов'язаних зі зміною цін і тарифів, оплатою ризиків, покриттям
кредиторської заборгованості, збитків щодо ліквідації господарського
суб'єкта, збитків від стихійних лих. Найважливішою умовою створення
резервів є визначення необхідного в кожному конкретному випадку обсягу
резервного запасу і порівняння витрат на їх створення з витратами на
страхування.
При резервуванні важливо правильно визначити розмір фонду. Малий
розмір фонду призведе до того, що його буде недостатньо для компенсації
збитків. Велийкий розмір фонду відволікає значні кошти, які не залучаються
в обіг, є мертвим капіталом і не приносять прибутку. Для прийняття
правильного рішення щодо розміру фонду слід враховувати: прийнятний для
підприємства рівень ризику; розміри фонду, достатні для забезпечення
компенсації втрат від збереженого ризику; часовий масштаб накопичення і
функціонування фонду. Періодично розмір фонду повинен переглядатися.
Самострахування полягає в створенні власних страхових фондів,
призначених для покриття збитків, за типом фондів страхових компаній.
Самострахування зазвичай реалізується через створення кептивних
страхових компаній (страхові компанії, які входять в групу нестрахових
організацій (промислових, фінансово-промислових груп тощо) і страхують
ризики всієї групи).
Кептивне страхування ПЕРЕВАГИ дозволяє інвестувати кошти фондів
в межах об'єднаної ділової одиниці; дозволяє зберегти прибуток всередині
групи; дозволяє отримати пільги по оподаткуванню (передбачається
законодавством певних країни); Дозволяє уникнути бюрократичної тяганини
при оформленні страхування. НЕДОЛІК додається новий ризик погіршення
загальних фінансових результатів, пов'язаний з настанням великих,
катастрофічних ризиків.

РОЗПОДІЛ РИЗИКУ
РОЗПОДІЛ РИЗИКУ передбачає розподіл відповідальності за ризик
між підприємством та третіми особам при збереженні його загального
існуючого рівня. Застосовується у випадках, коли вплив на ризик з боку
підприємства є неможливим або економічно не виправданим, а рівень ризику
не є прийнятним для підприємства. СПОСОБИ РОЗПОДІЛУ РИЗИКУ:
1. Шляхом укладання договорів.
2. Через використання диверсифікації.
3. Через організаційну форму бізнесу.

Типи договорів, що використовуються для розподілу ризику:

будівельні контракти; договори на зберігання і перевезення вантажів;
договори на продаж, обслуговування, постачання; договір оренди, лізингу;
договір гарантії та поруки; договір застави майна; договір факторингу;
договір хеджування; договір страхування.
Порука – договір, що застосовується для забезпечення зобов'язань при
взаєминах кредитора як з юридичною так і з фізичною особою.У договорі
поруки фігурують три сторони: принципал – зобов'язується повернути борг;
поручитель – бере на себе відповідальність за виконання зобов'язань
принципала; кредитор – особа, щодо якої укладено договір. Гарантія –
договір, що застосовується для забезпечення зобов'язань при взаєминах між
юридичними особами. При використанні гарантії з гаранта стягується тільки
сума гарантії, спеціально обумовлена в документі про гарантії. Вона може
бути меншою від суми боргу.
Факторинг дозволяє фірмі, що передає свої боргові зобов'язання
фактор-посереднику, отримати гарантію на отримання всіх платежів,
зменшуючи таким чином кредитний ризик підприємства. У факторингових
операціях беруть участь три сторони: фактор-посередник – банк або
організація, що мають ліцензію на здійснення такої діяльності; підприємство-
постачальник; підприємство-покупець.
Хеджування (Hedging) передбачає передачу ризиків, викликаних
несприятливими змінами курсів валют, товарних цін та процентних ставок
шляхом укладання строкових контрактів. Існують два типи операцій
хеджування: хеджування на підвищення; хеджування на зниження.
Хеджування (Heaging) Під строковим контрактом розуміється
контракт, виконання якого за укладеною угодою відкладається на певний
термін. До строкових контрактів відносять: форвардні контракти – взаємне
зобов'язання сторін провести купівлю-продаж товару за заздалегідь
узгодженою (форвардної) ціною в заздалегідь обумовлений термін. ф'ючерсні
контракти – зобов'язання купити або продати певну кількість фінансових
інструментів або товарів за ціною, погодженою у вільному біржовому торзі.
На відміну від форвардних ф'ючерсні контракти можуть укладатись тільки на
біржі. Однією з сторнон таких угод є розрахункова палата біржі. опціон –
право (а не зобов’язання) щось купити або продати за заздалегідь
обумовленою ціною у встановлений термін.
Диверсифікація полягає в дробленні активів, інвестицій між
непов'язаними один з одним об'єктами вкладень, розподіл зусиль між
декількома непов'язаними між собою, видами діяльності («не класти всі яйця
в один кошик»). Форми диверсифікації: диверсифікація діяльності;
диверсифікація портфеля цінних паперів диверсифікація програми реального
інвестування диверсифікація кредитного портфеля диверсифікація
постачальників сировини та матеріалів; диверсифікація ринків збуту;
диверсифікація валютного кошика підприємства; диверсифікація в
банківській системі.
 АУТСОРСИНГ РИЗИКУ
АУТСОРСИНГ РИЗИКУ передбачає покладання відповідальності за
зниження можливості виникнення несприятливих подій на сторонню
організацію (інший суб'єкт). Найчастіше така передача здійснюється на
основі договору. Підприємство концентрується на основних функціях, що
приносять дохід. Для аутсорсерів надання допоміжних функцій є основним
бізнесом, вони вміють ефективно і якісно їх надавати, самі послуги
стандартизуються. Аутсорсери навчилися управляти ризиками допоміжних
функцій, на яких вони спеціалізуються. Для підприємства сотні ризиків
перетворюються в кілька ризиків управління постачальником послуг.

ПОПЕРЕДЖЕННЯ РИЗИКУ
ПОПЕРЕДЖЕННЯ РИЗИКУ передбачає проведення превентивних
заходів, спрямованих на зниження ймовірності настання несприятливої події.
інструменти попередження ризику: заходи, що підвищують надійність
функціонування та поліпшують якісні характеристики підприємства; заходи,
що покращують реакцію підприємства на вплив зовнішнього середовища;
заходи, що дозволяють змінити параметри впливу зовнішнього середовища
на підприємство.
Заходи, що підвищують надійність функціонування та поліпшують
якісні характеристики підприємства: превентивні заходи щодо запобігання
аварій основних технічних засобів; система поточного та капітальний
ремонту техніки; постійний контроль за забезпеченням збереження майна;
система якості; удосконалення системи управління підприємством;
ретельний відбір персоналу; підвищення кваліфікації, рівня освіти
співробітників; впровадження гнучких технологій.
Заходи, що покращують реакцію підприємства на вплив зовнішнього
середовища: вивчення кон'юнктури ринку; маркетингові дослідження;
прогнозування та планування діяльності; впровадження системи
стратегічного управління; використання додаткової інформації для
прийняття рішень; ретельна перевірка партнерів; використання нових
інформаційних технологій тощо.
Перевірка бізнес-партнерів: аналізуються установчі та інші документи;
перевіряються факти реєстрації підприємства, отримання ліцензії,
постановки на облік у податковій інспекції та регулярності сплати податків;
при виникненні сумнівів встановлюються факти можливої втрати паспортів
особами, відомості про яких містяться у поданих документах;
встановлюється факт розташування за вказаною фактичною адресою
підприємства; перевіряються виробничі і фінансові можливості щодо
виконанню умов договору; з незалежних джерел з'ясовується репутація
керівника і головного бухгалтера підприємства.
Заходи, що дозволяють змінити параметри впливу зовнішнього
середовища на підприємство: пошук нових ринків збуту; активний
маркетинг; формування свого споживача; посилення санкцій за невиконання
договірних зобов'язань.

ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ

ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ (ЛОКАЛІЗАЦІЯ) передбачає
проведення превентивних заходів, спрямованих на зниження розміру
потенційних збитків.
МЕТОДИ ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ: створення венчурів;
лімітування ризиків; дублювання значущих об'єктів, схильних до ризику;
ефективний менеджмент в процесі реалізації ризикованих рішень; навчання
персоналу роботі в екстрених ситуаціях; соціально-психологічні заходи щодо
виховання чутливості до ризику; розвиток корпоративної культури; активна
протидія тощо.
 Додаткові матеріали

КЛАСИФІКАЦІЯ РИЗИКІВ
Здійснення будь-якої діяльності завжди пов’язане з невизначеністю
ситуації і мінливістю середовища, що, в свою чергу впливає на отримання
очікуваного кінцевого результату.
Згідно з основними принципами діяльності комерційної організації
– прагнення отримання якомога більшого прибутку обмежується
можливістю понести збитки. Звідси з’являється поняття ризику.
Компанія завжди повинна намагатися мінімізувати ризик. Але якщо
вона керується в своїй поведінці прагненням повністю виключити його, то їй
зрештою доведеться взяти на себе найбільший ризик з усіх можливих: ризик
внаслідок бездіяльності.
У своїй праці «Ефективне управління підприємством» П. Ф. Друкер
виділяє такі види ризику:
 ризик, який необхідно приймати; ризик, який є «вбудованим» в саму
природу бізнесу;
 ризик, який компанія може собі дозволити;
 ризик, який компанія не може собі дозволити;
 ризик, який компанія не може собі не дозволити [1, с. 192].
Майже в кожній індустрії існують ризики, які треба приймати, щоб
просто залишитися в бізнесі. Нерідко це ризики, які в будь-якому іншому
бізнесі вважали б неприпустимими. Втратити гроші і марно витратити сили
на пошуки сприятливої можливості – це ризик, який компанія може на себе
взяти. Ризик, який компанія не може собі дозволити – це, перш за все, ризик
виявитися нездатним розвинути свій успіх. Можливість прориву – це ризик,
який компанія не може собі не дозволити.
Яскравим прикладом реалізації можливості прориву є історія Xerox
Corporation. Вченими був розроблений новий технологічний процес для
подолання обмеження в технології копіювання офісних документів.
Спочатку він пропонувався багатьом великим компаніям, але всі вони
відкинули його як занадто ризикований та дорогий. А Haloid Corporation (так
у той час називалася компанія Xerox) була невеликою фірмою, але взяла
технологію на озброєння. Їй довелося зайняти і інвестувати 40 млн. дол., щоб
зробити новий технологічний процес досконалим. Але нагорода за цей ризик
була великою і швидкою.
Оскільки ризик охоплює майже усю діяльність господарюючого
суб’єкту, існує й різноманіття ризиків, з якими зіштовхується підприємство у
ході своєї діяльності. Але історія бізнесу – це історія не тільки проривів, це
ще й історія банкрутств. Щоб уникнути такої долі, компанії потрібна інша,
більш детальна градація ризиків, щоб була змога вирішити, на який ризик
компанія здатна піти та якого ризику вона має уникнути. Незважаючи на те,
що у рамках економічної діяльності підприємства ризик є постійно
присутнім, цей феномен і досі є вивченим недостатньо. І до нинішнього часу
немає загальноприйнятого трактування поняття «ризик», немає
загальноприйнятої класифікації видів ризику, немає фундаментальних робіт,
які б розкривали сутність та зміст цієї економічної категорії у повній мірі.
Відповідно до класичної теорії, найвизначнішими представниками
якої були Міль та Сеніор, в структурі підприємницького прибутку
вирізняють дві складові: відсоток, як частка на вкладений капітал та плата за
ризик, як відшкодування можливого ризику. Отже, в рамках цієї концепції
ризик ототожнюється лише з матеріальними втратами, які може понести
підприємство в результаті прийняття того чи іншого рішення. Це тлумачення
ризику було однобічним і спричинило розроблення іншої теорії –
неокласичної. Її представниками були Маршалл, Пігу та Найт.
Неокласична теорія заснована на положенні, що підприємство, яке
працює в умовах невизначеності і прибуток якого є величиною змінною, у
своїй діяльності повинно керуватися двома критеріями: розміром
очікуваного прибутку та величиною його можливих коливань. Дж. М. Кейнс
доповнив неокласичну теорію ризику, систематизувавши існуючі теорії та
дав докладну класифікацію підприємницьких ризиків, ввів чинник
«задоволення», який полягав у тому, що підприємець в очікуванні
більшого прибутку піде на більший ризик. Кейнс розглядав питання
ризиків зі сторони суб’єкта, який здійснює інвестиційну діяльність і виділив
три види ризику:
 підприємницький ризик – невизначеність отримання очікуваного
прибутку від вкладення коштів;
 ризик кредитора – ризик неповернення кредиту, що включає в себе
юридичний ризик (ухилення від повернення кредиту) і кредитний ризик
(недостатність забезпечення);
 ризик зміни цінності грошової одиниці – ймовірність втрати коштів у
результаті зміни курсу національної грошової одиниці (ринковий ризик) [2].
Сьогодні у західній практиці більшість експертів погоджуються з
наступною класифікацією:
 ринкові ризики (пов'язані з коливаннями цін на біржові товари);
 кредитні ризики (ризики недотримання зобов'язань контрагентами
компаній);
 операційні ризики (найчисленніші, що охоплюють різноманітні
ризики – від збоїв в інформаційній системі до нелояльності персоналу);
 бізнес-ризики (наприклад, ризик того, що новий товар компанії при
появі на ринку спіткає невдача).

