You are on page 1of 68

.

___

/
18044(, )

ISO/IEC TR 18044:2004

Information technology Security techniques Information security incident management


(IDT)

2007


27 2002 . 184- " ", - 1.0-2004 "
. "

1 " " ( " ")
"- "" (
" "") , . 5
2

3 "___" ______ 200_ _____
4
5 / 18044:2004
" . " (ISO/IEC TR 18044:2005
Information technology Security techniques Information security incident management).

, .
" ", " ".
()
"
". ,
-
,


..
1
2 ..............
3 ..
3.1
3.2
3.3 ..
3.4 ..
3.5
4 ..
4.1
4.2 ..
5
5.1 .
5.2 .
6 .
6.1 ...
6.2 ..
6.3 .
7
7.1 .
7.2 .
7.3 ..
7.4 ...
7.5

7.6 .
7.7 .
8 .
8.1
8.2 ..
8.3 .
8.4 /..
8.5
9 .
9.1
9.2 ..
9.3
9.4
9.5 .
10 ..

10.1 .
10.2 .
10.3
10.4 .
10.5 .
11 .
A ()
B () ....
()
.

iii


() ,
, . , ,
, , , , . - . , , .
,
. , ,
, :
, ;
, ,
() (,
);
,
, ,
.

/ 18044
(, )



Information technology. Security techniques.
Information security incident management
200--0

1


, , .
11 .
1 , 2 , 3
. 4
, 5 . , 6 . 7
, . 8. ,
() ,
, 9. , . .,
, 10. , 11. A . B
, . .

2
:
/ 13335-1:2004, 1:
.
/ 17799:2000, .
1

/ 18044
(, )


" ",
1 ,
, . (), , () .
, , ,
, .

3
,
/ 13335-1, / 17799 .

3.1

- ,
.
, , .
,
, , , , , .

3.2

, , , ,
.

3.3
- , ,
- ( 6).

3.4
() () ,
.
, ,
().
2

/ 18044
(, )

3.5
. , / 1 27.

4
4.1
, . , :
, , 1);
()
;
-
,
, ,
() ;
.
, , .

4.2
, 4.1 ,
:
;
;
();
2).
( , PDCA, 9000 14000).
1, .

4.2.1

. , :

1)


, , , , , , , - , () , . .,
.
2)
: , , ( PDCA) (. .)

/ 18044
(, )
,
, ,
;
. ,
, , , 1) . ( ,
);
, . ., , , , ;

1)

.
, , : . ,
- .

/ 18044
(, )
:



//,
,


()
:
,



()

:

, . ., , , .
, ,
,, , ;
()
,
, . , , , , , , ;
.
" " 7.
5

/ 18044
(, )

4.2.2

:
( );
, , , ;
:
, ;
, ,
(,
);
, "" (, / );
, (
, , () );
;
;
.
"" 8.

4.2.3
/
:
, ;
, ;
, , ;
, , (, , , () .
"" 9.

4.2.4
, ,
, .
, . "" :

;
6

/ 18044
(, )
;
,
() .
"" 10.

5
:
,
;
, , , .

5.1
,
, ,
:
;
, , , ;
;
;
;

;
;

.
.

5.1.1
, ,
, , ,
.

5.1.2
, . , , , .
7

/ 18044
(, )

5.1.3

.
, , ,
, , .

5.1.4

.
, , ,
, "" . ,
, ,
.
,
. . , , , ,
, .

5.1.5

. , . :

;
;
,
, , .
,
" ", "" . , , .
, .

5.1.6
:
;

.

/ 18044
(, )
,
, . . ,
.

.

5.1.7
. , ,
"- ".
, . , , / .

5.1.8
, , ( , ).
, , .

5.2

, , . , , . ,
, . ,
" ".
, , .
, , " " ,
.
, , , . , .
,
, :
;
9

/ 18044
(, )
;
;
;
;
;
;
.
.

5.2.1 ()
. , ,
. . ,
.

5.2.2
. ,
, ,
.

, :
,
, , ;
, /
, ;
, ,
, .

5.2.3
.
. , , ,
.
, . ,
. :
, , ,
;
10

/ 18044
(, )
, ,
, ;

, , . ., .
. ,
. .
(,
).

