Страница 49 из 60
4) краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ;
5) ссылку на необходимость правильной регистрации всех действий по управлению инцидентами ИБ для дальнейшего анализа и непрерывного мониторинга для обеспечения безопасного хранения электронных свидетельств на случай их востребования для судебного разбирательства или внутреннего дисциплинарного расследования;
6) действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентом ИБ;
7) общее представление об оповещении и обработке уязвимостей ИБ;
8) подробности места хранения документации схемы, включая процедуры хранения;
9) общее представление о деятельности ГРИИБ, включающее следующие вопросы:
– организационную структуру ГРИИБ и весь основной ее персонал, включая лиц, ответственных за:
• информирование высшего руководства об инцидентах,
• работу с запросами и следующие за этим действия, и
• связь со сторонними организациями (при необходимости);
– положение об управлении ИБ, конкретизирующее полномочия ГРИИБ, в рамках которых она будет его осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;
– формулировку целей ГРИИБ применительно к основной ее деятельности. Для выполнения своих функций персонал должен участвовать в оценке, реагировании и управлении инцидентами ИБ для их успешного разрешения. Цели и предназначение ГРИИБ очень важны и требуют четкого и однозначного определения;
– определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все ИС, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;
– идентификация учредителя ГРИИБ – старшего должностного лица, который санкционирует действия ГРИИБ и устанавливает уровни ее полномочий. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является важной информацией для формирования доверия к ней;
– взаимосвязи с организациями, обеспечивающими специализированную внешнюю поддержку, как например, группы правовой экспертизы;
9) общее представление о техническом и других механизмах поддержки;
10) общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ;
11) перечень правовых и нормативных аспектов, предполагаемых к рассмотрению.
1.2. Интеграция управления инцидентами ИБ во все политики
Организация должна включить содержание управления инцидентами ИБ в содержание политики ИБ и политики управления рисками и описать это содержание в политике управления инцидентами. Интеграцию всех политик необходимо осуществить как на корпоративном уровне, так и на системном, сервисном и сетевом уровнях.
Интеграция всех политик ИБ должна быть нацелена на следующее:
– описание важности управления инцидентами ИБ, особенно схемы оповещения и обработки инцидентов ИБ;
– указание ответственности руководства за надлежащую подготовку к инцидентам ИБ и реагирования на них, т.е. схему управления инцидентами ИБ;
– обеспечение согласованности разных политик;
– обеспечение планового, систематического и спокойного реагирования на инцидент ИБ для минимизации его негативного влияния.
Организация должна поддерживать и обновлять корпоративные политики ИБ и управления рисками, а также специальные политики ИБ систем, сервисов или сетей. Эти политики должны иметь четкие ссылки на корпоративную политику управления инцидентами ИБ и соответствующую ему схему.
Политики должна содержать следующие разделы:
– обязательства руководства по отношению к ней;
– описание политики;
– описание схемных процессов и соответствующей инфраструктуры;
– требования по обнаружению, оповещению, оценке и управлению событиями, инцидентами и уязвимостями ИБ;
– четкое определение персонала, ответственного за авторизацию и/или проведение определенных критических действий (например, перевод системы в режим внешней недоступности или даже ее отключение).
Политики должны содержать требование о создании соответствующих механизмов проверки. Эти механизмы должны обеспечить уверенность в том, что информация, полученная в результате обнаружения, мониторинга и разрешения инцидентов ИБ и рассмотрения известных уязвимостей ИБ, используется в качестве входных данных для обеспечения эффективности корпоративных политик ИБ и управления рисками и специальных политик ИБ для систем, сервисов и сетей.
1.3. Разработка схемы управления инцидентами ИБ
Цель схемы управления инцидентами ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. Схема управления инцидентами ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ. В некоторых организациях схема может называться планом реагирования на инцидент ИБ.
Необходимо использовать схему в качестве руководства для выполнения следующих первоначальных действий:
– реагирование на события ИБ;
– определение того, является ли событие ИБ инцидентом;
– управление инцидентами ИБ до их разрешения.
Также необходимо использовать схему в качестве руководства для выполнения следующих завершающих действий:
– реагирование на уязвимости ИБ;
– идентификация полученных уроков и улучшений схемы и/или безопасности в целом;
– реализация идентифицированных улучшений.
Схема управления инцидентами ИБ предназначена для всего персонала организации и задействованных в схеме сторонних организаций, включая лиц, ответственных за:
– обнаружение и оповещение о событиях ИБ (постоянный или контрактный персонал организации и ее компаний);
– оценку и реагирование на события и инциденты ИБ, их разрешение и улучшения ИБ и самой схемы (группа поддержки, ГРИИБ, руководство, пресс-секретари и юристы);
– оповещение об уязвимостях ИБ (постоянный или контрактный персонал организации и ее компаний) и всего связанного с ними.
Следует также учитывать пользователей сторонних организаций, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях. и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.
Документация схемы управления инцидентами ИБ должна содержать следующую информацию:
– описание политики управления инцидентами ИБ;
– описание схемы управления инцидентами ИБ в целом;
– подробные действия, процедуры и данные всех фаз управления инцидентами.
Схема должна содержать определенную информацию каждой фазы
Для 1-й фазы – планирование и подготовка:
– стандартизированный подход к категоризации и классификации инцидентов/событий ИБ для обеспечения единого подхода. Во всяком случае решение должно быть основано на фактических или планируемых неблагоприятных воздействиях на бизнес-операции организации и соответствующих директивах;
– стандартизированные форматы базы данных уязвимости / инцидента / события ИБ для обмена информацией, который обеспечивает возможность совместного использования сравнительных результатов сообщений/тревог, улучшает аварийную информацию и допускает более точное представление об угрозах и уязвимостях информационных систем;
– директивы для решения, требуется ли антикризисная деятельность в течение каждого процесса, и для кого и каких процедур. На основании директив по обеспечению документации схемы управления инцидентами ИБ кто-либо, оценивая событие, инцидент или уязвимость ИБ должен знать, в каких обстоятельствах необходимо расширить вопросы, и для кого их нужно расширить. Кроме того, есть непредвиденные обстоятельства, когда это может быть необходимо. Например, незначительный инцидент ИБ смог разростись до серьезного, или кризисная ситуация не была разрешена должным образом, или незначительный инцидент ИБ в течение недели смог стать главным инцидентом ИБ. Директивы должны определить типы событий и инцидентов ИБ, типы антикризисной деятельности и кто может ее инициировать;