Розвиток теорії ризиків в Україні

Для вітчизняної економіки проблема ризику, його оцінки та
класифікації також не є новою. Ще у 20-х роках ХХ століття були 3
сформовані юридичні передумови обліку господарських ризиків:
приймається ряд законодавчих актів, які нормативно визначили зміст
поняття «нормальний виробничо-господарський ризик» стосовно
виробничої та раціоналізаторської діяльності. Однак вже у середині 30-х
років ризик був об’явлений буржуазним поняттям, непритаманним
соціально-економічному ладу. Вважалось, що ризик буде постійно
відмирати з розвитком планової системи господарювання [3, с. 4]. У 60-х
роках постулат про детермінованість економічних процесів був відкинутим,
що сприяло розповсюдженню ідей невизначеності господарського розвитку.
У цей період з’являються більш ніж два десятки робіт про господарський
та валютний ризики. Це статті, брошури та дисертації про регулювання
ризику (С.І. Котов), рішення фінансових задач в умовах ризику (С.Н.
Кошеленко), страхування ризику (Д.В. Тулін) тощо.
З середини 80-х років стало очевидним, що облік ризиків в
економіці є необхідним, а у 90-х роках, коли в Україні почався перехід до
ринкової економіки, з’явилися нові види ризику, які не були вивчені
економікою раніше.
Все більше вчених стало розглядати цю проблему. На сьогоднішній
день багато іноземних та вітчизняних авторів приділяють увагу проблемам
ризику та його класифікаціям, розгляданню його ролі та значення присвячено
багато робіт і їх кількість постійно збільшується. Серед них роботи А.П.
Альгина, Б.А. Райзберга, Н.В. Хохлова, В.В. Вітлінського, О.Л. Устенко та
інших. Але і по цей час автори робіт в сфері даної проблематики не мають
єдиної точки зору відносного того, якою повинна бути класифікація системи
ризиків. У результаті в працях різних вчених ризики в цілому представлені
більш ніж 220 видами в різних класифікаційних комбінаціях [4]. Більш
того, аналіз постійно розширюваного кола робіт, присвячених виробленню
єдиної структури ризиків, дозволяє зробити висновок, що автори не тільки не
прийшли до створення універсальної класифікації у цьому питанні, але і не
наближаються до неї. Значний інтерес становлять класифікації
підприємницького ризику С.В. Валдайцева та І.Т. Балабанова.
С. В. Валдайцев поділяє всі ризики на дві групи: систематичні та
несистематичні [5, с 42]. Балабанов ділить ризики на чисті та спекулятивні [6,
с. 22]. Однак, найбільш часто класифікації проводяться за такими ознаками,
як рівень виникнення, за ступенем обґрунтованості прийняття, по
відповідності допустимим межам та за характером наслідків.
В.М. Гранатуров виділяє такі класифікаційні ознаки, як час виникнення
ризиків, чинники їх виникнення, характер врахування ризиків, характер
наслідків та сфера виникнення ризиків [7, с. 17-21].
В.В. Вітлінський виділяє вісім класифікаційних ознак ризику:
1. Щодо масштабів та розмірів.
2. Щодо аспектів.
3. Щодо міри об'єктивності та суб'єктивності рішень.
4. За ступенем ризикованості рішень.
5. За типами ризику.
6. Щодо часу прийняття ризикових рішень.
7. Щодо чисельності осіб, що приймають рішення.
8. Щодо ситуації [8, с. 46].
Л. Н. Тепман так само виділяє вісім класифікаційних ознак, однак вони
дещо відрізняються. Згідно з Тепманом ризики класифікуються:
1. За природою виникнення.
2. Залежно від етапу вирішення проблеми.
3. За масштабами ризиків.
4. За сферою виникнення.
5. По можливості страхування.
6. За видами підприємницької діяльності.
7. За ступенем системності.
8. За ступенем допустимості [9, с. 29-32].
Т.Є. Андрєєва у своїй праці «Ризик в ринковій економіці» виділяє
шість класифікаційних ознак ризику, які перекликаються з ознаками
Вітлінського та Тепмана [10, с. 14-26].
 Однією з найбільш системних класифікацій, на наш погляд, є
класифікація О.Л. Устенко, яку він пропонує у своїй монографії «Теорія
економічного ризику». Устенко градуює ризики за такими критеріями:
 за ступенем зв'язку з підприємницькою діяльністю;
 за належністю до країни функціонування господарюючого суб'єкта;
 за рівнем виникнення;
 за сферою походження;
 за причинами виникнення:
 за ступенем обґрунтованості прийняття ризику;
 за ступенем системності;
 за відповідністю допустимим межам;
 за ознакою реалізації ризиків;
 за адекватності часу ухвалення рішення;
 за групою, яка аналізує ризик і приймає рішення про поведінку
підприємства у разі його виникнення;
 за масштабами впливу, або по сфері охоплення;
 за можливістю прогнозування;
 за ступенем впливу на діяльність суб'єктів господарювання [11, с. 34-
43].
Ознака класифікації «за ступенем зв'язку з підприємницькою
діяльністю» зумовлена тими відмінностями, які існують між різними видами
діяльності, яку можуть проводити суб'єкти господарювання. Під
підприємництвом розуміють самостійну ініціативну господарсько-фінансову
діяльність громадян з метою отримання прибутку і здійснювану від свого
імені під свою майнову відповідальність або від імені і під відповідальність
юридичної особи – підприємства. Однак, в економіці існують організації, які
працюють не за прибуток, а мають зовсім інші цілі. Це так звані «non profit
organizations», прикладом яких можуть служити благодійні організації. Але й
вони відчувають на собі вплив ризику, отже, введення даного типу
класифікації є доцільним.
За рівнем виникнення ризики можуть бути класифіковані наступним
чином:
 ризики, що виникають на мікрорівні, тобто ризики окремої фірми;
 ризики галузевого походження, пов'язані зі специфікою галузі, в якій
функціонують підприємства;
 ризики міжгалузевого походження, наявність яких зумовлена
впливом і залежністю окремих галузей і сфер економічної діяльності між
собою;
 регіональні ризики, які можуть виникати через наявність специфіки
розвитку в певних регіонах країни;
 державні ризики, які впливають на всі господарські суб'єкти цієї
країни;
 глобальні ризики, які виникають в економіці декількох країн або
всього світового співтовариства.
Також Устенко виділяє такі класифікаційні ознаки, як належність до
країни функціонування (зовнішні і внутрішні) та масштаби впливу ризиків
(одноосібні і багатоосібні). Ми вважаємо, що введення цих типів класифікаціі
не є необхідним, оскільки вони є укрупненими рівнями попередньої. Ознака
класифікації ризиків «за сферою походження» дозволяє об'єднати ризики у
великі групи залежно від того, в якій сфері вони виникають.
За своєю структурою ризики, згідно з цією класифікацією, складаються
з:
 соціально-політичних – походження яких базується на можливості
виникнення непередбачених ситуацій у разі зміни здійснюваного державою
політичного курсу;
 адміністративно-законодавчих – які виникають у разі реалізації
незапланованих адміністративних обмежень господарської діяльності
ринкових суб'єктів, а так само змін у законодавстві;
  виробничих – пов'язаних з будь-яким видом виробничої діяльності;
 комерційних – виникають в процесі реалізації товарів і послуг,
вироблених або закуплених підприємством (Дана група ризиків може бути
як самостійною (якщо основним видом діяльності організації є комерція), так
і у складі виробничих ризиків (якщо комерційні ризики виникають у
підприємства, що займається виробничою діяльністю, в процесі реалізації
своєї продукції). В структурі комерційного ризику важливо виділити
транспортний ризик, який має свою велику класифікацію, яку було
уніфіковано у 1936р.);
 фінансових – що виникають у сфері відносин підприємства з банками
та іншими фінансовими інститутами, а також пов'язані з невиконанням
суб'єктом економічної діяльності своїх фінансових зобов'язань;
 природно-кліматичних – виникають внаслідок залежності
суспільного виробництва від природно-кліматичних умов і зв'язку
суспільного виробництва з навколишнім середовищем;
 демографічних – які виникають внаслідок зміни демографічної
ситуації;
 геополітичних – ризики глобального характеру (прикладом може
служити світова міграція робочої сили).
До цієї структури також можна додати інноваційні ризики, що
виникають при вкладенні підприємством коштів у виробництво товарів і
послуг, які, можливо, не знайдуть очікуваного попиту на ринку; та страхові
ризики, які представляють собою ймовірну подію або сукупність подій, на
випадок яких здійснюється страхування.
За причинами виникнення виділяють такі групи ризиків:
1) ризик, викликаний невизначеністю майбутнього;
2) ризик, викликаний браком інформації для прийняття рішень, який
пов'язаний з об'єктивною неможливістю обліку і розгляду всіх параметрів,
необхідних для прийняття господарських рішень;
 3) ризик, викликаний особистісними суб'єктивними факторами групи,
яка аналізує ризик.
Існує три типи людей в залежності від ставлення до ризику: нейтральні
до ризику, прихильники ризику та супротивники ризику [12, с. 20-24]. Це
зумовлює необхідність виділення класифікаційної ознаки «за ступенем
обґрунтованості прийняття ризику». Згідно з цією ознакою ризики
групуються таким чином:
 обґрунтовані ризики – це такий вид ризиків, який підприємство
вирішує прийняти на себе, при цьому їх вплив на його діяльність буде
мінімальним;
 частково обґрунтовані – такий вид ризиків, які приймаються або
пропонуються до прийняття підприємством при рівності результатів і витрат;
 авантюрні – містять значну ймовірність недосягнення поставленої мети.
За ступенем системності Устенко виділяє системні й несистемні
ризики. Несистемні – це ризики, не властиві даній системі, ступінь впливу
яких можна зменшити або звести до нуля. Системними називаються
ризики, існування яких зумовлене самою системою; їх ступінь не може бути
знижений. Згідно з ознакою відповідності до допустимих меж ризики
поділяються на допустимі, критичні і катастрофічні. Устенко визначає
рівні цих ризиків у порівнянні із середнім рівнем ризику в економіці та
максимально допустимим рівнем ризику. Так, допустимий ризик повинен
бути нижче середнього рівня ризику в економіці, критичний ризик
знаходиться між середнім і максимально можливим рівнем ризику, а
катастрофічний – вище максимально можливого рівня ризику.
Цю градацію можна доповнити і з точки зору втрат, які може понести
підприємство у результаті прийняття на себе того чи іншого ризику. З цієї
точки зору, допустимим є ризик, проявом якого можуть бути збитки,
величина яких не перевищує запланованого прибутку. Критичний ризик
характеризується ймовірністю втрати всього прибутку та частини основного
капіталу. Під катастрофічним розуміють ризик, що характеризується
загрозою втрат у розмірі рівному, або такому, що перевищує весь майновий
стан підприємця.
За ознакою реалізації ризиків виділяють дві основні групи: реалізовані
і нереалізовані ризики. Перша група являє собою несприятливі події які
відбулися, друга – навпаки, які не здійснилися всупереч очікуванням.
За адекватністю часу ухвалення рішення про реагування на реалізовані
ризики виділяють наступні групи:
 ризики попереджувальної групи – які враховані при складанні планів
розвитку підприємства;
 поточні ризики – які не були заздалегідь передбачені і не була
вироблена стратегія поведінки на разі зіткнення з ними, і господарюючий
суб'єкт реагує на них у момент виникнення;
 запізнілі ризики – які не були заздалегідь передбачені і стратегія
поведінки виробляється після їх виникнення.
По групі, яка аналізує ризик і приймає рішення про поведінку
підприємства у разі його виникнення, виділяють ризики індивідуального
рішення (ухвалення рішення проводиться однією людиною, наприклад,
власником фірми) і ризики колективного рішення (рішення приймається
групою осіб).
За можливістю прогнозування ризики можуть бути розділені на
прогнозовані, тобто ризики, виникнення яких піддається прогнозу, і
частково непрогнозовані, тобто ризики, які виникають внаслідок настання
форсмажорних обставин.
За ступенем впливу на діяльність господарюючих суб'єктів виділяють
спекулятивні і чисті ризики. Спекулятивні ризики характеризуються тим,
що їх прояв може призвести як до збитків, так і додаткових доходів. Чисті
ризики призводять тільки до збитків.
Зведена таблиця класифікації ризиків за певними ознаками наведена
нижче (табл. 1).
№ Класифікаційна ознака Види ризиків
1 Зв'язок з підприємницькою Підприємницькі
діяльністю
2 Рівень виникнення
3 Сфера походження
4 Причини виникнення
(збільшення
податкової ставки, вихід за рамки
бюджету)
Непідприємницькі (репутаційні
збитки через наклеп, ризик не
виконати взяті зобов’язання через
брак зібраних коштів)
Фірмовий (мікрорівень) (невміле
управління персонал)
Міжгалузевий (НСД у сфері
Кібербезпеки)
Регіональний (засуха)
Державний (зміна уряду)
Глобальний (Війна, пандемія)
Соціально-політичні (Публічні заяви
політиків, витік інформації, яка є
військовою таємницею, фінансові
афери політиків і пов’язані з цим
репутаційні втрати)
Адміністративно-законодавчі (зміни
податкового законодавства)
Виробничі (ризики через низьку
якість продукції)
Комерційні (Невдала реклама і як
наслідок недоотримання прибутку)
Фінансові (Світова фінансова криза,
недотримання кредитних
домовленостей однією із сторін)
Природно-екологічні (Ядерна
катастрофа, екологічні наслідки через
невдалі закони чи їх відсутність,
вирубка карпатських лісів)
Демографічні (Перенаселення,
зменшення тривалості життя,
«старіння нації» через зменшування
народжуваності)
Геополітичні (Санкції, недотримання
міжнародних домовленостей країною
чи групою країн)
Інноваційні (Інвестиції в розробку
ліків, які не підтвердили свою
ефективність)
Страхові (автокатастрофи, втрата
життя)
Невизначеність майбутнього (вибір
 професії, невдалі інвестиції)
Брак інформації (недоотримання
балів через погану підготовку)
Суб’єктивний вплив (Невиконання
обов’язків деякими суб’єктами)
5 Ступінь обґрунтованості Обґрунтовані (Ризик пограбування)
прийняття ризику Частково обґрунтовані (Порятунок
під час катастрофи в морі – плисти до
берега або нічого не робити)
Авантюрні (Спортивні ставки)
6 Ступінь системності Системні
Несистемні
7 Ступінь припустимості Мінімальні
Підвищені
Критичні
Катастрофічні
8 Реалізація ризиків Реалізовані
Нереалізовані
9 Адекватність часу прийняття Превентивні (попереджувальні)
рішення про реагування на Поточні
реалізацію ризиків Запізнілі
10 Група, що аналізує ризик та Індивідуального рішення
приймає рішення про Колективного рішення
поведінку в разі його
реалізації
11 Можливість прогнозування Прогнозовані
Непрогнозовані
12 Ступінь впливу на діяльність Спекулятивні
Чисті
13 Залежно від етапу вирішення На етапі прийняття рішення
проблеми На етапі реалізації рішення
14 Можливість страхування Страхуються
Не страхуються
15 Тривалість впливу Довгострокові
Короткострокові
16 Тип обліку Внутрішні
Зовнішні
17 Вид небезпеки Антропогенні
Природні
Змішані
18 Вид втрат Матеріальні
Трудові
Фінансові
19 Об’єкт виникнення Ризики окремої операції
 Ризики окремого напрямку діяльності
Ризики фірми в цілому

Залежно від етапу вирішення проблеми можна виділити ризики на

рівні прийняття рішення (помилки у прийнятті методів визначення рівня
ризиків через нестачу інформації, її низьку якість або дезінформацію) та
ризики на етапі реалізації рішення (помилки в реалізації правильного
рішення, несподівана зміна об'єктивних умов).
Також усі підприємницькі ризики можна поділити на дві великі групи
відповідно до можливостей страхування: що страхуються і не
страхуються. Підприємець може частково перекласти ризик на інших
суб'єктів економіки, але існує і група ризиків, яку не беруться страхувати
страхові компанії.
За тривалістю впливу ризики поділяються на довгострокові (ризики,
пов'язані із стратегічним впливом) та короткострокові (кон'юнктурні).
За типом обліку виділяють внутрішні та зовнішні ризики.
Внутрішні ризики спричиняються ендогенними факторами функціонування
об'єкта ризику. Наприклад, якщо об'єкт ризику – це фірма, то до ендогенних
факторів можна віднести рівень ділової активності фірми, адекватність
маркетингової стратегії та інше. Зовнішні ризики обумовлені впливом
екзогенних факторів, наприклад, девальвацією валюти, зміною світової
кон'юнктури.
За видом небезпеки виділяють техногенні (антропогенні), природні
та змішані ризики.
Техногенні ризики породжені господарською діяльністю людини:
аварійні ситуації, забруднення навколишнього середовища тощо.
Природні не залежать від діяльності людини. До них відносяться в
основному ризики стихійних лих.
Змішані ризики – події природного характеру, ініційовані
господарською діяльністю людини.
 Дещо випадають з класифікації ризики, пов'язані з фінансовою
діяльністю, але умовно їх можна віднести до антропогенних [13, с. 14].
Залежно від виду втрат виділяють такі ризики:
1. Матеріальні – ризики втрат проявляються в непередбачених
проектом (планом) додаткових витратах або прямих втратах майна,
обладнання, сировини, енергії.
2. Трудові – ризики, пов'язані з втратою робочого часу.
3. Фінансові – ризики пов'язані з прямим грошовим збитком,
викликаним непередбачуваними платежами, виплатою штрафів,
неотриманням коштів з передбачених джерел, втратою грошових коштів і
цінних паперів. Крім того, фінансові втрати можуть бути при недоотриманні
або неотриманні грошей з передбачених джерел, при неповерненні боргів,
несплаті покупцем поставленої йому продукції, зменшенні виторгу внаслідок
зниження цін на реалізовані продукцію і послуги.
4. Втрати часу – ризики, що виникають при уповільненні виробничого
процесу в порівнянні з планом.
5. Спеціальні – ризики, пов'язані з можливістю нанесення шкоди
здоров'ю, життю людей, навколишньому середовищу, престижу підприємця,
а також внаслідок інших несприятливих соціальних і морально-
психологічних наслідків [14, с. 34-35].
За об'єктом виникнення розрізняють ризики:
 ризики окремої операції – ризики, які поширюються тільки на окремо
здійснювану операцію;
 ризики окремого напрямку діяльності – ризики, яким піддається
окремий вид діяльності організації;
 ризики фірми в цілому – ризики, які поширюються на діяльність всієї
організації.
Як було сказано раніше, діяльність усіх господарських суб'єктів
сполучена з присутністю ризиків. У сучасних умовах стає неможливим
управляти підприємством без урахування їх впливу, а для ефективного
ведення бізнесу необхідно не тільки знати про присутність ризику, а й вміти
правильно ідентифікувати конкретний ризик.
Не можна вважати запропоновану класифікацію повною, оскільки
принцип класифікації визначається конкретним завданням, характеристикою
суб'єкта, який вирішує це завдання, і конкретною ситуацією, в якій
знаходиться суб'єкт. Для кожної окремої задачі класифікація ризику може
мати самостійне рішення, так як природа ризику, що супроводжує певний
вид діяльності, має свою певну специфіку, що задає доцільність наявності в
системі класифікацій тих чи інших ознак. З цього можна зробити висновок,
що створення універсальної класифікації є майже неможливим, а взяття за
основу стандартну класифікацію ризиків для управління підприємством
може бути невірним рішенням. Однак, запропонована класифікація може
представляти практичний інтерес для організацій і може бути використана в
якості моделі для побудови власної класифікаційної таблиці.

Література
1. Друкер, Питер, Ф. Эффективное управление предприятием.: Пер. с
англ. – М.: ООО «И.Д. Вильямс», 2008. – 224с.: ил. Парал. тит. англ.
2. Дж. М. Кейнс. Общая теория занятости, процента и денег.
3. Альгин А.П. Грани экономического риска. – М.: Знание, 1991. – 64с.
– (Новое в жизни, науке, технике. Сер. «Практика хозяйствования и
управления»; №1).
4. В.В. Черкасов Проблемы риска в управленческой деятельности:
Монография, М.: «Рефл-бук», Киев: «Валер», 1999.
5. Валдайцев С.В. Оценка бизнеса: учеб.: 3-е изд. перераб. и доп. – М.:
ТК Велби, Изд-во Проспект, 2008. – 576с.
6. Балабанов И.Т. Риск-менеджмент. М. – Финансы и статистика, 1996.
– 192с.: ил.
 7. Гранатуров В.М. Экономический риск: сущность, методы измерения,
пути снижения: Учебное пособие. – 2е изд., перераб. и доп. – М.:
Издательство «Дело и Сервис», 2002 – 160с.
8. Вітлінський В.В., Наконечний С.І. Ризик у менеджменті. – К.: ТОВ
«Борисфен-М», 1996. – 336с.
9. Тэпман Л.Н. Риски в экономике: Учеб. пособие для вузов / Под ред.
проф. В.А. Швандара. – М.: ЮНИТИ-ДАНА, 2002. – 380 с.
10. Ризик у ринковій економіці: Навчальний посібник/ Андрєєва Т.Є.,
Петровська Т.Е. – Харків: Бурун Книга, 2005. – 128с.: 12іл.
11. Устенко О.Л. Теория экономического риска: Монография. – К.:
МАУП, 1997. – 164с.
12. Ілляшенко С.М. Економічний ризик: Навчальний посібник. 2-ге
вид., доп. перероб. – К.: Центр навчальної літератури, 2004. – 220с. 11
13. Хохлов Н.В. Управление риском: Учеб. Пособие для вузов. – М.:
ЮНИТИ-ДАНА, 2001. – 239с.
14. Райзберг Б.А. Предпринимательство и риск. – М.: Знание, 1992. –
62с. – (Новое в жизни, науке, технике. Сер. «Экономика», №4).

Ризик і невизначеність. Джерела невизначеності. Зв’язок між

ризиком і невизначеністю
Об’єктивний і суб’єктивний ризики.
Об’єктивні ризики - виражають шкідливий вплив не контролюючих сил
природи та інших випадковостей на об’єкт страхування, а також не залежать
від волі та свідомості людини.
Суб’єктивні ризики - засновані на запереченні або ігноруванні
об’єктивного підходу до дійсності, та пов’язані з недостатнім пізнанням
навколишнього світу в об’єктивній реальності і залежать від волі та
свідомості людини.
 Класифікація ризику за мірою прояву: низький, нижче середнього,
середній, вище середнього, високий, найвищий.
Комплексний ризик – ризик, заснований на сукупній інформації про всі
джерела ризику з зазначенням домінуючих джерел.
Нульовий ризик (нульовий рівень ризику) – стан абсолютної безпеки,
або ризик, який має настільки малий рівень, що він перебуває в межах
допустимих відхилень природного рівня. Як правило це відсутність ризику
або ризик, який можна не враховувати через його неважливість.