. ,
(, ),
. ( , (. 7.5.4), , ,
, , ,
).
, .
, , , , () , , . .
. ,
, .
. , , ,

, .
.
,
. ; .
. , , , .
, , , ,
.
. . , , :

(, ),
;
11

/ 18044
(, )
, , ,
;
, , , ;
, ,
. ;
, , , .
. , ,
, , .
.
, , , , . , . ,
:
;
;
, ,
.
, .
. . ,
, . , , / . / , , , / () 18043.
. / , . (,
,
, .)

5.2.4
,
, , , . 12

/ 18044
(, )
,
.
, ,
, , ( ).
, " ",
, .

5.2.5
. , ,
, , ,

.
,
, . , , . , ,
. ,
, .

5.2.6
, , , .

()
. , .
, , .
,
, , , , .

5.2.7

, ,
.
, . ,
, .
, .
13

/ 18044
(, )

5.2.8
, , . , , , 1) .

6
(,
) ,
. , , ,
, . , , ,
, .

. , .

6.1
,
. , , , .
" ",
: .

" " :
;
, ;
,
(. ., ,
).
" " ,
, , , - ,
. " " , ,
1)

.
.

14

/ 18044
(, )
, . ,
. ,
" " (. ., ""), , -
.
" ", , , () , ,
:
, ,
, ;
()
/;
, ,
( );
;
;
.

6.2
, " " , , . :
, , ;

, .
,
:
DNS ( ) ( DNS);
;
(, ) ;

(, , FTP,
Web . .) ;

( ).
, , , , ,
. 15

/ 18044
(, )
, ,
, () .
, ,
, :
;
, ;
, , ;
(, ),
, , :
, ,
, , ;
()
,
, ,
,
.

6.3
,
. , , .
:
, ;
(,
) ;

;
, .
, , ,
, :
;
()
,
, , ,
6.2, .

7
:
16

/ 18044
(, )

( )

;
.
, .

7.1
,
.
:
,
(. 7.2 );

(. 7.3 ).
:
. . 4.2.1,
, , : "" "".

- ;
1) 2) 3) ( A), ,
() , ;

4)
, :

, () ,
() ;

, () ,
;

, , , () ;
1)

, (, -)
, / . .
2)
, (..
3)
, , . .
/ . , ,
"" / , .
4)
.

17

/ 18044
(, )

,
() ;

;
, (. . 7.3.5, );
, , , ()
(. 7.4,
);

(. 7.5, );
( ) (. 7.6, );
(. 7.7, ),
(
).
,
.

7.2
7.2.1
,
.

7.2.2
,
. (. 7.7, ).

7.2.3
()
:
, ;
, , , . ,
18

/ 18044
(, )
, , , , ;
, ,
, ;
, ,
.
:
;
;
;
, ;
;
"";
;
();

;
,
, ;
, ;
, :
,
, :

""
. .;

( );
, ,
. ,
, ;
,
. , , ,
. , :
. , .
, , []. ,
;

19

/ 18044
(, )
( ( ),
), , . ,
. , ,
. ;
;
,
(. . 5.2.3).

7.3
7.3.1
,
() .
. :
;
, ;
;
, ()
;
.

7.3.2
, , :
, , , ;
,
. ( ), , ,
.
, , , ,
, .

7.3.3
:
;
;

20

/ 18044
(, )
1),
, :
" ":

(
);

( , ), /,
;
"" ( ):


, ;

, ()
;

,
, , ;

, , ,
(, );

, (, );

() , ;

, , , ;

/ .
(
, .
, (,

). ,
,
. , );

1)

, ,
.

21

/ 18044
(, )

"":

, ;

, ;

,
( );

/ ;
"" , :

(, , () () );

, () ;
/ (, ,
, , , ) ;

, . , , , . , ,
. ,
"" , , ,
, . , , ;
, ,
;
,
, ;
;

(), , (. . 5.2.3). .
/ 15947 "
" / 18043 " ,
() ";
;
;
22

/ 18044
(, )
.

7.3.4
, , , .
,
: () . ,
.
, ,
, , , "" , , , . ,

.
, . ,
, , . "" , , ,
, , .
,
, ( ) . , , , ,
.
,
,
. ,
, (, , , , ),
. ,
. , , (, ,
, ).
,
, . ,
, .
:
" ";
, , ;

.

23

/ 18044
(, )

7.3.5
,

. , , .

7.4
7.4.1
, ,
:
, , ;
, . ., ;
;
,
, , .

7.4.2
, , ,
.
:
;
;
, , ;
, ()
(,
off-line ).
, , ,

, ,
.

7.5

7.5.1
, ,
, , 24

/ 18044
(, )
.
, , .

7.5.2

,
. ,
, . .4.2.1 .7.1, , . , , , . .
(, , /,
, ).
, .
,
, , .
:
,
;
, ,
;
,
;
.

7.5.3
,
,
. , , , .
,
.
.
. :
;
.

25

/ 18044
(, )

7.5.4

. :
, , ,
;
, ;
;
(, /);
;
;
()
;
;
;
.

7.6

, ,
. :
(
) ;
;
;
/
,
( , ,
);
/ .
,
, ,
:
;
( ) (, , , . .),
. ., , (
)
, ;
, , , , , () ;
26

/ 18044
(, )
, , , , , () ;
, ()
;
, , ,
() ;
(,
off-line , CD DVD ROM);
(, ),
, ,
;
,
() :
;
;
;
;

;
, () , .
, ()
. , , ( ),
,
, () , . ,
.
,
( ).
, , ,
, , .
" IDS" ( 15947) 13335,
2, " "
(MICTS).

7.7
, , , , , , .
. 27

/ 18044
(, )

. ,
, .
,
, , , , . , ,
, , , .
, , :
, ;
[] ;
, ;
;
;
, ;
;
.

(,
). ,
, .
, . . ,
, , .

8
8.1
: "" "", "", ,
.
4.2. "", "" 9, "" 10. 2.
28

/ 18044
(, )

8.2
"" :
/ , (, );
1)
, ;

1)

,
.

29

/ 18044
(, )
/

(24 7)

ISIRT
( )

, . .
ISIRT

2 ( )

, -, , , , ,
;
,
:
, ;
, , ;
30

/ 18044
(, )
() , ;
, , , ;

;
, , , / .
, , / , . , , ,
, , , .
, , :
,
, ,
, , ,
;
, , , (
);
,
, ,
/ .
:
8.3;
( )
8.4;
8.5 :
;
, ;
;
;
;
;
;
.

8.3
,
, , , 31

/ 18044
(, )
. , , / ,
(
). , ,
, , , , , .
, , , . , .
, , , ,
. , , ,
, , . (, , , , ).
, , , .
.
, , ,
, , , . ,
(, web), (, 24 7 ), . A.
, , .
. - , , .
, (,
) .
, (, ), , ,
, ,
.
, , .
,
, , , , , .
,
; ,
. ,
32

/ 18044
(, )
.
, , . ., / .
, , , .
.

8.4 /
8.4.1
, /
. ,
, , . ,
,
.

, / .
, , . ,
,
, .
() :
, ( ) ;
();
, ( );
( );
.
,
,
.
, , "" . ,
, (
, ),
. , " ", , , , , ; . , , ""
.
, . ,
A. 33

/ 18044
(, )
, , , :
;
, ;
;
;
(
, );
.

:
;
;
;
() ;
()
, .
:
/ -;
;
, ;
;
-;
.
, , (. B) .
,
(, ,
).
, , ,

.
,
.
, ,
, , , :
;
, , .
34

/ 18044
(, )
, (, ), , ,
, ,
.
, , . , , .

8.4.2
, - , , ,
. :
, ,
, ;
/ ;
;
;
, ,
, , - .
, ,
. ,
, / . ,
, , / .
, , , .
:
, ,
, , , / ( , );
[]
, () , :
, () ;
, , ;
,
;
, () , ()
, :

35

/ 18044
(, )

( ?);
, ,
(, , , );
.

:
;
;
;
() ;
() ,
, . :
/ -;
;
, ;
;
-;
.
(. B) .

8.5
8.5.1
8.5.1.1

, / ,
.
(, /
, ()
() - () . , ,
, , . ,
" ", , , ,
, .

36

/ 18044
(, )
8.5.1.2
, , () : :
;
, ,
() , .
, , :
, ,
, ,
() ;
,
.
, () , () ,
. , , .
, , , , , . . , ,
, .
, - , , . , () ,
() , . , , () , .
(, "", " ", . 18043). ,
.
, , ,
. ,
.
8.5.1.3
, , / , , .
:
;
, ;
37

/ 18044
(, )
;

;
( , );
.
, (, ,
).
/ , .
,
, ,
. , , , , ,
() .
, , :

, () , ;
,
() , , ;

;

, ,
;
,
.
, ,
( ) , .
8.5.1.4
, :
;
, , .
, ,
/
.
,
.
38

/ 18044
(, )
, , , , :
;
- .
, (, ), , , , , :
, ; ()
" ",
, ,
.
, ,
/
, , (. ..
7.5.3 7.5.4).
,
, ,
, .
- .