Першопричиною, необхідною умовою виникнення підприємницьких

ризиків виступає невизначеність результатів діяльності. Слід зазначити, що
вже понад сто років триває наукова дискусія з приводу взаємовідношення
понять «ризик» та «невизначеність». Так, ще економісти неокласичної школи
(кінець XIX - початок XX ст.) ототожнювали ризик із невизначеністю.
Представники неокейнсіанського напряму, навпаки, розрізняли категорії
«ризик» і «невизначеність», що пов’язано з умовою: відомі чи ні суб’єкту, що
приймає рішення, кількісні ймовірності появи визначених подій.
[Неокейнсіанство – досконаліша модель кейнсіанської теорії (Дж.М. Кейнс),
в якій макроекономічний аналіз найважливіших показників здійснюється з
урахуванням НТП, використанні позитивних аспектів монетариської
концепції, органічному взаємозв'язку процесу виробництва і розподілу.]
Якщо ризик характерний для економічних систем з масовими явищами,
то невизначеність має місце, як правило, у тих випадках, коли ймовірності
наслідків доводиться визначати суб’єктивно через відсутність статистичних
даних за попередні періоди. На сучасному етапі більшість учених-
економістів дотримуються думки, згідно з якою поняття «ризик» та
«невизначеність» не є тотожними. У ситуаціях ризику ми можемо
використовувати об’єктивні значення ймовірностей для статистичного
прогнозування (ймовірність можна визначити на підставі попереднього
періоду), тоді як у ситуаціях із невизначеністю ймовірність використовується
як суб’єктивна оцінка можливих наслідків [3, c. 102].
Умови невизначеності є предметом досліджень й об’єктом постійного
спостереження з боку економістів та спеціалістів інших сфер.
Невизначеність – це об’єктивна неможливість здобуття абсолютного
знання про об’єктивні та суб’єктивні чинники функціонування системи,
неоднозначність її параметрів. Чим більша невизначеність під час прийняття
господарського рішення, тим більший ступінь ризику [3, c. 81].
Причини виникнення невизначеності та зумовленого нею ризику
поділяються на три групи.
1. Причини, зумовлені принциповою недетермінованістю
пов’язаних з економікою процесів. З позицій теорії систем економіку загалом
відносять до класу динамічних, слабо-структурованих систем великої
складності, які формуються з величезної кількості взаємопов’язаних та
взаємодіючих господарських одиниць. Однак економічна система має
яскраво виражену ієрархічну, багаторівневу структуру. Вищий рівень ієрархії
інтегрує за певними правилами (алгоритмами) інформаційні сигнали (потоки)
нижчих рівнів ієрархії та оперує інформаційними потоками. Водночас
економіка діє як підсистема суспільства загалом, тобто воно є зовнішнім
середовищем, з елементами якого (соціальною структурою, політичною
системою, потенціалом культури, морально-етичними принципами та
установами) економіка взаємодіє в обох напрямах. Більшість вчених-
економістів стверджують, що соціально-економічну систему можна
характеризувати як таку, що саморозвивається. Її розвиток забезпечує
інформація. Генерування нової інформації пов’язане з технічним прогресом,
інноваційною діяльністю, смаками споживачів тощо. Це породжує
невизначеність і зумовлений нею ризик, оскільки економічні процеси
неможливо передбачити, спрогнозувати.
2. Причини, зумовлені відсутністю вичерпної інформації при
організації і плануванні поведінки суб’єкта ринкової діяльності або
неякісним суб’єктивним її аналізом. Економічно вигідною є оптимальна
неповнота інформації, бо доцільніше оперувати неповною інформацією, ніж
намагатись зібрати надто дорогу практично повну. Її накопичення
ускладнюється обмеженістю потужностей для оброблення інформації,
неточністю наближених методів оцінки даних тощо.
3. Причини, зумовлені впливом суб’єктивних чинників (рівень
кваліфікації, приховування частини інформації, дезінформація тощо) [4, c.
32].
Невизначеність ситуації характеризується тим, що вона залежить від
багатьох змінних чинників, контрагентів, дії яких неможливо передбачити з
прийнятною точністю. На підвищення ступеня ризику впливає також і
відсутність (неоднозначність) чітко визначених цілей та критеріїв їхньої
оцінки, зрушення в суспільних потребах і споживчому попиті,
непередбачувана поява нових технологій і техніки, зміна кон’юнктури
світового ринку, корекція траєкторії руху економіки з політичної
необхідності, непередбачуваність природних явищ тощо [1, c. 16].
Економіка ринкового типу передбачає існування найрізноманітніших
видів невизначеності для всіх суб’єктів господарювання (рисунок 1).
 Найпоширенішою є класифікація невизначеності за ступенем настання
події. Ця класифікація дає можливість розрізнити повну та часткову
невизначеність, повну визначеність. Часткова чи повна невизначеність
пояснюється тим, що, по суті, економічні проблеми зводяться до задач
вибору з деякої кількості альтернатив. При цьому економічні суб’єкти не
мають повної інформації про стан систем для розробки оптимального
рішення й достатніх можливостей для адекватного обліку всіх доступних
даних.
Невизначеність інформації можливо зняти, визначивши ймовірність, з
якою можна очікувати цю інформацію. Залежно від засобів визначення
ймовірності розрізняють два типи невизначеності – статистичну та
нестатистичну.
Якщо мається на увазі статистична невизначеність, то іноді кажуть, що
рішення приймається в умовах ризику, якщо нестатистична – то рішення
приймається в умовах невизначеності. У чистому вигляді той чи інший вид
імовірності трапляється рідко – найчастіше можна зустріти мішаний вид [3,
c. 82-83].
Необхідно одночасно розрізняти і враховувати декілька типів
невизначеності, їх спільний вплив (суперпозицію) та зумовлений ними
економічний ризик, а саме:
- невизначеність цілей та критеріїв;
- неоднозначність оцінок, прогнозів розвитку економічного середовища
(станів економічного середовища);
- невизначеність дій конкурентів;
- брак часу для прийняття науково обґрунтованих рішень;
- брак даних, зокрема, числових (кількісних), необхідних для обчислень
випадкових показників (параметрів), які беруться до уваги у прийнятті
рішень [2, c. 40].
Прийняття рішень за умов невизначеності характеризується тим, що
неможливо однозначно передбачити їх наслідки. Тобто розглядувані варіанти
будь-якої економічної діяльності є варіантами з різним (за величиною)
рівнем сподіваного прибутку і характеризуються різною ймовірністю, що цей
прибуток буде досягнуто власне на цьому сподіваному рівні.
Така непевність призводить до того, що прибуток стає випадковою
величиною, деяку характеристику якої можна максимізувати лише за умови
прийняття низки гіпотез, та коли в підприємця наявна певна схильність
(несхильність) до ризику як міри (ступеня) невизначеності [1, c. 15].
На практиці зниження рівня невизначеності необхідне для прийняття
господарських рішень, забезпечується:
 збором інформації, що зменшує невизначеність очікувань;
 обробкою інформації методами аналізу, прогнозу, сценарію та
з’ясуванням причин, форм і наслідків невизначеності;
 розробкою моделей, адекватних ситуаціям, що мають місце, і
здобуттям у результаті моделювання значень цільових величин,
функціональних залежностей станів об’єкта управління та навколишнього
середовища [3, c. 84].
Для розуміння природи підприємницького ризику фундаментальне
значення має зв’язок ризику та прибутку. Проблема взаємовідношення даних
категорій – одна з ключових концепцій у виробничо-господарській діяльності
підприємств. Ризик є одним із чинників формування прибутку, тому
одержання істотної частини прибутків зумовлено диференційованим
управлінням ризиком. Перед кожним суб’єктом господарювання постає
проблема вибору між високим прибутком від ризикових операцій (з
небезпекою втратити на тільки прибуток, а й вкладений капітал) та низьким
прибутком від безризикових проектів. Очевидно, що нульовий ризик
забезпечує найнижчий прибуток (0; П1), а за найвищого ризику (R = R2),
прибуток має найбільше значення (П = П3, П3 > П2 > П1).
Взаємозв’язок між прибутком і рівнем ризику можна зобразити
графічно. З рисунка 2 видно, що більш високий ризик пов’язаний з
імовірністю отримання більш високого прибутку. Принциповий вибір
стосовно прийняття ризикового рішення залежить від переваги підприємця
між очікуваною прибутковістю (рентабельністю), вкладених у проект коштів,
та їх надійністю, під якою розуміють неризикованість, ймовірність
отримання прибутків [3, c. 105 - 106].
 Таким чином, основними джерелами підприємницького ризику є
зовнішні і внутрішні невизначеності, зв’язані з імовірністю настання подій і
явищ, які впливають на діяльність фірми. Саме тому, приймаючи будь-яке
рішення, підприємець не повинен забувати про логічний зв’язок «імовірність
- невизначеність – ризик». Іншими словами, імовірність створює
невизначеність, що призводить до ризику. Звичайно, за рахунок ряду заходів
(збору інформації, її обробки різноманітними методами та ін.) можна досягти
зниження рівня невизначеності, а, отже, і ризику. Проте підприємець
зазвичай проявляє готовність йти на ризик в умовах невизначеності, оскільки
разом з ризиком втрат існує можливість отримання більш високих прибутків.

Приклади [5].
Приклад 1. Коли йдеться про строки виконання/завершення будь-яких
проектів, завжди є певна невизначеність. Керівник проекту стосовно
прогнозу завершення проекту може працювати з невизначеністю двома
способами: 1- «Я взагалі не знаю, коли ми завершимо проект»; 2 – «Я очікую
завершення проекту 31 жовтня, але з певних причин маю сумніви з цього
приводу. Дата завершення проекту може відбутись в період з 25 жовтня по 14
листопада».
 Між цими двома рівнями невизначеності є величезна різниця. У
першому випадку невизначеність неконтрольована, у другому –
контрольована (причини завчасного чи запізнілого завершення проекту
мають бути відомі керівнику).
Приклад 2. Керівник проекту має намір завершити роботу над
проектом 30 жовтня поточного року, але розуміє, що ця дата майже 100%
нереальна, але причин назвати не може, як і більш імовірної дати, тому
запросив фахівця з ризик-менеджменту. Фахівець вивчив технічні умови та
отримані на сьогодні результати, ознайомився з результатами зустрічей з
акціонерами та виконавцями і постановив: «Немає жодних шансів встигнути
не лише до 30 жовтня, а й взагалі до кінця року. Найімовірніша дата –
початок квітня наступного року, однак і ця дата не є надійною. Початок
травня дасть вам імовірність успіху більше 50%. Але якщо потрібна дата зі
100% гарантією, краще орієнтуватись на кінець наступного року».
І керівник, і фахівець з ризик-менеджменту мають сумніви стосовно
завершення проекту вчасно, однак невизначеність фахівця контрольована, а
керівника – ні.
 Література
1. ВітлінськийВ. В. Аналіз, моделювання та управління економічним
ризиком / В. В. Вітлінський, П. І. Верчено. - К. : КНЕУ, 2000. - 292 с.
2. Вітлінський В. В. Ризикологія в економіці та підприємництві :
монографія / В. В. Вітлінський, Г. І. Великоіваненко. - К. : КНЕУ, 2004. - 480
с.
3. Клименко С. М. Обґрунтування господарських рішень та оцінка
ризиків / С. М. Клименко, О. С. Дуброва. - К. : КНЕУ, 2005. - 252 с.
4. Лук’янова В. В. Економічний ризик / В. В. Лук’янова, Т. В. Головач.
- К. : Академвидав, 2007. - 464 с.
5. Tom Demarko. Waltzing with Bears: Managing Risk on Software
Projects.

Загрози
Нижче наведено список загроз – це не остаточний список, його необхідно
адаптувати до окремої організації:
 Доступ до мережі сторонніх осіб
 Бомба
 Загроза вибуху
 Порушення договірних відносин
 Порушення законодавства
 Компромат конфіденційної інформації
 Приховування особистості користувача
 Пошкодження, заподіяні третьою особою
 Пошкодження в результаті тестування на проникнення
 Знищення записів
 Катастрофа (спричинена людиною)
 Катастрофа (природна)
 Розкриття інформації
 Розкриття паролів
 Підслуховування
 Розкрадання
 Помилки в технічному обслуговуванні
 Збій зв'язку
 Фальсифікація записів
 Пожежа
 Потоп
 Шахрайство
 Промислове шпигунство
 Витік інформації
 Переривання бізнес-процесів
 Втрата електроенергії
 Втрата допоміжних послуг
 Несправність обладнання
 Шкідливий код
 Зловживання інформаційними системами
 Зловживання інструментами аудиту
 Забруднення
 Соціальна інженерія
 Помилки програмного забезпечення
 Страйк
 Терористичні атаки
 Крадіжка
 Громовий удар
 Ненавмисна зміна даних в інформаційній системі
 Несанкціонований доступ до інформаційної системи
 Несанкціоновані зміни записів
 Несанкціоноване встановлення програмного забезпечення
 Несанкціонований фізичний доступ
 Несанкціоноване використання матеріалів, захищених авторським правом
 Несанкціоноване використання програмного забезпечення
 Помилка користувача
 Вандалізм

Уразливі місця
Нижче наведено список уразливостей – це не остаточний список, його
необхідно адаптувати до окремої організації:

 Складний інтерфейс користувача

 Пароль за замовчуванням не змінено
 Утилізація носіїв даних без видалення даних
 Чутливість обладнання до зміни напруги
 Чутливість обладнання до вологи та забруднень
 Чутливість обладнання до температури
 Неналежна безпека кабелів
 Неадекватне управління потужністю
 Неадекватне управління змінами
 Неадекватна класифікація інформації
 Неналежний контроль фізичного доступу
 Неналежне обслуговування
 Неадекватне управління мережею
 Неадекватне або нерегулярне резервне копіювання
 Неадекватне керування паролями
 Недостатній фізичний захист
 Неналежний захист криптографічних ключів
 Неадекватна заміна старого обладнання
 Недостатня обізнаність щодо безпеки
 Неналежний розподіл обов'язків
 Неналежне розділення операційних та випробувальних засобів
 Неналежний нагляд за працівниками
 Неналежний нагляд за постачальниками
 Неналежне навчання працівників
 Неповна специфікація для розробки програмного забезпечення
 Недостатнє тестування програмного забезпечення
 Відсутність політики контролю доступу
 Відсутність чистого столу та чіткої політики щодо екрану
 Відсутність контролю над вхідними та вихідними даними
 Відсутність внутрішньої документації
 Відсутність або погане виконання внутрішнього аудиту
 Відсутність політики щодо використання криптографії
 Відсутність процедури позбавлення прав доступу при звільненні
 Відсутність захисту мобільного обладнання
 Відсутність надмірності
 Відсутність систем ідентифікації та аутентифікації
 Відсутність перевірки оброблених даних
 Місцезнаходження вразливе до затоплення
 Поганий вибір даних тесту
 Поодинокий примірник
 Забагато влади в одній людині
 Неконтрольоване копіювання даних
 Неконтрольоване завантаження з Інтернету
 Неконтрольоване використання інформаційних систем
 Недокументоване програмне забезпечення
 Немотивовані працівники
 Незахищені підключення до загальнодоступної мережі
 Права користувачів не перевіряються регулярно

Рейтинг загроз (https://cybermagazine.com/cyber-security/top-10-cyber-

security-threats)

10. Безпека кінцевої точки (Endpoint security)

Оскільки все більше компаній переміщують ресурси в хмару та
покладаються на віддалені робочі станції, поверхня атаки зростає. Проблема
для організацій полягає в тому, як найкраще захистити ці системи та
персональні пристрої поза приміщенням. Атаки на кінцеві точки часто
використовуються кіберзлочинцями для отримання доступу до великих
мереж. Вимагаючи, щоб кінцеві пристрої відповідали стандартам безпеки,
перш ніж отримати доступ до мережі, підприємства підтримують більший
контроль, щоб ефективно блокувати кіберзагрози та спроби.

9. Викриття третьої сторони

 Різні відносини, навіть з одним і тим же постачальником, піддають
організації різним рівням ризику. Багато роздрібних продавців
використовують третіх сторін для таких послуг, як обробка платежів. Навіть
якщо компанія безпосередньо не обробляє особисту інформацію, включаючи
номери соціального страхування або номери кредитних карток, третя сторона
може поставити їх під загрозу. За допомогою шкідливих програм хакери
можуть викрасти дані через сторонніх постачальників.

8. Formjacking
Formjacking – це тип кібератаки, коли хакери вводять шкідливий код
JavaScript у форму веб-сторінки – найчастіше форму сторінки платежу. Коли
відвідувач сайту вводить інформацію про свою платіжну картку та натискає
«Надіслати», цей шкідливий код збирає номер платіжної картки, а також
іншу інформацію, як-от ім’я, адреса та номер телефону клієнта. Потім код
надсилає цю інформацію в інше місце на вибір зловмисників.
У багатьох випадках кіберзлочинці захоплюють сторінку оплати на
сайтах електронної комерції, щоб викрасти фінансову інформацію та номери
кредитних карток. Мета полягає в тому, щоб переглянути цінні дані, подані у
формах. Використання formjacking різко зросло в останні роки. В середньому
4800 веб-сайтів щомісяця скомпрометовані за допомогою коду для
зловживання форм.

7. Cryptojacking
Cryptojacking — це тип кіберзлочинності, який передбачає
несанкціоноване використання пристроїв людей (комп’ютерів, смартфонів,
планшетів або навіть серверів) кіберзлочинцями для майнінгу криптовалюти.
Як і багато інших форм кіберзлочинності, мотивом є прибуток, але, на
відміну від інших загроз, він покликаний залишатися повністю прихованим
від жертви.
 Майнінг для криптовалюти вимагає величезної обчислювальної
потужності комп’ютера, тому хакери заробляють гроші, таємно
підключаючись до чужих систем. Для бізнесу системи з криптоджекінгом
викликають серйозні проблеми з продуктивністю та дорогі простої, оскільки
ІТ-команди відстежують та видаляють код криптоджекінгу.