8.5.2 ?
, ,
, , . , , ()
.
, , , ,
, (. .. 8.5.3, 8.5.5 8.5.6), .
, ,
"" (. . 8.5.4 ).

8.5.3
, " ",
, , . (), () () ()
. ()
/ , . ,
/ , , .
39

/ 18044
(, )

. , , , - (""),
. , .
, ,
.

.
,
() .
,
.
, .

.
, , .
, , , , .
(), () () () .
(), () () () "" . , , () .

.
, , , , , , .

8.5.4 " "


. 8.5.2, , , , ,
" ", .
,
/ , , , .
, , , , , . :
, ;
40

/ 18044
(, )
, ;
() .
() () (), ,
"" , .
" " , , :
;
;
;

;
.

8.5.5
, ,
. , , ,
.
,
.
, , (, , ),
, .
, , , .
, , . , , . , , , , . ., , . ,
, , , , , ,
. , , . , ,
.
, ,
, , . , ,
, , "" , () , , , ,
41

/ 18044
(, )
, .
, ( ,
).

, , (, , , . .),
. ,
, . ,
,
, .
:
, () , , ,
;
"" "", . .,
( );
, () ,
, , , , , , ;
;
IP-, , Web ;
"", , , ;
( );
, (,
) ;
, ;
// ;
() //;
;
, " " , ;
, , , , , , , , ;

42

/ 18044
(, )
,
,
. ,

, ;
, ,
, , , ;
, .
(), () , ()
.
,
( , , , ), / ( ),
, .

8.5.6
, ,
( ), , .
, , , ,
" ", ,
.
,
, ()
. ,
, ,
. , , ,
, .

8.5.7
,
, , / . ,

. ,
8.4, , .
, , , , . .,
.

43

/ 18044
(, )

8.5.8
, , ()
, . / , , .
. , ,
,
/ .

9
9.1
, ,
.

9.2
- .
, . 8.5.5.

9.3
, , , . :
. , . ,
( , ),
() ;
() , / .
,
/, .
, ,
, , .
, / , :
/;
44

/ 18044
(, )
;
, .
, ,
/.

, , .
, .
, () , , , () , . , () . ,
,
, () ,
.
,
, , ( ).
()
, .

9.4
, ,
.
, ;
. , , (. 10.3 ).

9.5

, . ,
- .
, , .
,
,
. :
45

/ 18044
(, )
,
?
, ?
,
?
,
?
, ?
, (. 10.4 ).

10
10.1
"" "", . ., ,
. .

10.2
,
.
.

10.3
, "" (. 9.4
),
() . 9.3, ( ) , ( ),
() . ,
,
//.
,
, , . , , , , .
.
46

/ 18044
(, )

10.4
, (.
9.5), ,
. , .

10.5
"" , ,
, , .

11
, , . ,
.

47

ISO/IEC TR 18044:2004

A
()



( )
, , ,
.
, ,
, , (. A) , .
, ,
,
. , .
,
/ , , . ,
, . ,
, /
.
,
, , , / .
, , :
,
1)
. ( , (,
), , , , ,
, . ,
.);
, , , , .

1)

, (, web-)
/ . , .

48

/ 18044
(, )
, , , , ;
, .
, ;
, , ,
.

49

/ 18044
(, )

. 1 1


:12)

( )
() :

______________
______________
______________

______________
______________

______________
_______________________________________________


:










? (
)
, ,
//

12)

( .)

50

/ 18044
(, )

. 1 5


13)

( )
() :

______________
______________

______________
______________

ISIRT

______________
______________

______________

______________
_______________________________________________


:










? (
)
, ,
//. ,
,

13)

( () .)