6. Інтернет речей (IoT)

Інтернет речей (IoT) об’єднує пристрої з усього світу через Інтернет.
Згідно з Deloitte, завдяки IoT датчики збирають, спілкуються, аналізують та
діють на основі інформації, пропонуючи нові способи для технологічних,
медіа та телекомунікаційних компаній створювати цінність – чи то створення
абсолютно нових підприємств і потоків доходу, чи надання більш
ефективного досвіду для споживачів.
Через його зручність багато людей та компаній користуються
перевагами IoT, але саме те, що робить їх зручними, також робить їх
вразливими. Хакери можуть використовувати підключення до Інтернету як
точку доступу для крадіжки даних. Оскільки компанії все більше
покладаються на пристрої IoT, багато експертів прогнозують, що це стане
однією з найбільших кіберзагроз у найближчі роки.
У звіті Fortune Business вказується, що ринок Інтернету речей (IoT),
ймовірно, зросте до 1,1 трильйона доларів до 2026 року.

5. Управління оновленнями
Багато атак починаються із застарілого програмного забезпечення.
Відсутність оновлення програмного забезпечення може зробити компанії
вразливими до порушень інформаційної безпеки, і як тільки зловмисники
дізнаються про вразливість програмного забезпечення, вони можуть
використати його для здійснення кібератаки.
Керування оновленнями – це процес розповсюдження та застосування
оновлень до програмного забезпечення. Ці оновлення часто необхідні для
виправлення помилок (також іменованих «вразливими місцями» або
«помилками») у програмному забезпеченні.

4. Соціальна інженерія
Атаки соціальної інженерії використовують соціальні взаємодії для
отримання доступу до цінних даних. Кіберзлочинці обманом маніпулюють
своїми цілями, щоб зробити певні дії, наприклад, обхід заходів безпеки або
розголошення певної конфіденційної інформації. Навіть найкращі системи
кібербезпеки не можуть зупинити атаку соціальної інженерії, оскільки мета
пропускає хакера в систему.

3. Фішингові атаки
Фішингові атаки продовжують відігравати домінуючу роль у
ландшафті цифрових загроз. У своєму звіті про розслідування порушень
даних за 2021 рік (DBIR) Verizon Enterprise виявила, що фішинг є одним із
найпоширеніших видів дій щодо порушень даних, які вона проаналізувала.
Його дослідники спеціально спостерігали за фішингом у понад третині (36%)
порушень. Це більше, ніж на 22% роком раніше.

2. Хмарні вразливості
Чим більше ми покладаємося на хмару для зберігання даних, тим вище
ризик серйозного порушення. Хмарні послуги вразливі до широкого спектру
кібератак, але багато компаній вважають, що вони безпечні, оскільки
використовують технології хмарної безпеки.
Насправді технології – це лише частина рішення. Оскільки жодна
технологія не може повністю усунути вразливості, для надійного захисту
потрібен цілісний підхід. Страхування є важливою частиною цього захисту
як частиною комплексного плану управління кіберризиками.

1. Атаки програм-вимагачів
 Програми-вимагачі – це тип зловмисного програмного забезпечення,
яке заважає вам отримати доступ до комп’ютера або даних, які на ньому
зберігаються. Сам комп’ютер може бути заблокований, або дані на ньому
можуть бути вкрадені, видалені або зашифровані. Потім зловмисник
вимагатиме від жертви викуп, щоб відновити доступ до даних після оплати.
Частота атак програм-вимагачів різко зросла за останній рік: у першому
півріччі 2021 року було здійснено на 93% більше, ніж за аналогічний період
минулого року, згідно з середньорічним звітом Check Points з безпеки. Згідно
зі звітом Міністерства фінансів США, лише за перші шість місяців 2021 року
підозріла діяльність, пов’язана з атаками програм-вимагачів, склала
приблизно 590 мільйонів доларів. За весь 2020 рік ця сума склала всього 410
мільйонів доларів.
Міністерство освіти і науки України
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ОДЕСЬКА
ПОЛІТЕХНІКА»
КАФЕДРА КІБЕРБЕЗПЕКИ ТА ПРОГРАМНОГО
ЗАБЕЗПЕЧЕННЯ

КОНСПЕКТ ЛЕКЦІЙ
з дисципліни
«УПРАВЛІННЯ та ОБРОБКА ІНЦИДЕНТІВ
КІБЕРБЕЗПЕКИ»
для студентів
спеціальності - 125 Кібербезпека
 Одеса, 2023

Зміст
Обробка інцидентів і планування реагування............................................4

Документація..............................................................................................4

Планування аварійного відновлення........................................................5

Процес реагування на інцидент................................................................6

SOCs.........................................................................................................7

Організація CSIRT.....................................................................................8

Ролі CSIRT..................................................................................................8

Зовнішні CSIRT..........................................................................................9

Один день із життя CSIRT.....................................................................9

Спілкування в межах CSIRT...................................................................11

Плани внутрішніх і зовнішніх комунікацій...........................................12

Ідентифікація інциденту..........................................................................13

Джерела IOC.............................................................................................14

Вплив і масштаб інцидентів....................................................................15

 Оцінка і аналіз інциденту........................................................................16

Стримування інцидентів..........................................................................17

Пом’якшення та ліквідація інциденту....................................................18

Відновлення після інциденту..................................................................18

Після інциденту........................................................................................20

Аналіз причин...........................................................................................21

Перевірка...................................................................................................22

Інструменти поводження з інцидентом.................................................22

Стримування та пом’якшення....................................................................22

Загартовування системи..........................................................................23

Ізоляція......................................................................................................24

Медові горщики.......................................................................................25

Чорний список..........................................................................................26

Білий список.............................................................................................27

DNS фільтрація.........................................................................................28

Маршрутизація через «чорну діру»........................................................29

Керування мобільними пристроями.......................................................30

Безпечне Стирання і Утилізація.............................................................31

Пристрої та інструменти, що використовуються для стримування та

пом’якшення..........................................................................................................33

Важливість оновлення сигнатур пристроїв...........................................34

Додаткова тактика стримування та пом’якшення................................36

Інцидент з витоком даних (приклад 1)...................................................37

DoS-Інцидент (Приклад 2)......................................................................39

Розширена постійна загроза (Приклад 3)..............................................40

 Інструкції щодо стримування та пом’якшення інцидентів..................42

Підготовка CSIRT до криміналістичного розслідування........................42

Криміналістичні аналітики......................................................................42

Обов'язки експерта-криміналіста...........................................................43

Спілкування з експертами-криміналістами...........................................44

Інструкції щодо виконання завдання після інциденту.........................45

Швидке, але обережне реагування на неминуче може мати велике

значення для запобігання серйозної довгострокової шкоди організації.
На цьому уроці ви навчитесь, як:
 Розробити та впровадити систему реагування на невідкладні
ситуації шляхом пом’якшення безпосередніх і потенційних загроз.
 Стримувати та пом'якшувати інциденти, використовуючи різні
методи та пристрої.
 Підготуватися до переходу від фази реагування на інцидент до
фази післяінцедентного криміналістичного дослідження.

Обробка інцидентів і планування реагування

Ефективно та результативно реагувати на інцидент можливо лише за
наявності відповідних процесів, персоналу та інструментів.
До того, як станеться інцидент безпеки, організація повинна
спланувати та запровадити можливості обробки інцидентів, які включають
навички, ролі, процедури, процеси та інструменти для реагування на
інциденти безпеки. Метою має бути розробка плану реагування на
інциденти, який дозволить:
 Виявляти компроміси якомога швидше та ефективніше.
 Реагувати на інциденти якнайшвидше.
 Визначати причину якомога ефективніше.
У відповідь на інцидент безпеки організація повинна зробити наступне:
 Захистити дані, одночасно обмежуючи безпосередній вплив на
клієнтів і ділових партнерів.
  Стримати інцидент, щоб запобігти подальшій ескалації.
 Вжити необхідних заходів після інциденту, щоб якомога швидше
повернутися до нормальної роботи.
 Визначити, як стався інцидент.
 Визначити, як запобігти подальшому використанню тієї самої
вразливості.
 Оцінити вплив і шкоду системам, репутації, фінансам тощо.
 За потреби оновити політику та процеси безпеки організації на
основі висновків, отриманих з інциденту.
Документація
План реагування на інциденти та багато конкретних політик, процедур
і вказівок, детально описаних у цьому уроці, мають бути включені до
загальної організаційної документації. Це забезпечить наявність офіційного
джерела для всіх спеціалістів із безпеки організації. Наприклад,
документування існуючих елементів керування конфігурацією безпеки.
Можна швидко застосувати ці конфігурації, щоб пом’якшити наслідки
інциденту, заощадивши час і проблеми зі створенням нових конфігурацій.
Або визначивши, коли такі конфігурації не змогли запобігти повторенню
інциденту та потребу в покращенні чи заміні. Ці конфігурації також можуть
включати методи захисту систем під час атаки. Було б найкраще
задокументувати базові конфігурації для систем і мереж, щоб порівняти
поточний стан цих активів із базовим. Пройшовши цю підготовку, буде
легше визначити аномалії, які можуть свідчити про інцидент.
Планування аварійного відновлення
Інша основна частина процесу планування має бути зосереджена на
відновленні після катастрофи чи іншого великомасштабного інциденту.
Після переходу до фази відновлення може виявитися особливо складним, а в
деяких випадках і неможливим, повністю відновити системи без належної
підготовки. Коли справа доходить до великомасштабних інцидентів, які
завдають шкоди багатьом активам, організація може отримати вигоду від
резервного копіювання всіх даних і систем за межами підприємства. В
ідеалі це зовнішнє резервне копіювання має бути достатньо відокремлене
від основних операцій, щоб на нього не вплинули злом або катастрофа.
Замість відновлення з нуля, відновлення буде швидшим і легшим за
допомогою цієї резервної копії.
Подібна ідея та ще один хороший спосіб планування на випадок
катастрофи передбачає створення книги сайту. Книга сайту – це документ
або колекція документів, які містять інвентаризацію всіх відомих активів,
конфігурацій, протоколів і процесів, які складають певний сайт. Замість
безпосереднього відновлення, як у резервному копіюванні за межами
підприємства (що може бути неможливим для організації), книга сайту
реконструюватиме системи такими, якими вони були, оскільки ніхто не
пам’ятає тисячі дрібних тонкощів у налаштуваннях організації.
Інформація для включення до книги сайту:
 Обладнання (серійні номери, MAC-адреси, тип/розмір
накопичувача, тип/швидкість процесора тощо)
 Програмне забезпечення (операційні системи, програми, скрипти,
доповнення тощо)
 Мережева інфраструктура (кабелі, комутатори, маршрутизатори
тощо)
 Фізична інфраструктура (блоки живлення, столи, стільці, стелажі
тощо)
 Інформація про гарантію (дати, постачальники, квитанції,
реєстраційна інформація тощо)
 Конфігурації (IP-адреси, структура організації, розподіл, файли
конфігурації тощо)
 Адміністративні облікові дані (імена користувачів, паролі,
маркери тощо)
Збір і запис усієї цієї інформації може здатися складним завданням,
тому, можливо, краще автоматизувати процес. Так само потрібно
запровадити процес оновлення записів щоразу, коли щось змінюється.
Інформація в книзі сайту, безсумнівно, буде вразливою та критично
важливою, тому її безпека має першорядне значення. Щоб запобігти витоку
цієї інформації, необхідно використовувати надійне шифрування.
Процес реагування на інцидент
Процес реагування на інцидент складається з кількох кроків (див. рис.
нижче).
 Рисунок 1.1: Типовий процес реагування на інцидент
Ці кроки можуть відрізнятися від організації до організації, але
загальний процес такий:
1. Планування і визначення інциденту.
2. Ініціація протоколів обробки інцидентів.
3. Запис інциденту.
4. Оцінка та аналіз події.
5. Зберігання наслідків інциденту.
6. Пом’якшення та ліквідація негативних наслідків інциденту.
7. Передача проблеми відповідному члену команди (делегація),
якщо це можливо.
8. Відновлення після інциденту.
9. Розгляд та звітування про деталі (подробиці) інциденту.
10. Складання проекту звіту про завершення дії.
SOCs
Операційний центр безпеки (Security Operations Center, SOC) – це
місце, де фахівці з безпеки контролюють і захищають критичні інформаційні
активи в організації. SOC є життєво важливими для управління безпекою,
оскільки вони централізують і оптимізують зусилля організації з безпеки,
щоб максимізувати її ефективність. Оскільки встановлення, підтримка та
фінансування SOC може бути складною задачею для малого та середнього
бізнесу, їх зазвичай використовують великі корпорації, які мають захищати
вразливу інформацію, як-от урядові установи чи медичні компанії, які
працюють з особистою інформацією (Personally Identifiable Information, PII).
SOCs, незважаючи на їхню різницю у розмірі, сфері діяльності та
відповідальності, зазвичай розробляються з урахуванням кількох ключових
принципів. SOC повинен задовольняти наступним умовам:
 Мати обладнання для виконання обов’язків з реагування на
інциденти.
 Мати повноваження, затверджені політикою організації,
необхідні для ефективності у виконанні своїх обов’язків.
 Усвідомлювати сильні сторони та обмеження кожного
інструменту, який він використовує.
 Усвідомлювати нюанси моніторингу, щоб мати можливість
відокремити сигнал від шуму.
 Бути здатним збалансувати свій розмір і присутність в
організації, не переходячи її межі.
 Мати можливість інтегрувати широкий спектр процесів безпеки в
єдиний операційний центр.
 Бути готовим використовувати свої найсильніші процеси,
мінімізуючи використання найслабших.
 Бути укомплектованим мотивованими, кваліфікованими
професіоналами та не переповненим персоналом з недостатньою
кваліфікацією.
 Мати здатний захистити власні системи та інфраструктуру SOC
від атак.
 Бажання співпрацювати з іншими SOC для обміну цінною
розвідувальною інформацією про загрози та методи пом’якшення.

Організація CSIRT
Організації часто створюють групу реагування на інциденти
кібербезпеки (Cybersecurity Incident Response Team, CSIRT), щоб допомогти
ідентифікувати інциденти інформаційної безпеки та керувати ними. Особи,
 які входять до складу CSIRT, навчаються належним методам збору та
збереження для розслідування інцидентів безпеки. Спеціальна публікація
Національного інституту стандартів і технологій (NIST SP) 800-61r2 визначає
наступні моделі для організації такої групи.
 Центральна команда: одна команда обробляє інциденти від
імені всієї організації. Цей підхід підходить для невеликих організацій, які
територіально не розосереджені.
 Розподілена команда: для більших або географічно
розосереджених організацій може бути більш доречним мати індивідуальні
CSIRT для різних сегментів організації або різних географічних місць.
Організаційна структура звітності, процеси, політика та персонал мають бути
однаковими для різних команд, щоб забезпечити узгоджену реакцію в усій
організації з розподілом інформації між різними CSIRT.
 Координаційна група: можна додати загальну центральну
команду для надання вказівок і координації між розподіленими командами.

Ролі CSIRT
Незалежно від організаційної моделі члени CSIRT можуть мати певні
ролі та обов’язки.
 Менеджер/керівник групи: контролює CSIRT і гарантує, що всі
члени команди працюють якнайкраще від своїх можливостей.
 Слідчий: намагається виявити вплив і джерело інциденту.
 Спеціаліст із безпеки: надає технічну підтримку іншим членам
команди під час роботи зі спеціалізованими системами.
 Персонал довідкової служби: надають технічну підтримку співробітникам і
клієнтам, які постраждали від інциденту.
 Кризовий комунікатор: ефективно повідомляє зацікавленим
сторонам важливі деталі інциденту.
 Аудитор: переглядає та оцінює існуючі політики безпеки,
процедури та механізми, щоб переконатися, що їх дотримуються під час
реагування на інцидент.
 Юридичний радник/консультант: допомагає надавати
юридичні консультації або спілкуватися з правоохоронними органами, коли
інцидент вважають кримінальним.
 Розробник програмного забезпечення: створює та підтримує
інструменти, які використовує CSIRT.
Постійне навчання
Це правда, що весь персонал, незалежно від кваліфікації в галузі
кібербезпеки , повинен пройти навчання відповідно до своїх ролей. Для
CSIRT це особливо важливо: безперервність роботи може залежати від того,
чи кожен член групи реагування буде в курсі останніх загроз і заходів
протидії. Команда, не готова до боротьби з поточною загрозою, не
працюватиме оптимально та може поставити організацію під загрозу перед
обличчям нового типу атаки. Тому члени CSIRT повинні проходити
регулярне навчання, бажано кожні шість місяців. Режим навчання має
включати оновлену інформацію про загрози та оцінку технічних навичок
кожного члена та його здатності працювати з колегами в команді.
Зовнішні CSIRT
Різні фактори можуть перешкодити організації створити та керувати
власною CSIRT. Мати ще одну команду для управління та фінансової
підтримки не завжди можливо, особливо тому, що CSIRT повинні бути готові
до роботи в будь-який час. Ось чому може бути гарною ідеєю передати
повноваження CSIRT компанії, яка спеціалізується на реагуванні на
інциденти. Просто майте на увазі, що плавна інтеграція зовнішнього джерела
в організацію може бути складною, тому все одно потрібно бути готовим
сприяти потребам CSIRT у разі виникнення інциденту. Якщо інцидент
переходить у криміналістичне розслідування, може також знадобитися
зберегти реакцію на інцидент, щоб надати точні свідчення правоохоронним
органам. Також існує ймовірність того, що CSIRT буде складатися з
внутрішнього та зовнішнього персоналу.
Один день із життя CSIRT
Може здатися очевидним, що щоденні завдання CSIRT складатимуться
з реагування на інциденти комп’ютерної безпеки. Тим не менш, насправді,
CSIRT виконує багато різних видів діяльності, які можуть здатися
неочевидними з назви. Протягом будь-якого дня члену CSIRT може
знадобитися виконати типи завдань, описані нижче.
Негайне вживання заходів у відповідь на інциденти. Перша реакція
включає такі дії, як:
 Захист систем і мереж від зловмисників.
 Реалізація стратегій реагування або обхідного шляху.
 Вивчення інших систем і мереж для пошуку додаткових ознак
активності зловмисників.
 Відновлення систем і мережевих операцій, що включає
виправлення, ремонт і перебудову систем.
Виконання аналітичних завдань та завдань з вирішення проблем.
Перша відповідь включає такі завдання аналізу, як:
 Визначення відповідних заходів, які захистять системи та мережі
від зловмисників.
  Моніторинг або дослідження відповідних консультацій або
сповіщень щодо рішень і стратегій пом’якшення.
 Розробка нових стратегій реагування або обхідних шляхів, якщо
це необхідно для боротьби з загрозами, що виникають.
 Визначення інших операцій, які слід виконати для виявлення
додаткових пов’язаних атак.
Ефективне спілкування. Члени CSIRT часто повинні координувати
роботу та використовувати досвід і навички інших, серед яких:
 Інші члени CSIRT.
 Інші функції в організації включають функції ІТ-технологій,
відповідність, бізнес-операції та безпеку об’єктів.
 Консультанти і продавці.
Адаптація до змін: члени CSIRT повинні мати можливість
адаптуватися та мислити нестандартно, оскільки ландшафт кібербезпеки
змінюється дуже швидко.
Проведення настільних навчань: настільні навчання – це зустріч для
обговорення можливих надзвичайних ситуацій та інцидентів безпеки. Члени
CSIRT розглядають теоретичні чи гіпотетичні ситуації, щоб досягти
консенсусу щодо відповідних реакцій на ці ситуації. Рішення CSIRT під час
настільних вправ допоможуть їм, коли теоретичне стане реальністю.
Захист доказів, приватності та конфіденційності: у процесі
реагування на інцидент кібербезпеки CSIRT має бути обережним, щоб не
знищити докази, якщо у зв’язку з інцидентом стався злочин. CSIRT також
має бути обережним, щоб не скомпрометувати дані, які мають бути
конфіденційними.
Спілкування в межах CSIRT
Коли стався інцидент безпеки, комунікація є ключовою для виконання
планів, розроблених організацією для таких випадків. Наявність
налаштованого процесу ескалації зв’язку сприятиме отриманню знань і
командній роботі, необхідним для вирішення інциденту та відновлення
нормального функціонування організації.

Щоб розвинути комунікаційний процес:

 1. Визначте внутрішніх осіб та інші довірені сторони, з якими
потрібно зв’язатися у випадку інциденту безпеки. Запишіть цю інформацію в
список викликів і переконайтеся, що список актуальний.
2. Визначте зовнішніх осіб, з якими потрібно зв’язатися у разі
інциденту з безпекою, включно з юридичними чи регуляторними органами.
Також запишіть цю інформацію у список викликів.
3. Визначте, коли повідомляти членів CSIRT.
4. Визначте захищені канали для використання в первинному
зв’язку.
5. Встановіть протоколи для спілкування поза смугою зв’язку та
спілкування через інші захищені канали, якщо основний канал зламано.
6. Переконайтеся, що сторони, які володіють конфіденційною
інформацією, не передають цю інформацію ненадійним сторонам, навмисно
чи випадково.
7. Документуйте та навчайте людей у цьому процесі.
8. Протестуйте процес і перевірте будь-яку частину, яка вийшла з
ладу під час тестування.
Важливо зазначити, що комунікація не є функцією однієї фази; це
відбувається на всіх етапах інциденту і, отже, є чимось, що слід постійно
підтримувати.
Ця частина охоплюватиме комунікаційне планування та ідентифікацію
інцидентів, наслідки цих інцидентів та те, як їх оцінювати, аналізувати та
стримувати.

Плани внутрішніх і зовнішніх комунікацій

Є багато різних осіб з різними ролями, які можуть бути залучені в
інцидент, на який реагує CSIRT. Ви можете вважати, що ці люди заважають,
але не варто забувати про контекст, який вони можуть надати команді під час
і після інциденту. Тому вам слід розробити плани внутрішньої та
зовнішньої комунікації, спрямовані на цих осіб.
 Нижче наведено кілька прикладів внутрішніх і зовнішніх зацікавлених
сторін, які можуть мати відношення до ваших заходів реагування:
 Будь-які окремі жертви (крім самої компанії), які постраждали
внаслідок інциденту: це можуть бути загальний персонал або керівництво,
чия робота чи особисте життя були порушені через інцидент, а також
клієнти, чия ідентифікаційна інформація була викрадена в результаті
порушення.
 Внутрішні відділи, як-от відділ кадрів і маркетинг, яким може
знадобитися повідомити про інцидент співробітників і клієнтів: закони чи
нормативні акти можуть вимагати від вас розкрити певну інформацію
постраждалим сторонам.
 Акціонери: вплив на бізнес вплине на акціонерів організації,
якщо вона зареєстрована. Вас можуть попросити повідомити акціонерам, як
інцидент негативно вплине на прибутки.
 Засоби масової інформації: залежно від розміру вашої організації
та впливу та масштабу інциденту, ви можете бути зобов’язані повідомити
громадськість про те, що сталося. За таких обставин вам, імовірно,
доведеться ознайомитись із засобами масової інформації, щоб охопити
якомога більше постраждалих сторін.
 Потенційні винуватці інциденту: хоча вони можуть заперечувати
свою причетність, ви все одно можете щось дізнатися про інцидент на основі
їхніх відповідей. Деякі можуть навіть зізнатися і надати вам важливу
інформацію, але ви повинні враховувати, що ця інформація може бути
неточною.
 Місцеві правоохоронні органи: органи влади можуть надати
послуги, щоб допомогти вам у врегулюванні інцидентів, або ви можете
просто повідомити їм про ситуацію, щоб підготуватися до судового позову в
майбутньому.
 Системні адміністратори: цей персонал краще за будь-кого знає
про нормальну базову поведінку мережі та її систем, тому їхній внесок може
стати великою підмогою у визначенні причини та відновленні операцій.
 Менеджери та керівники: може виникнути необхідність посилити
певні заходи реагування вище за ланцюгом командування. Ці особи, які
приймають рішення, в кінцевому підсумку контролюють організацію, і
рішення щодо обробки інцидентів, які можуть серйозно вплинути на роботу,
не повинні прийматися без їхнього схвалення.
 Постачальники, з якими ви маєте ділові відносини: якщо
інцидент впливає на певний продукт або групу продуктів від одного чи
кількох постачальників, ці постачальники можуть надати вам підтримку.
Постачальники засобів безпеки також пропонують інструменти та вказівки
клієнтам, які можуть зіткнутися з інцидентом.
 Інші групи CSIRT і комп’ютерні групи реагування на надзвичайні
ситуації (Computer Emergency Response Teams, CERT), які можуть надати
цінну інформацію, що може вплинути на ваш процес реагування: обмін
знаннями з командами-однодумцями може значно покращити ваші зусилля з
виявлення, пом’якшення та відновлення після інциденту.
У спілкуванні з цими сторонами трохи такту піде на користь. Кожен із
ваших членів CSIRT має бути в змозі зберігати спокій, незалежно від
обставин. Неналежне поводження з будь-якою з цих сторін може підірвати
успіх реагування на інцидент і розслідування.
Ідентифікація інциденту
Власне визначення того, що стався інцидент, а потім з’ясування
його наслідків може бути найскладнішим кроком у процесі обробки та
реагування. Це пояснюється кількома причинами, зокрема тим, що різні
механізми виявлення, як ручні, так і автоматичні, мають різні рівні
чутливості та точності. Успіх цих механізмів також залежатиме від того,
відома чи невідома загроза – атаку, яка не мала прецедентів, буде важко
вчасно ідентифікувати, або вона може повністю обійти виявлення. Іншою
важливою проблемою є те, що залежно від розміру організації та характеру її
активів кількість сповіщень, які отримує персонал служби безпеки, може
бути настільки великою, що її неможливо легко проаналізувати. Нарешті, для
людини, що надає першу допомогу, може бути важливо мати глибокі знання
про певні системи та контекст, у якому ці системи впроваджуються в
організації. Може просто не вистачити кадрів з необхідним фахом.
Тим не менш, завдання першої служби реагування полягає в тому, щоб
визначити, коли сталося порушення. Для цього вони повинні шукати
індикатори компромісу (Indicators Of Compromise, IOC) на основі зібраних
даних. IOC бувають у багатьох формах і надходять із багатьох джерел, тому
життєво важливо знати про кожен актив безпеки, який використовує ваша
організація.
Приклади з IOC включають:
 Несанкціоноване програмне забезпечення і файли
 Підозрілі електронні листи
 Підозрілий Реєстр записів
 Невідомий порт і протокол використання
 Надмірне використання пропускної здатності
 Порушення обслуговування та пошкодження
 Підроблене обладнання
 Підозрілий або неавторизоване використання облікового запису

Джерела IOC
Нижче наведено деякі додаткові IOC, як технічні, так і нетехнічні, а
також потенційне джерело кожного IOC.
 Програмне забезпечення для захисту від зловмисного
програмного забезпечення: сповіщення, яке створюється, коли в системі
хоста виявлено сигнатуру вірусу.
 Система виявлення вторгнень у мережу/система запобігання
вторгнень у мережу (Network intrusion detection system/network intrusion
prevention system, NIDS/NIPS): сповіщення, що створюється після
виявлення автоматичного сканування портів.
 Система виявлення вторгнень на хост/система запобігання
вторгнень на хост (Host intrusion detection system/host intrusion prevention
system, HIDS/HIPS): сповіщення, створене після того, як криптографічний
хеш важливого файлу більше не відповідає його відомому, прийнятому
значенню.
 Системні журнали: запис у журналі подій Windows вказує, коли
користувач увійшов на хост.
 Журнали мережевого пристрою: запис у журналі брандмауера
вказує на розірване з’єднання, призначене для заблокованого порту.
  Інформація про безпеку та керування подіями (Security
information and event management, SIEM): сповіщення генерується, якщо в
будь-яких відповідних журналах виявляється аномальна поведінка.
 Пристрій контролю трафіку: незвичайно великий обсяг трафіку
в мережі вказує на стан спроби відмови в обслуговуванні (Denial of Service,
DoS).
 Внутрішній персонал: свідчення співробітників вказують на те,
що вони могли бути свідками порушення.
 Люди за межами організації: зовнішня сторона, яка стверджує,
що несе відповідальність за атаку.
 Дослідження: сторонні дослідження та інформація з бази даних
уразливостей вказують на нову загрозу, яка може бути націлена на вашу
організацію.

Вплив і масштаб інцидентів

Збитки, завдані в результаті інциденту, можуть мати широкомасштабні
наслідки, зокрема:
 Пошкодження цілісності даних та ресурсів інформаційної
системи
 Несанкціоновані зміни та налаштування даних або
інформаційних систем
 Крадіжка даних або ресурсів
 Розкриття конфіденційних або чутливих даних
 Переривання послуг і спричинення простою системи
Крім того, вплив інциденту може бути як матеріальним, так і
нематеріальним. Відчутними наслідками можуть бути пошкоджені дані на
жорсткому диску, видалений список клієнтів або вкрадені паролі. Однак
інциденти можуть мати більш нематеріальні наслідки, які все одно завдають
шкоди організації. Наприклад, ваша організація може зазнати економічної
шкоди через втрату потенційних клієнтів через недоступність веб-сайту після
DoS-атаки. Репутація вашої компанії може бути заплямована, якщо
конфіденційні дані клієнтів і співробітників будуть викрадені.
Важливо не недооцінювати масштаб впливу інциденту на вашу
організацію. Щоб визначити ступінь збитку, вам слід поспілкуватися з
членами CSIRT, а також іншими співробітниками, щоб визначити всі аспекти
організації, на які може вплинути інцидент. Можливо, ви не знаєте про
 кожну дрібницю повсякденної роботи кожного працівника, тому важливо
включити їх точку зору у свою відповідь.
Оцінка і аналіз інциденту
Зусилля з виявлення та аналізу інцидентів можуть бути складними.
Навіть окрім величезної кількості сповіщень, які генеруються щодня, багато з
цих сповіщень можуть виявитися помилковими. На етапі аналізу ви повинні
вміти відокремити помилкові спрацьовування від реального показника
інциденту.
Навіть якщо сповіщення або запис у журналі не є хибно
позитивним і фактично вказує на щось несприятливе, це не обов’язково
означає, що це результат інциденту. Сервери виходять з ладу, робочі
станції виходять з ладу, а файли змінюються через помилки, спричинені як
машинами, так і людьми. Однак вони не повідомляють автоматично, чи ваша
організація щойно зазнала значної атаки чи нещасного випадку.

У багатьох випадках це зводиться до вашого власного судження як

професіонала та консенсусу вашої команди. Щоб допомогти вам у прийнятті
цих суджень, вам слід не лише проконсультуватися з іншими фахівцями з
безпеки, але також слід зіставити сповіщення, записи в журналі та інші
потенційні індикатори. Сильна кореляція допоможе або вказати, що інцидент
стався, або переконати вас, що цього не сталося.
Аналіз інцидентів може отримати користь від наступного:
 Документуйте всі системи у вашій організації, включаючи апаратне
забезпечення, програмне забезпечення, утиліти тощо. Це гарантує, що ніщо
не пройде повз ваш аналіз.
 Розглядайте ці системи з точки зору їх критичності. Інциденти,
націлені на критичні системи та процеси, можуть вимагати іншого підходу до
визначення пріоритетів.
 Подумайте, як обсяг інциденту може вплинути на час
відновлення. Складні та ресурсомісткі системи не можуть бути легко
відновлені.
  Встановіть базову лінію для нормальної поведінки. Таким чином
ви зможете порівняти існуючу систему з базовою конфігурацією, і якщо
щось не так, буде легше проаналізувати розбіжність.
 Зберігайте журнали з усіх джерел. Інциденти іноді виявляються
через кілька місяців після того, як вони сталися. Відсутність цих журналів
серйозно вплине на ваші зусилля з аналізу.
 Зіставте події, сповіщення та інші потенційні індикатори з усіх
джерел. Пошук шаблону дій, який відтворюється як у NIDS, так і в
системному журналі хоста, полегшить визначення методу атаки.
 Пошукайте інформацію в авторитетних джерелах Інтернету.
Консультація на веб-сайтах індустрії безпеки та форумах, орієнтованих на
безпеку, може дати цінну інформацію про інцидент.
 Відфільтруйте нерелевантні або несуттєві джерела інформації.
Забагато джерел із занадто великою кількістю даних може ускладнити ваші
зусилля.
 Належним чином документуйте результати аналізу в базі даних.
Можливість швидкого повернення до ваших попередніх результатів може
допомогти вам максимально ефективно співвіднести й оцінити дані.
Стримування інцидентів
Методи стримування збитків під час реагування на інцидент безпеки є
унікальними для інциденту та організації, але нижче наведено деякі загальні
підходи.
 Забезпечення безпеки та захисту всього персоналу: першочерговою
турботою всіх керівників, які беруть участь у реагуванні на безпеку, є
безпека та захист персоналу. По-друге, потрібно охороняти об’єкти.
Після цього CSIRT може продовжити виконання своїх завдань, щоб
вирішити проблему та повернути бізнес-функції організації до
нормального стану.
 Видалення пристроїв із мережі. Видалення шкідливого пристрою з
мережі організації може допомогти протистояти атаці зловмисного
коду. Вилучивши пристрій, ви можете зупинити поширення атаки та
стримати її на ураженому пристрої.
 Вимкнення зв’язку між мережевими пристроями: якщо один
пристрій було зламано, ви можете вимкнути зв’язок з іншими
пристроями, щоб уникнути подальших пошкоджень. CSIRT може
відновити зв’язок після повернення пристрою до нормального
функціонування.
 Вимкнення мережевих облікових записів користувачів: тимчасове
вимкнення мережевих облікових записів користувачів може виявитися
 корисним для запобігання збитку, якщо в мережі буде виявлено
зловмисника. Без привілеїв доступу до ресурсів зловмисник не зможе
надалі пошкодити або викрасти інформацію з організації. CSIRT може
відновити доступ користувача після того, як обліковий запис
порушника буде ідентифіковано та припинено.
 Вимкнення облікових записів електронної пошти. Тимчасове
вимкнення облікових записів електронної пошти може допомогти
запобігти проникненню шкідливих програм у всю мережу. CSIRT може
відновити електронну пошту після усунення відомої загрози.
 Обмеження доступу до уражених підмереж. Створення підмереж у
мережі є профілактичним кроком для запобігання збитку, дозволяючи
швидко ідентифікувати та вимикати частину мережі, не впливаючи на
всю мережу.
 Ізоляція скомпрометованої системи: переведіть скомпрометовану
систему в автономний режим без пошкодження доказів.
 Поводження зі скомпрометованою системою як з місцем злочину:
чекаючи на прибуття експерта-криміналіста, поводьтеся з системою як
з будь-яким іншим місцем злочину, запобігаючи подальшому
скомпрометуванню системи або знищенню доказів.
Пом’якшення та ліквідація інциденту
Після того, як інцидент було виявлено, проаналізовано та локалізовано,
ви можете перейти до пом’якшення та ліквідації його з ваших систем. Це
робиться з наміром зупинити інцидент, коли він відбувається, або припинити
негативні наслідки, які інцидент залишив позаду. У будь-якому випадку вам
потрібно визначити, які хости та інші пристрої вплинули, і як саме вони
вплинули. Якщо, наприклад, ви ізолювали певні частини мережі в
підмережах, щоб зупинити поширення комп’ютерного хробака, ви можете
почати процес видалення інфекції з ураженої підмережі. Якою б не була
ситуація, ви повинні пам’ятати, що головна мета служби швидкого
реагування – повернути роботу в нормальний стан.
Примітка: Залежно від інциденту та його наслідків стримування,
пом’якшення, ліквідація та відновлення можуть бути частиною одного
процесу.