51

/ 18044
(, )

. 2 5

(
, )
( )

( )


(TH)

(FR)

/ (SA)
(MC)




( )

( )






(FL)

(OE)
(HE)
(SE)

52





( )

(HF)
(SF)
(CF)
(HE)

/
(HA)

(MI)
(OD)

(NE)
:
(LE)

(SS)
(OA)
:






( )




(UE)
(DE)
( ) (OA)
:





( (, , ), , , , , ,
)
:

/ 18044
(, )


. 3 5


( )

( , , ,
, , )
/

________________________________

________________________________

________________________________

________________________________

________________________________

/
, 110, ( ): (FD) / -, (CE) , (PI) , , (LR) ( ),() -, (LG) (. B). , ,


(. ., )

(. ., )

(. ., )








( , 110 )

53

/ 18044
(, )


. 4 5

_______________________________________
_

(), ()

_______________________________________
_

_______________________________________
_

_______________________________________
_

_______________________________________
_

_______________________________________
_


( )

(PE)

(GR)

/ (OI)
(AC)





(NP)
, ,
,


( )

/
(CG)
/ (PT)

/ (PH)

(RE)
(OM)






:

,
(, , , , )
,
(, . )

(, - )

54

/ 18044
(, )


. 5 5

( ,
)

( )

_______________________________________
____

/
( , . ).


(,
)













(, , , ,
, , )
:

____________

____________

____________

___________

___________

___________

___________

___________

___________

___________
_

___________
_

___________
_

_
___________

___________
_

___________
__

__________

___________
__

__

__
__________

___________

__
____________

__________

__

__

___________

__

__________

___________
_

55

/ 18044
(, )

B
()

B.1
,
1 10 (1 , 10 ). (
, , 1 5. , .)
, , , :
, , "
". - , ,
,
110, . , ( 110) , , ,
" ". , , , , , ,
" ". ( ,
, " ", );
, , , . , .
, ,
:
;
;
;
() ;
() ,
,
. , ,
- ("")
.

B.2 / -
,
, ,
56

/ 18044
(, )
, , , .
,
-. () .
. ,
. - /
. :
1) / 1 ;
2) / 1+1 2;
3) / 2+1 3;
4) / 3+1 4;
5) / 4+1 5;
6) / 5+1 6;
7) / 6+1 7;
8) / 7+1 8;
9) / 8;
10) .

B.3

, . :
1) ,
();
2) 1 ( );
3) 1+1 2 (), , ,
, ;
4) 2+1 3 ();
5) 3+1 4 ();
6) 4+1 ();
7) 14);
8) ;
9) ;
14)

" " , .

57

/ 18044
(, )
10) .

B.4 ,
,
, , , , , , , , , ,
. , , , ,
, , , . , ,
, ,

, ,
. :
1) () (, , ), ;
2) () (, , ), ;
3) , , () , ;
4) , , ,

;
5) , , , ;
6) , , , ;
7) ;
8) ;
9) ;
10) .

B.5
, , , ,
. ,
, , , .
() . :
1)
;
58

/ 18044
(, )
2)
;
3)
,
, / z1 ;
4)
, ,
/ z1+1 z2;
5)
,
, / z2+1 z3 ;
6)
,
, / z3+1 z4 ;
7)
,
, /
;
8)
;
9)
;
10) .

B.6 -
, . , , ,
, ,
. , ,
, . ,
. :
1)
;
2)
;
3)
;
4)
;
5)

;
6)

;
7)

, ;
8)
;
9)
;
10) .

B.7
, ,
, 59

/ 18044
(, )
,
. :
1)
;
2)
;
3)
, ,
, , ,
, /
;
4)
;
5)
, ,
, , ,
,
;
6)
;
7)
,
, , , ,
,
;
8)
;
9)
;
10) .

60

/ 18044
(, )


()


.1

/ 13335-1:2004

/ 13335-2
/ 17799:2000

/ 15947-2002
/ 18043

/ 13335.1-2005
. .
. 1.
*
/ 17799-2006
. .
*
*

* .

61

/ 18044
(, )

[1] / 13335-3 3: ,

[2] / 15947-2002

[3] / 18028
[4] / 18043 , (IDS)
( 4029, NP SC27 24.09.2004)
[5] / 73-2002,

[6]
Internet (IETF)
Internet
Engineering
Task
Force
(IETF)
Site
Security
Handbook,
http://www.ietf.org/rfc/rfc2196.txt? number=2196
[7] , , 1998 .
Expectations for Computer Security Incident Response Best Practice, June 98,
ftp://ftp.isi.edu/in-notes/rfc2350. txt
[8] NIST 800-3, 1991 ., (CSIRC)
NIST Special Publication 800-3 Nov 91, Establishing a Computer Incident Response Capability (CSIRC), http://csrc.nist.gov/publications/nistpubs/800-3/800-3. pdf

62

/ 18044
(, )

01.040.01

00
: ,
,
,

362

..
"____" 2007 .

362,
14
..
"____" 2007 .
14

..

"____" 2007 .

63