Відновлення після інциденту

Заходи, які ви вживаєте для відновлення після інциденту, значною
мірою залежатимуть від характеру інциденту, а також від того, як ви
підготувалися саме до такого інциденту. Розглянемо деякі приклади
відновлення після інциденту.
  Якщо зловмисник видаляє дані з бази даних, ви можете відновити їх,
якщо ви створювали резервні копії. Безперервна реплікація цих даних
1:1 вимагатиме від вас мінімальних зусиль, але резервні копії, зроблені
через певні проміжки часу, можуть залишити деякі дані неповними або
такими, що неможливо відновити. Якщо можливо, визначте, що
можливо, про дані, які були втрачені за період часу з моменту
останнього резервного копіювання.
 Якщо DDoS-атака виводить із ладу ваші веб-сервери, вам може
знадобитися вручну перезавантажити ваші сервери та виконати
перевірку їх справності, перш ніж повертати їх у робочий стан. Вони
повинні приймати вхідні підключення поступово, а не всі відразу, щоб
запобігти повторному перевантаженню серверів. Якщо ви визначили
джерело чи джерела зловмисного трафіку, ви також можете наказати
серверам фільтрувати їх.
 Якщо співробітник випадково завантажує зловмисне програмне
забезпечення на свою робочу станцію, ви можете спробувати видалити
його за допомогою програмного забезпечення для захисту від
шкідливих програм. Якщо зловмисне програмне забезпечення не
зникне, можливо, доведеться стерти весь накопичувач і перевстановити
операційну систему. По-справжньому відновити можна лише тоді, коли
зловмисне програмне забезпечення повністю зникне з системи, а
користувач навчений бути більш обізнаним щодо безпеки.
Окрім технічних аспектів аварійного відновлення та безперервності
бізнесу, CSIRT виконує ряд інших ролей:
 Забезпечення керівництва інформацією та стратегіями реагування:
після інциденту CSIRT займатиметься відновленням систем і
даних, тим, як захистити їх від подальших атак тощо. Тим часом
керівництво всієї організації розглядатиме, як інцидент вплине на їхні
відділи чи функціональні сфери, і прийматиме певні рішення.
Організація може мати групу управління кризою для координації
загальноорганізаційної реакції на кризи в цілому. CSIRT може надати
команді управління кризою (до складу якої входять особи, які
 приймають рішення, що стосуються всієї організації) корисну
інформацією, щоб допомогти їм у цьому процесі.
 Надання інформації, необхідної для комунікацій у кризових ситуаціях:
стандарти та правила можуть вимагати спеціальних комунікацій із
клієнтами, партнерами та різними агентствами. Належна бізнес-
практика також вимагатиме, щоб ви інформували різні сторони,
включно зі зв’язками з громадськістю чи контролем збитків у пресі та
соціальних мережах. Оскільки різні функції всередині організації
передають інформацію всередину та ззовні, вони звертатимуться до
CSIRT за інформацією щодо передбачуваного простою, обсягу систем і
даних, які постраждали, тощо.
 Забезпечення подальшої підтримки відносин із клієнтами та
партнерами: після інциденту у клієнтів і партнерів можуть виникнути
занепокоєння щодо безпеки вашої організації. Хоча організація
повинна вжити заходів для покращення безпеки, можливо,
звернувшись до сфер пом’якшення ризиків, готовності, реагування та
відновлення, деякі необхідні подальші дії можуть бути питанням
зв’язків з громадськістю, коли організація шукає лідерство, ідеї та
інформацію для підтримки зусиль.
Після інциденту
Останню фазу процесу реагування на інцидент часто називають фазою
після інциденту, оскільки вона відбувається після того, як організація
успішно відновилася після інциденту. Звіт про завершення дії (After-Action
Report, AAR) або звіт про отримані уроки (Lessons Learned Report, LLR) – це
документація після інциденту, яка містить аналіз подій та інцидентів у сфері
безпеки, що може надати розуміння напрямків, які дозволять підвищити
безпеку в майбутньому.
Важливим компонентом вашої документації після інциденту буде
узагальнення та надання опису того, що сталося під час інциденту. Опис,
адаптований до загальної аудиторії та представлений на високому рівні,
може включати такі деталі, як початкове розслідування інциденту, яке
визначило, у чому полягала проблема та який ефект вона мала; вплив і
масштаб атаки; загальний хронологічний журнал інциденту, який повідомляє
про те, що сталося і коли це сталося; загальні дії, вжиті для локалізації та
пом'якшення інциденту; і більше.
Також має бути технічний опис інциденту, який буде корисним для
технічного персоналу. Наприклад, технічний опис атаки може включати
конкретні вектори атаки та конкретні механізми, використані для
компрометації певних систем. Технічний звіт також може містити певні
ключові журнали як вкладені файли, щоб відповідні фахівці могли легко
перевірити та порівняти твердження, зроблені у звіті, з фактичними
доказами.
Ви повинні не лише описати, що сталося під час інциденту та як ви
реагували, але й після цього ви також повинні задокументувати, що цей
інцидент означає для вашої безпеки та як він може вплинути на ваш план
реагування на інцидент. По суті, ви визначите елементи вашої безпеки, які
потребують покращення, і те, як ви можете покращити їх найкращим чином.
Чим більше ви вчитеся на своїх успіхах і помилках, тим точнішими будуть
ваші судження. Володіння цим безцінним навиком є важливим, особливо
якщо вас покликано вирішувати складні, відкриті проблеми.
Значна частина підготовки проекту звіту AAR полягає у відповіді на
кілька простих запитань. Нижче наведено лише деякі запитання, які ви
повинні поставити під час написання AAR:
 Які дії ви вжили?
 Це оптимальне рішення? Іншими словами, чи є рішення, яке ви
використали, тимчасовим заходом, чи це те, що ви могли б послідовно
відтворювати та використовувати як політику?
 Чи існують ефективніші рішення?
 Як команди відреагували на проблему? Чи могли вони вирішити
інцидент швидше чи ефективніше?
 Як би ви відреагували по-іншому у випадку того самого чи подібного
випадку?
 Чи вимагають відповіді на ці запитання змінити політику безпеки чи
оновити план реагування на інциденти?
 Чи існує план дій або план виправлення, який дозволить організації
фактично впровадити ці коригувальні дії?

Аналіз причин
Іншим компонентом AAR є аналіз першопричини або спроба
визначити каталізатор інциденту. Найпростіший спосіб знайти
першопричину – це продовжувати задавати собі питання: «Що було
першочерговим, що дозволило цьому статися?» З кожною відповіддю ви
знову задаєте одне й те саме запитання: «Що саме дозволило цьому статися?»
Ви продовжуєте задавати це питання, повертаючись назад. Як правило,
першопричину можна розкрити приблизно у шести питаннях. І, як правило,
буде більше однієї першопричини.
Перевірка
Команда реагування на інциденти зацікавлена в тому, чи дійсно буде
вжито запропоновані ними коригувальні дії – зрештою, їм не потрібно
рятувати організацію від інциденту того самого типу, якого можна було б
легко уникнути. Ось чому деякі команди проходять процес перевірки,
щоб переконатися, що запропоновані ними елементи керування мають
очікуваний ефект. Процес перевірки може включати перевірку того, що
організація впроваджує виправлення безпеки в уразливих системах, змінює
конфігурацію дозволів користувача, щоб гарантувати, що зловмисники не
можуть легко використовувати привілеї, і реалізує режим сканування
вразливостей. Якщо команда реагування вважає, що під час інциденту вона
не отримала достатньо інформації, яка повинна діяти, вона також може
переконатися, що послуги моніторингу безпеки та журналювання належні.

Інструменти поводження з інцидентом

CSIRT має низку інструментів, які вони можуть використовувати для
вирішення інцидентів безпеки. Оновлення набору інструментів сприятиме
оптимальній роботі CSIRT. Розглянемо деякі приклади інструментів.
 Створення образів дисків: EnCase, Clonezilla, FTK Imager
 Спільний доступ до мережі: BySoft Network Share Browser,
NetShareWatcher
 Керування правами користувачів: Novell® ZENworks® Desktop
Management 7, панель керування користувачами та групами Windows®
 Відновлення видалених даних: TestDisk, перш за все
 Мережевий аналіз/аналіз пакетів: Wireshark, Packetyzer, tcpdump
 Злом паролів: Cain & Abel, John the Ripper
 Перерахування активних портів: Nmap ®, Netcat

Стримування та пом’якшення
Стримування та пом’якшення наслідків мають бути основною
частиною плану реагування на інциденти (Incident Response, IR) будь-якої
організації. У цьому модулі будуть висвітлені різні методи, які необхідно
застосувати для належного стримування та пом’якшення інциденту безпеки.
 Загартовування системи
Загартовування (захист, зміцнення) системи – це процес, за
допомогою якого хост або будь-який інший пристрій стає більш безпечним
шляхом зменшення поверхні атаки цього пристрою. Зміцнення є
найефективнішим як профілактичний захід під час проектування безпеки
системи, але це не завжди можливо через обмеження часу, грошей і потребу
в зручності (коли використання системи без засобів загартовування є
простішим або зручнішим і це принципово, бо дає певні переваги для
бізнесу, які виправдовують ризик). Однак захист може бути корисним після
того, як стався інцидент, щоб усунути будь-які тривалі ефекти або очистити
заражену систему. Захист також може видалити та запобігти подальшому
доступу неавторизованих користувачів до скомпрометованих систем.

Існує багато потенційних підходів до загартування, кожен із яких може

бути більш ефективним у певних контекстах. Розглянемо деякі приклади.
 Дезактивуйте непотрібні компоненти, зокрема апаратне
забезпечення, програмне забезпечення, мережеві порти, процеси й служби
операційної системи, а також програми. Коли ці компоненти не
використовуються, вони можуть опинитися поза вашим контролем
(наприклад, ПЗ, яке своєчасно не було оновлене), що дозволяє зловмиснику
непомітно використовувати їх як вектор або ціль атаки.
 Вимкніть невикористовувані облікові записи користувачів.
Облікові записи, як-от облікові записи системи за замовчуванням або
звільнених співробітників, з високою ймовірністю можуть залишитися
непоміченими вами і бути вразливими для зловмисників.
 Впровадити програмне забезпечення для керування
виправленнями, яке дає змогу тестувати оновлення програмного
забезпечення, а потім ефективно їх розгортати. Постачальники часто
випускають виправлення безпеки; включення цих виправлень у ваше
середовище може зупинити вплив зламу системи.
 Обмежте доступ до хоста периферійними протоколами, такими
як USB, Bluetooth і FireWire. Зловмисники з фізичним доступом до систем
можуть легко обійти багато заходів безпеки, якщо вони зможуть підключити
USB-накопичувач, завантажений зловмисним програмним забезпеченням.
 Обмежте команди командного рядка для кожного користувача чи
хоста з метою мінімізації привілеїв. Наявність доступу до командного рядка
може надати зловмисникові велику владу над системою, тому краще
зменшити його функціональність на випадок виникнення інцидентів.
Ізоляція
Однією з найважливіших стратегій пом'якшення, яку можна
застосувати для майже всіх типів інцидентів, є ізоляція. Ізоляція передбачає
видалення ураженого компонента з будь-якого більшого середовища,
частиною якого він є. Це може бути все: від видалення сервера з мережі після
того, як він став об’єктом DoS- атаки, до розміщення програми у віртуальній
машині (VM) ізольованого програмного середовища за межами хост-
середовища, на якому вона зазвичай працює.
Незалежно від обставин переконайтеся, що більше немає інтерфейсу
між ураженим компонентом і зовнішнім світом. Найбільш очевидною
причиною є зараження зловмисним програмним забезпеченням, зокрема
хробаками та вірусами, які швидко поширюються. Якщо сервер, заражений
хробаком, все ще підключений до решти своєї підмережі, хробак може легко
потрапити на інші хости цієї підмережі. Відключення сервера може
означати різницю між дезінфекцією сотень пристроїв і лише одним. Окрім
буквального відключення сервера, його також можна перемістити в нову
підмережу, щоб логічно відокремити його від решти мережі. Іншим
методом ізоляції сервера є використання вікна переходу (jump box) –
захищеного хосту, з якого авторизований персонал отримує доступ до інших
хостів. Якщо блок переходів справді безпечний, переміщення уражених
систем за ним допоможе стримати подальшу компрометацію з боку
зловмисників.
Програми, що потенційно є вектором (напрямком) атаки, можуть бути
набагато менш ефективними для зловмисника, якщо програма більше не
працює на робочих станціях або серверах у звичайному робочому режимі.
Програму можна ізолювати, щоб усунути цю точку компрометації,
перемістивши її на новий хост або гостьову віртуальну машину, яка працює
на цьому хості.
 Рисунок 1.1. Ізоляція скомпрометованого сервера в іншій підмережі за
допомогою сегментації мережі

Медові горщики
Honeypot – це практика, яка затримує зловмисників в ізольованому
середовищі, де їх можна контролювати та утримувати від компрометації
систем у виробництві. Honeypot змушує зловмисника повірити, що він
справді завдає шкоди системі, дозволяючи групі безпеки проаналізувати
поведінку зловмисника. Це може допомогти групі безпеки визначити
джерело атаки та вжити більш комплексних заходів для усунення загрози
організації.
Наприклад, організація створює базу даних, повну підставних даних,
замаскованих під важливі фінансові записи. Організація розміщує цю базу
даних в окремій під мережі.
 Рисунок 1.2 - Підмережа з honeypot

Чорний список
Чорний список – це процес блокування відомих програм, служб,
трафіку та інших передач до систем та з систем. Чорні списки створюються,
коли організація знає джерело або механізм потенційної загрози та визначає,
що цю загрозу можна повністю виключити з організації. Чорні списки
корисні для реагування на інциденти, оскільки вони можуть блокувати
джерело шкідливого програмного забезпечення. Джерело може бути
зовнішнім по відношенню до організації або внутрішнім за допомогою
методів стійкості, таких як руткіти та логічні бомби. Прикладом зовнішнього
джерела є те, що робочі станції користувачів в організації заражені
шкідливою рекламою на, здавалося б, законних веб-сайтах. Рекламні
оголошення можуть не локалізуватися на одному сайті, тому запобігання
відвідування користувачами одного конкретного сайту може бути не
настільки ефективним. Замість цього програмне забезпечення для
блокування реклами чи сценаріїв може бути реалізовано на робочих станціях
користувача або налаштовано веб-фільтр організації для блокування URL-
запитів для відомих доменів реклами. Створення чорного списку доменів,
сайтів або технологій, які можуть бути джерелом шкідливих програм,
допоможе зупинити поширення інфекції.
Прикладом внутрішнього джерела зловмисного програмного
забезпечення є припущення, що є виявлені докази активації «логічних бомб»
за невідомих обставин. Логічні бомби використовують для блокування диску
користувача з метою отримання викупу за розблокування (програми-
вимагачі). Такі логічні бомби поширюються через певні TCP/IP порти,
чорний список може містити номери цих портів, які використовує логічна
бомба для поширення. Крім того, впровадження чорного списку на
брандмауері може допомогти запобігти зараженню більшої кількості хостів.
Обмеження
Є два основних обмеження чорних списків. Перше – ризик отримати
хибні спрацьовування, коли сайт, служба, порт тощо насправді мають
законне використання. Це може стати свого роду побічним збитком у спробі
захиститися від атаки зловмисного програмного забезпечення. Інша головна
слабкість чорного списку – усе невідоме. Неможливо знати кожен окремий
вектор зловмисної атаки, а ті, що в списку, можуть бути недостатньо
повними.
Білий список
Білий список – це відповідь на проблему чорного списку щодо того,
що невідомо. У білому списку все інше, крім того, що є надійним,
блокується. У прикладі зовнішньої зловмисної реклами можна створити
список рекламних доменів, які вважаються законними, і відфільтрувати всі
інші. Набагато легше пояснити те, що відомо як безпечне або прийнятне.
У відповідь на постійний інцидент білий список може бути кращою
альтернативою, якщо підтвердження та дослідження зловмисних джерел
зловмисного програмного забезпечення або займає надто багато часу, або
може бути змінено. Краще з самого початку знати, що є дружнім, ніж
витрачати час на виявлення всіх можливих ворогів. Можливо, хтось
пропустив порт, який логічна бомба використовує для зв’язку і який не
враховується в чорному списку. Це дозволить інфекції поширюватися,
незважаючи на всі зусилля. Однак застосування білого списку всіх законних
портів робить цей невідомий порт імовірно заблокованим.
Білий список також корисний для збереження списку програм, які хост
може встановити, або мережевої адреси, з якою він може спілкуватися. Якщо
робочій станції користувача потрібен лише текстовий процесор, програма
для роботи з електронними таблицями та багато іншого, все інше програмне
забезпечення (включно з шкідливим програмним забезпеченням) можна за
замовчуванням заблокувати. У той же час CSIRT локалізує і пом'якшує
інцидент.
Обмеження
Білі списки зазвичай є безпечнішим вибором для пом’якшення
інцидентів, але вони не бездоганні. Вони можуть бути неймовірно
обмеженими, не дозволяючи користувачам і системам передавати дані новим
або змінним одержувачам. Їх необхідно постійно налаштовувати, щоб
уникнути втручання в бізнес-операції, що може бути непомірно дорогим і
тимчасовим для деяких організацій.

DNS фільтрація
Як бачимо, одним із механізмів залучення до чорного та білого списків
є фільтрація. Фільтрація системи доменних імен (Domain Name System,
DNS), яка також називається веб-фільтрацією, – це процес обмеження запитів
на пошук, які перевіряються в організації. Типовий процес DNS перетворює
загальне ім’я сайту в IP-адресу та повертає її користувачеві, який робить
запит. Однак, розмістивши фільтр на DNS, пошук DNS можна зупинити,
якщо він виявить ім’я/IP-адресу у своєму фільтрі (чорний список) або не у
своєму фільтрі (білий список). Замість того, щоб повертати користувачеві
ненадійний сайт, фільтр зазвичай перенаправляє його на локальний сервер із
повідомленням про блокування.

Рисунок 1.3. DNS-фільтр заблокував користувачеві перегляд

ненадійного сайту
Під час інциденту DNS-фільтр може допомогти запобігти
завантаженню користувачами нових зловмисних програм у свої системи та
збільшенню масштабів інциденту. Фільтрування на рівні DNS легко
застосувати в масштабах організації, і воно може позбавити вас від
переміщення на кожну робочу станцію для локального застосування
пом’якшення. Це не видалить зловмисну програму і не пом’якшить інші типи
інцидентів, але це ефективний метод стримування зловмисного програмного
забезпечення. Однак важливо зазначити, що якщо користувачі насправді не
використовують DNS-сервери для пошуку, вони все одно можуть обійти
фільтрацію.

Маршрутизація через «чорну діру»

У мережевій архітектурі чорна діра пропускає трафік до того, як він
досягне свого призначення та не попереджає про джерело. Прикладом цього
є трафік, надісланий на IP-адресу, яка була зіставлена з неіснуючим хостом.
Оскільки пункту призначення не існує, а замість нього образна чорна діра,
вхідний трафік відкидається. Щоб джерело не отримало сповіщення про
відхилений трафік, воно має передавати трафік за допомогою ненадійного
протоколу без встановлення з’єднання, наприклад протоколу дейтаграм
користувача (UDP), а не, наприклад, протоколу керування передачею (TCP),
який намагається перевірити доставку.
Подібно до фільтрації DNS, ви можете використовувати чорні діри в
поєднанні з чорними/білими списками, щоб відфільтрувати небажані
джерела трафіку, які можуть містити зловмисне програмне забезпечення.
Однак більш поширеним і ефективним способом використання чорних дір є
скидання пакетів на рівні маршрутизації, щоб зупинити DDoS-атаку.
Використовуючи, наприклад, маршрутизатор Cisco, трафік можна надсилати
до інтерфейсу null0. Цей інтерфейс автоматично видаляє весь трафік. Якщо
ви знаєте діапазон(и) адреси джерела DDoS-атаки, ви можете мовчки скинути
цей трафік, налаштувавши маршрутизатор на надсилання діапазону(ів)
атакованого(их) значення null0 .
 Рисунок 1.4. Маршрутизація через чорну діру, що пропускає шкідливий
трафік
Маршрутизація через чорну діру може бути більш вигідною, ніж інші
методи фільтрації трафіку, оскільки вона споживає менше ресурсів
маршрутизатора. Накладні витрати на обробку для впровадження правил
брандмауера або фільтрації DNS набагато вищі, і при спробі пом’якшити
DDoS-атаку кожен біт пропускної здатності допомагає. Однак важливо
визнати високий потенціал побічної шкоди при маршрутизації цілих
діапазонів IP-адрес у чорні діри. Найуспішніші DDoS-атаки ті, що запущені з
різних IP-адрес у діапазонах, спільних для багатьох законних користувачів.
Блокування всього діапазону, щоб зупинити лише кілька джерел, може, за
іронією долі, призвести до ще більших масштабів відмови в обслуговуванні.
Керування мобільними пристроями
Оскільки мобільні пристрої стають все більш поширеними на робочому
місці, вони неминуче будуть фактором інцидентів кібербезпеки. Практика
керування мобільними пристроями (Mobile Device Management, MDM)
відстежує, контролює та захищає мобільну інфраструктуру організації.
Рішення MDM часто є веб-платформами, які дозволяють адміністраторам
працювати з централізованої консолі. Поширені функції MDM- рішень
включають:
• Реєстрація пристрою та автентифікація.
• Дистанційне блокування та стирання.
 • Визначення місцезнаходження пристроїв за допомогою глобальної
системи позиціонування (GPS) та інших технологій.
• Виведення оновлень ОС, програм і мікропрограми на пристрої.
• Запобігання кореневому доступу або джейлбрейку пристроїв.
• Створення зашифрованого контейнера на пристроях для зберігання
конфіденційних даних організації.
• Обмеження певних функцій і послуг на основі політик контролю
доступу.

Рисунок 1.5 - Приклад консолі MDM

Якщо організація встановлює MDM перед інцидентом, служби
швидкого реагування можуть використовувати адміністративну консоль
кількома способами для пом’якшення інцидентів, які впливають на мобільні
пристрої. Наприклад, якщо телефон менеджера загубили або вкрали та він
містить конфіденційну інформацію компанії, CSIRT може дистанційно
стерти дані пристрою з консолі MDM. Крім того, службам реагування буде
легше знайти пристрій, якщо він передає координати GPS. Якщо зловмисне
програмне забезпечення, націлене на мобільні ОС, потрапляє на пристрої
співробітників, CSIRT може швидко надіслати виправлення на кожен
пристрій, щойно постачальник надасть виправлення.
Це лише деякі приклади того, як процес MDM може посилити безпеку
мобільних пристроїв, на яку часто не звертають уваги.

Безпечне Стирання і Утилізація

У деяких випадках захищати хост або ізолювати його від інших
пристроїв буде недостатньо, щоб повністю знищити зловмисне програмне
забезпечення або іншу точку компрометації. Часто важко перевірити, чи
використані методи неруйнівного видалення справді очистили руткіти та
інші механізми збереження з пристрою. У подібних ситуаціях може
знадобитися безпечне видалення за допомогою процесу, відомого як
санітарна обробка або дезінфекція. Дезінфекція – це ретельне й повне
видалення всіх даних із пристрою зберігання, щоб їх неможливо було
відновити. Ця ретельність є важливою, оскільки на пристрої не повинно бути
залишків даних, які можуть призвести до подальшого зламу.
Диск можна дезінфікувати на програмному рівні за допомогою різних
криміналістичних додатків або шляхом безпосереднього підключення
криміналістичного апаратного пристрою в обхід операційної системи. У
будь-якому випадку інструменти дезінфекції зазвичай перезаписують усі дані
на диску випадковими або всіма нульовими бітами. Це не дозволяє іншим
інструментам видобувати та реконструювати значущі дані з накопичувача,
оскільки ці дані були замінені абсолютно безглуздою інформацією.
Жорсткий диск можна дезінфікувати за допомогою розмагнічування, під
час якого діє сильна магнітна сила, у результаті чого диск втрачає свій
магнітний заряд, спотворюючи дані та роблячи їх нечитабельними.
Дезінфекція руйнівна для віртуальних даних, а не для самого носія. Це
дає змогу реконструювати та повторно створювати образ диска після його
дезінфекції за допомогою відомої чистої резервної копії, створеної до
інциденту. Однак у деяких випадках немає гарантії, що інфекцію вдалося
знищити, доки не буде знищено сам носій даних. Утилізація зламаного
обладнання зазвичай передбачає фізичне знищення пристрою за допомогою
сили, наприклад розчавлення диска або подрібнення його на багато частин.
Методи розмагнічування також можуть знищити жорсткий диск, видаливши
дані керування сервоприводом, записані на диск під час його виробництва.
Пошкоджені дані керування сервоприводом не можна виправити, тому
привод не зможе визначити, де читати/записувати дані на магнітному носії.
Примітка. Розмагнічування працює лише на носіях, які зберігають дані
магнітно, як-от жорсткі диски. SSD-диск не може бути розмагнічений.

Стримування та пом’якшення наслідків мають бути основною

частиною плану реагування на інциденти (IR) будь-якої організації. У
цьому модулі будуть висвітлені різні методи, які можна застосувати, щоб
належним чином стримувати та пом'якшувати безпекові інциденти.
 Пристрої та інструменти, що використовуються для стримування
та пом’якшення
 Брандмауери: брандмауери можуть виконувати деякі з найпростіших
процесів фільтрації трафіку у вашій мережі. Вони можуть
використовувати як білі, так і чорні списки, щоб блокувати певні
порти, які ви визначили як вектори для поточної атаки. Досконаліші
брандмауери, як-от брандмауери веб-додатків (web application
firewalls, WAF), можуть блокувати небажаний трафік на вищих рівнях,
пропонуючи вам більший контроль над типом трафіку, який ви
збираєтеся блокувати.
 IDS/IPS: система виявлення вторгнень/система запобігання
вторгненням (intrusion detection system/intrusion prevention system,
IDS/IPS) допоможе гарантувати, що тривалі або постійні атаки легше
ідентифікувати та охарактеризувати. Навіть якщо ви вже знаєте, що вас
атакують, IDS/IPS може виявити додаткові цілі атаки, які ви спочатку
проігнорували. Це також може допомогти вам виявити та зупинити
напад, природа якого змінюється протягом тривалості нападу. Поточна
DDoS-атака може, наприклад, перемикатися з використання одного
контролера джерела бот-нету на використання іншого.
 Рішення для кінцевих точок: Рішення для безпеки кінцевих точок, що
включають надійні функції захисту від зловмисного програмного
забезпечення, можуть допомогти вам виявити та усунути руткіти,
бекдори та інші ознаки прогресивної постійної загрози (advanced
persistent threat, APT). Вони також можуть допомогти вам виявити та
усунути черв’яків, які поширюються мережею, а також багато інших
типів зловмисного програмного забезпечення, яке може бути частиною
інциденту. Рішення для кінцевих точок, які включають запобігання
втраті даних (data loss prevention, DLP), можуть допомогти вам
мінімізувати витік конфіденційних даних із бекдорів, бічних каналів
або інших прогалин у вашій безпеці, якими зловмисники користуються
під час інциденту.
 Маршрутизатори та комутатори: як було зазначено раніше,
маршрутизатори можуть бути корисними для створення чорних дір
для відкидання трафіку DoS-атак. Багато сучасних маршрутизаторів
також мають базові функції брандмауера, тобто вони можуть
блокувати небажаний трафік, що передається через певні порти та
протоколи. Комутатори також є звичайним компонентом для створення
підмереж. Ці підмережі можуть ізолювати скомпрометовані пристрої,
забезпечуючи їм підключення до мережі.
 Проксі-сервери: веб-проксі-сервери можна використовувати як метод
фільтрації вмісту. Користувач повинен пройти через проксі-сервер,
щоб підключитися за межами приватної мережі, і проксі-сервер може
блокувати користувача від зловмисного трафіку. З іншого боку,
зворотні проксі-сервери можуть виступати в якості посередника для
сервера, до якого звертається зловмисник. Фактичний сервер
залишається прихованим, тоді як зворотний проксі-сервер приймає
будь-який вхідний зловмисний трафік.
 Віртуальні машини: коли справа доходить до пом’якшення зараження
зловмисним програмним забезпеченням, ви можете виділити та
проаналізувати зловмисне програмне забезпечення у віртуальному
середовищі. Крім того, серверна інфраструктура, поширена серед
багатьох розподілених віртуальних машин, як у хмарній архітектурі,
може ефективніше справлятися з надмірним навантаженням
трафіку та мінімізувати час простою під час атаки DoS.
 Настільні комп’ютери: настільні комп’ютери – це платформа, на якій
ви будете використовувати професійні інструменти реагування на
інциденти. Настільні комп’ютери також можуть тимчасово
розміщувати середовища віртуальних машин, які використовуються
для аналізу зловмисного програмного забезпечення та виконання
завдань безпеки, що викликають напад/реагування (наприклад, через
Kali Linux). Побічно настільні комп’ютери часто є основним
джерелом інформації про інциденти через те, наскільки вони важливі
для щоденної роботи ваших співробітників.
 Сервери: серверна інфраструктура забезпечує балансування
навантаження та резервне копіювання даних під час DDoS-атак і
знищення даних. Сервери також зазвичай використовуються для
розвантаження сирої обчислювальної потужності у разі деяких
ресурсомістких зусиль відновлення або пом’якшення. Як і настільні
комп’ютери, сервери є основною мішенню для атак і можуть надати
вам велику кількість оперативної інформації.
 Мобільні пристрої : портативність смартфонів, планшетів та інших
мобільних пристроїв може пришвидшити ваші зусилля з пом’якшення,
оскільки вони не прив’язані до одного фізичного розташування, як
настільний комп’ютер. Деякі рудиментарні інструменти безпеки
доступні для мобільних ОС, тому ви можете швидко переходити з
одного ураженого пристрою на інший без особливих зусиль.
Спілкування з іншими членами CSIRT також набагато зручніше за
допомогою мобільних пристроїв.
 Важливість оновлення сигнатур пристроїв
Наразі ви знаєте, що підтримка пристроїв у виправлених і оновлених
версіях є важливою практикою безпеки. Це допомагає усунути будь-які
вразливості пристроїв. Однак вам також потрібно розглядати оновлення в
світлі того, як пристрої забезпечують безпеку іншим, а не підтримують
власні. Більшість пристроїв, як-от рішення для захисту від зловмисного
програмного забезпечення та IDS, виявляють шкідливе програмне
забезпечення та трафік на основі його сигнатур. Ці унікальні ідентифікатори
попереджають пристрій безпеки про конкретні проблеми, а не є
універсальним кодом для поганої поведінки. Ось чому постачальники засобів
захисту від зловмисного програмного забезпечення щодня оновлюють
сигнатури для своїх клієнтів – у відкритому віртуальному середовищі
постійно виявляються нові джерела загроз, і програмне забезпечення, яке
виявляє ці джерела від імені користувача, має додавати їх сигнатури до своєї
бази даних. Відставання в оновленні сигнатур може стати значною
перешкодою для ваших зусиль із пом’якшення інцидентів кібербезпеки.

Рисунок 2.1. Центр безпеки Windows Defender включає параметри

автоматичного або вручну надсилання сигнатур зловмисного програмного
забезпечення до Microsoft для аналізу
Успіх і розповсюдження цих підписів, однак, повинні бути
відповідальністю не лише одного чи кількох постачальників.
Фундаментальним принципом спільноти кібербезпеки є обмін знаннями та
досягнення консенсусу. Ось чому, якщо ви підозрюєте, що виявили
зловмисне програмне забезпечення, яке ще не ідентифіковано вашим
постачальником засобів захисту від зловмисного програмного забезпечення,
вам слід якнайшвидше повідомити про це, щоб організації, які перебувають у
такій самій ситуації, були попереджені.
Сигнатури IDS (intrusion detection system) не завжди такі чіткі, як
сигнатури шкідливих програм. Ви можете точно налаштовувати та
конфігурувати свій IDS для виявлення дуже конкретного типу підозрілого
трафіку, який об’єктивно не є шкідливим. Тим не менш, ви повинні
поділитися цими спеціальними сигнатурами (підписами) зі спільнотою
кібербезпеки на випадок, якщо хтось інший може скористатися вашими
відкриттями чи покращити їх.
Додаткова тактика стримування та пом’якшення
Розглянемо деякі додаткові тактики для стримування та пом’якшення
наслідків інциденту.
 Впровадження схеми обов’язкового контролю доступу (mandatory
access control, MAC) на операційних системах хостів. Ця схема
розміщує атрибут доступу до об’єкта, наприклад атрибут «Цілком
таємна інформація», приєднаний до електронної таблиці продажів.
Переглядати цю електронну таблицю можуть лише користувачі чи інші
організації, які мають дозвіл на доступ до цілком таємної інформації.
Сильна сторона MAC полягає в тому, що він забезпечує дуже чіткий
контроль доступу, який часто необхідний для пом’якшення інцидентів,
які включають використання привілеїв.
 Керування та обмеження доступу до ресурсів і поведінки для хостів у
домені Windows за допомогою групових політик. Ви можете
застосувати групові політики для користувачів, щоб делегувати доступ,
але ви також можете застосувати ці політики до таких об’єктів, як
записи реєстру та файлові системи. Це може допомогти вам стримати
атаку, яка використовує ці об’єкти для отримання вищих рівнів
привілеїв.
 Впровадження політики контролю доступу до мережі (network access
control, NAC). Ви можете обмежити доступ хостів до ресурсів і служб
у мережі, включаючи розміщення хостів на карантин в окремих
віртуальних локальних мережах (VLAN) або повністю заблокувати
порт комутатора. Обрані обмеження засновані на декількох факторах, в
тому числі:
• Фактори, що ґрунтуються на часі, щоб об’єкт не отримував
доступу до мережевих ресурсів на основі часу доби. Наприклад, ресурс
може бути доступним лише в робочий час, щоб отримати будь-яку необхідну
відповідь, і не доступний увесь інший час.
• Фактори, що базуються на місцезнаходженні, щоб запобігти
доступу об’єкта до мережевих ресурсів на основі того, де вони фізично
розташовані. Наприклад, ви можете заборонити мобільним пристроям із
підтримкою GPS отримувати доступ до мережі, якщо вони знаходяться за
периметром вашого офісу.
  Інші чинники, засновані на правилах, які запобігають доступу об’єкта
до мережевих ресурсів, якщо вони не відповідають попередньо
визначеним стандартам. Наприклад, ви можете заборонити об’єктам,
які використовують певну операційну систему, доступ до мережевих
ресурсів.
• Фактори на основі ролей для делегування доступу на основі
функції та обов'язків організації. Наприклад, ви можете дозволити доступ
до ресурсу, лише якщо суб’єкт, який зробив запит, виконує роль
адміністратора.
• Налаштування синкхолу (DNS-sinkhole, DNS-сервер, який робить
певні домени Інтернету недоступними, повертаючи IP-адреси, які не потрібні
для доменних імен) для перенаправлення зловмисного вихідного трафіку з
вашої мережі. Ваші списки контролю доступу (access control lists, ACL),
незалежно від того, чи є вони чорними чи білими, можуть ідентифікувати
потенційно шкідливі зовнішні домени. Якщо бот у вашій мережі намагається
зв’язатися зі своїм контролером іззовні, і цей шкідливий домен відповідає
вашим ACL, ви можете налаштувати брандмауер периметра, щоб підробити
DNS-відповідь боту, який підключає домен до вказаної вами IP-адреси. Це
синкхол (воронка, пастка), оскільки шкідливий трафік ботнету не може вийти
у зовнішній світ.
 Створення централізованої системи керування журналами.
Зберігання журналів локалізовано для окремих хостів полегшує
зловмисникам завдання стерти журнали хосту, щоб замести сліди. У
централізованій системі журнали будуть вивантажені та створені
резервні копії на захищеному сервері, який може бути поза межами
доступу зловмисників.
 Налаштування правил IDS/IPS таким чином, щоб вони виконували
більш активну роль стримування, а не просто превентивну.
Визначивши вектори та механізми атаки, змініть свої правила, щоб
активувати сповіщення на основі поведінки, яка може свідчити про
зловмисну діяльність. Ви також можете налаштувати свої правила, щоб
врахувати можливість того, що зловмисник змінить свою атаку, щоб
обійти ваші системи виявлення. Якщо ваші правила включають відомі
варіанти типів атак, ви можете виявити додаткову зловмисну
поведінку, яку інакше б не помітили.
 Якщо необхідно, запровадьте компенсаційні засоби контролю, коли
типові заходи пом’якшення не дали результату.
 Інцидент з витоком даних (приклад 1)

Fuller & Ackerman Publishing – велика фірма, що видає друковані та

електронні книги, розташована у вигаданому місті та штаті Грін-Сіті,
Річленд. Одного разу співробітниця відділу маркетингу виконала пошук у
Google, щоб визначити присутність компанії в Інтернеті. Вона зауважила, що
один із 10 найпопулярніших результатів пошуку вказує на торрент-трекер із
заголовком F&A 2020 Business Strategy.docx. Не знаючи, наскільки це було
законно, вона передала ситуацію своєму керівнику, який потім повідомив
про це керівнику інформаційної безпеки (Chief Information Security Officer,
CISO).
CISO повідомляє CSIRT, який негайно завантажує торрент у
середовищі ізольованого програмного середовища, сегментованого від решти
мережі. Вони підтверджують достовірність даних торрента – бізнес-стратегія
компанії на 2020 рік витекла в громадськість.
Fuller & Ackerman покладається на постачальника хмарних послуг для
розміщення документації та інших різноманітних файлів. Це ускладнює
процедуру реагування на інцидент для CSIRT, оскільки вони не мають
повного контролю над ураженою системою. Тим не менш, вони негайно
зв’язуються з постачальником хмарних послуг, який повідомляє їм, що
останній обліковий запис, який має доступ до папки, де зберігається
документ, – h.manlon@fullerackerman.example. Це обліковий запис Хенка
Менлона, бізнес-менеджера, який зараз перебуває у відпустці.
Інші члени CSIRT можуть зв’язатися з Менлоном , який повідомляє їм,
що не входив у систему хмарного провайдера чи свою електронну адресу
протягом кількох днів. Тим часом хмарний провайдер перевіряє історію
облікового запису та помічає, що запит на скидання пароля був надісланий і
виконаний напередодні. Співробітнику служби підтримки клієнтів подзвонив
хтось, видавши себе за Менлона, і попросив скинути пароль облікового
запису. Абонент зміг надати базову інформацію для автентифікації
(домашню адресу, номер телефону тощо), але співробітник служби
підтримки клієнтів ніколи не вимагав від абонента більш ретельного
підтвердження особи.
 Перед від’їздом у відпустку Менлон залишив увімкненим ноутбук у
своєму офісі. Виявляється, ноутбук неправильно заблокувався, оскільки він
запускав фоновий процес. Оскільки його комп’ютер автоматично ввійшов у
його електронну пошту, зловмисник фізично взяв контроль над його
ноутбуком і перехопив повідомлення про скидання пароля, змінив пароль, а
потім увійшов у хмарний хост за допомогою облікового запису Менлона та
втік із документом.
CSIRT гарантує всім, що обліковий запис Менлона заморожено, тому
його більше не можна використовувати як вектор атаки. Потім вони
переміщують бізнес-стратегію та інші конфіденційні документи з хмари на
зашифрований накопичувач. Оскільки бізнес-стратегія просочилася в
Інтернет у формі однорангового завантаження, команда мало що може
зробити, щоб стримати злом. У своєму звіті про завершення дії CSIRT
пропонує кілька речей, наприклад:
 Команда безпеки повинна розробити нову політику, яка вимагає від
усіх співробітників належного захисту своїх комп’ютерів.
 Керівництво має зберігати свою конфіденційну інформацію не в хмарі,
а в жорстко контрольованому локальному сховищі.
 Компанія, можливо, захоче розглянути можливість переходу до іншого
хмарного постачальника, який краще навчить своїх співробітників
протистояти спробам соціальної інженерії.

DoS-Інцидент (Приклад 2)

Державний коледж Річленда в Грін-Сіті є кампусом середнього

розміру. Одного разу співробітники служби безпеки помітили, що багато
серверів у кампусі, які обслуговують як викладачів, так і студентів,
вимикаються. Це позбавляє студентів доступу до веб-сайту студентського
порталу та системи керування, а також відриває викладачів від їхніх власних
систем керування вмістом, які вони використовують для співпраці з іншими
членами своїх факультетів. CSIRT викликано для аналізу ситуації, і команда
виявляє, що хробак поширюється по мережевих ресурсах, заражаючи
підключені до них хости. Він намагається зламати кожен хост, на який
поширюється. Хробак є новим, і його сигнатура ще не відома рішенням для
захисту від зловмисного програмного забезпечення, які використовуються в
університеті.
Потім CSIRT намагається стримати хробака, закриваючи спільні
мережеві ресурси. Це запобігає його поширенню, принаймні за допомогою
цього конкретного вектора. Знаючи, що мине деякий час, перш ніж
постачальник противірусного програмного забезпечення оновить свої
сигнатури та матиме сигнатури хробака, команді потрібно спробувати вручну
видалити сліди хробака з кожного зараженого хоста. Оскільки є багато
студентів і викладачів, і кожен, імовірно, використовує свій персональний
комп’ютер, це може бути неможливим. Натомість CSIRT зосереджується на
видаленні хробака з серверів і робочих станцій, що належать кампусу, і на
відновленні функціональності серверів, на яких розміщено веб-портал і
системи керування. Команда чекатиме виправлення вразливості, перш ніж
відновлювати мережеві спільні ресурси, щоб інфекція не скомпрометувала їх
знову.
Потім CSIRT зв’яжеться з представниками кампусу щодо характеру
ситуації та того, як вони стримували загрозу на даний момент. Офіційні
особи кампусу погоджуються надіслати електронний лист усім студентам і
викладачам, поінформувавши їх про інцидент. Після оновлення сигнатур
хробака постачальником засобів захисту від зловмисного програмного
забезпечення офіційні особи також порадять студентам і викладачам оновити
свої засоби захисту від зловмисного програмного забезпечення та запустити
глибоке сканування. Якщо студенти та викладачі не впевнені, що зроблять це
самостійно, CSIRT погодилися допомогти їм видалити хробака з їхніх
комп’ютерів.
Після усунення вразливостей і повного відновлення служби команда
складає проект аналізу після дії (after-action review, AAR) і докладно описує,
які зміни можуть бути внесені в результаті інциденту. Незважаючи на те, що
черв’як був новим, він використовував уразливість у застарілих мережевих
протоколах спільного доступу, які використовував кампус. Команда
пропонує, щоб кампус завжди підтримував ці протоколи в актуальному стані
за допомогою рішень для керування виправленнями, якщо це необхідно.
 Розширена постійна загроза (Приклад 3)

Mixed Messages Media (MMM) – це фірма з веб-дизайну та маркетингу

з Грін-Сіті. Одного разу адміністратор бази даних помічає дивні записи в
системі та журналах подій клієнтського сервера бази даних організації.
Здається, кілька користувачів із правами адміністратора вже майже два
місяці надсилали запит до бази даних. Цей запит отримує інформацію із
записів клієнтів, зокрема конфіденційну ідентифікаційну інформацію, як-от
імена, номери соціального страхування та домашні адреси, і перевантажує
дані на зовнішній клієнт. Адміністратор бази даних негайно припинила запит
і повідомила про це свого керівника. Керівник передав інформацію CSIRT.
CSIRT зв'язується з виконавчими директорами компанії та повідомляє
їм про ситуацію, що вони наразі знають, а що ні. Тим часом інші члени
команди намагаються перевести базу даних в автономний режим, ізолювати
її та сканувати на наявність іншого потенційно зловмисного використання.
Вони особливо шукають приховані бекдори, такі як руткіти та трояни. Після
ретельного сканування вони не знаходять нічого, крім журналів подій,
залишених після зловмисного запиту. Члени групи допомагають
криміналістичній групі, створюючи системний образ сервера бази даних,
сподіваючись, що криміналістичне розслідування зможе відстежити місце
призначення витоку інформації. Визначивши, що сервер бази даних чистий і
не є істинною вразливістю, CSIRT вважає, що безпечно передавати його в
робочий стан.
Однак на цьому роботу CSIRT не завершено. Це не простий витік
даних, який можна легко усунути. Той факт, що запит виконувався місяцями
в кількох різних привілейованих облікових записах, свідчить про розширену
постійну загрозу (advanced persistent threat, APT). Зараз CSIRT зобов’язує
всіх адміністраторів баз даних негайно змінити свої паролі, а в найближчі дні
кожен обліковий запис буде ретельно відстежуватися на наявність шкідливих
дій. Через тривалість часу, що минув від початку порушення CSIRT заохочує
відділ зв’язків із громадськістю надіслати звіт своїм клієнтам якнайшвидше.
Крім того, компанія повинна звернутися до відповідних служб (оскільки
даний випадок стався в США, то до Федерального бюро розслідувань (ФБР))
і обговорити можливість кримінального розслідування.
Справжнім порушенням є компрометація облікових даних
адміністратора. Справа не в тому, що досвідчені ІТ-експерти лінуються і
вибирають паролі, які легко вгадати; скоріше всі ознаки вказують на певну
вразливість систем автентифікації організації. CSIRT пропонує компанії
якнайшвидше організувати тест на проникнення або, принаймні, сканування
вразливостей. Тестери повинні виявити недолік у своїх системах, перш ніж
вони зможуть справді почати усунення інциденту. У своєму AAR CSIRT
зазначає, що якби належний безперервний моніторинг і служби управління
подіями були на місці, порушення було б виявлено набагато раніше.
Інструкції щодо стримування та пом’якшення інцидентів
Дотримуйтесь цих вказівок під час стримування та пом’якшення
інцидентів.
 Зміцніть уражені системи, вимкнувши непотрібні облікові записи,
служби та доступ.
 Включіть систему керування виправленнями для швидкого оновлення
вразливих хостів.
 Видаліть постраждалі хости з мережі.
 Ізолюйте уражені програми на гостьових віртуальних машинах.
 Додайте чорний і білий списки, щоб контролювати, які джерела
зловмисного програмного забезпечення та трафіку блокуються у вашій
організації.
 Використовуйте фільтрацію DNS, щоб запобігти доступу користувачів
до шкідливих сайтів.
 Включіть маршрутизацію через чорну діру, щоб відкидати зловмисний
трафік, що надсилається в мережу.
 Використовуйте рішення MDM (Mobile Device Management) для
більшого контролю над мобільними пристроями в організації.
 Зрозумійте, як повсякденні пристрої у вашій організації можуть
допомогти вам пом’якшити інцидент.
 Підтримуйте сигнатури виявлення для захисту від зловмисного
програмного забезпечення та IDS (intrusion detection system) в
актуальному стані.
 Впроваджуйте такі механізми контролю доступу, як політики NAC
(network access control), групові політики та ACL (access control lists).
 Майте план впровадження компенсаційних засобів контролю, коли
типові заходи пом’якшення не принесуть результатів.
 Підготовка CSIRT до криміналістичного розслідування
Коли трапляється інцидент, аналітикам може знадобитися виконати
різноманітні криміналістичні дії, наприклад зібрати дані та виявити докази.
Під час і після інциденту спеціалісти з реагування на інциденти повинні
виконувати різні завдання, щоб переконатися, що аналітики-криміналісти
зможуть ефективно виконувати свою роботу. Цей модуль розгляне деякі
способи зробити саме це.

Криміналістичні аналітики
Комп’ютерні криміналістичні аналітики відомі під різними іншими
назвами посад, як-от судово-комп’ютерний експерт, цифровий експерт-
криміналіст і комп’ютерно-криміналістичний детектив. Криміналістичні
аналітики можуть працювати в поліції чи службі безпеки, банку, організації
служби комп’ютерної безпеки або в групі кібербезпеки у великій організації.
Вони використовують свої технології та навички розслідування для
відновлення інформації з комп’ютерних систем, пам’яті та накопичувачів,
можливо, співпрацюючи з представниками правоохоронних органів для
розслідування кіберзлочинів або вилучення електронних доказів, пов’язаних
з іншими видами злочинів, або для аналізу доказів (як свідок-експерт,
наприклад), щоб допомогти організаціям або окремим особам захистити себе
в судовій справі. Судово-медичні аналітики можуть бути залучені до
розслідувань, зосереджених на широкому спектрі вторгнень або порушень,
таких як хакерство; тероризм; політичне, промислове або комерційне
шпигунство; викрадення співробітниками конфіденційної інформації
компанії; онлайн-шахрайство; і нелегальна порнографія. Групи ІТ-технологій
або безпеки також можуть звернутися до криміналістичних аналітиків для
допомоги в плануванні ІТ-систем і процесів, щоб переконатися, що докази
будуть належним чином оброблені під час інциденту кібербезпеки.
 Обов'язки експерта-криміналіста
Як частина CSIRT, криміналістичний аналітик може виконувати низку
ролей після інциденту безпеки або в загальній підтримці кібербезпеки,
наприклад:
 Розслідування та реконструкція причини інциденту кібербезпеки, що
може включати завдання на будь-якій або всіх фазах
криміналістичного процесу: збір, експертиза, аналіз і звітування.
 Розслідування того, чи мали місце будь-які злочини, порушення
комплаєнсу (відповідність будь-яким внутрішнім або зовнішнім
вимогам або нормам) або невідповідна поведінка.
 Проведення криміналістичних процедур для захисту доказів, які
можуть знадобитися, якщо стався злочин.
 Визначення конфіденційних захищених даних.
 Сприяння та підтримка процесів і інструментів, що використовуються
для захисту доказів і забезпечення відповідності.
 Підтримка поточних процесів аудиту та ведення записів.
Коли спеціалісти з реагування на інциденти розуміють обов’язки
експерта-криміналіста, вони зможуть краще спілкуватися та передавати їм
свої результати.
Спілкування з експертами-криміналістами
Члени CSIRT можуть бути запрошені тісно співпрацювати з
криміналістичними аналітиками. Пам’ятайте, що мета служби реагування
на інциденти – повернути роботу в нормальний стан, тоді як судово-
медичний персонал стурбований збором доказів для можливого
переслідування злочину. Однак під час відновлення роботи служби
реагування, безсумнівно, звернуть увагу на атаки та вразливості, які вони
виявлять у процесі. Ця інформація може бути життєво важливою для
судового розслідування, і якщо її не надати групі експертів, це може
перешкодити їхнім зусиллям. Одна з першочергових цілей цієї співпраці –
фактично визначити, чи є обґрунтованим судово-медичне розслідування. Ця
рішучість має бути підкріплена жорсткою політикою: який вид грошової
втрати чи крадіжки майна слід вважати позовним? Чи містить ваш поліс
також якісь докази?
Повідомляючи результати інциденту криміналістичній групі,
враховуйте наступне:
 Призначте особу для зв’язку , яка може бути контактною точкою для
криміналістичної групи. Цей контакт здійснюватиме весь зв’язок із
командою криміналістів. Таким чином, ваш CSIRT матиме єдиний,
 авторитетний голос, за допомогою якого можна повідомляти реальні
результати, а не фрагментовані та, можливо, суперечливі дані.
 Переконайтеся, що команда криміналістів має чітке уявлення про
масштаб інциденту. Вони повинні знати, які активи постраждали та які
бізнес-процеси були порушені. Спеціалісти з реагування на інциденти
можуть не знати всього цього, але все, що вони можуть надати команді,
є важливим.
 Деталізуйте всі окремі фізичні та віртуальні активи, на які вплинув
інцидент. Також переконайтеся, що CSIRT пояснює, чому, на їхню
думку, це вплинуло на кожен конкретний актив.
 Деталі, коли та як зловмисне програмне забезпечення було поміщено
на карантин, щоб зупинити його поширення в мережі. Команда
криміналістів може використовувати це зловмисне програмне
забезпечення в карантині як доказ.
 Опишіть будь-які процедури стримування, пом’якшення або
відновлення, які виконуються на пристроях. Якщо немає однозначної
копії диска чи іншого пристрою, групі експертів, можливо, доведеться
покладатися на уражену систему як доказ. Можливість відокремити дії
реагування на інциденти від зловмисних спростить команді задачу
ідентифікувати відповідну інформацію.
 Поясніть криміналістичній групі, які інструменти використані для
реагування на інцидент; Що кожен з них робить; Чи є якісь проблеми,
які вони можуть викликати в процесі збору доказів. Використовуючи
приклад зловмисного програмного забезпечення, згаданий раніше,
зверніть увагу на специфіку роботи вашого антивірусного програмного
забезпечення: можливо воно відразу видаляє шкідливе програмне
забезпечення, а не ризикує поміщати його на карантин. Це варто
повідомити експерту-криміналісту.
 Надайте будь-яку інформацію про час кожної події в інциденті. Коли
спеціалісти з безпеки вперше помітили інцидент? Коли вони почали
відповідати? Коли вони розпочали та завершили свої зусилля зі
стримування/пом’якшення/відновлення? Час зазвичай генерується
автоматично за допомогою журналів та інших рішень для звітування
про події, але CSIRT може знадобитися надати деяку інформацію про
часову шкалу вручну.
 Інструкції щодо виконання завдання після інциденту

Дотримуйтесь цих вказівок під час виконання завдань після

інциденту:
 Створіть звіт після дії (AAR) , у якому детально описано уроки,
засвоєні після інциденту.
 Перегляньте будь-яку існуючу політику, якою керується CSIRT при
передачі результатів групі експертів-криміналістів.
 Організуйте зустрічі з іншими групами, включно з командою
криміналістів, щоб визначити, як обмінюватися інформацією.
 Визначте, хто має бути контактною точкою для постійної співпраці між
командами.
 Встановіть очікування щодо того, що судовим слідчим може
знадобитися опитати членів CSIRT під час розслідування.
 Обговоріть, що вам потрібно від інших команд (інформація,
обладнання тощо), а що їм потрібно від вас.
 Вирішіть, чи потрібно створювати нові політики в результаті інциденту
чи потрібно змінити існуючу політику.
Співпрацюйте з експертною групою, щоб визначити, які дані, зібрані
під час інциденту, мають відношення до потенційного розслідування, а які ні.