Приложение А. Цели управления и средства управления.

А.13 Управление инцидентами информационной безопасности:

§ A.13.1.1 Сообщение о событиях информационной безопасности. Эти сообщения должны отправляться по надлежащим управленческим каналам как можно быстрее.

§ A.13.1.2 Сообщение о слабостях защиты. Необходимо обязать всех сотрудников, подрядчиков и пользователей из сторонних организаций, использующих информационные системы и сервисы, отмечать и сообщать обо всех наблюдаемых или предполагаемых слабостях защиты систем или сервисов.

§ A.13.2.1 Ответственность и процедуры. Должна быть установлена ответственность руководства и определены процедуры для обеспечения быстрого, эффективного и правильного реагирования на инциденты информационной безопасности.

§ A.13.2.2 Обучение на инцидентах информационной безопасности. Должны быть реализованы механизмы, позволяющие измерять и отслеживать типы, объемы и стоимость инцидентов информационной безопасности.

§ A.13.2.3 Сбор доказательств. Если действия, которые в результате инцидента информационной безопасности предполагается предпринять относительно лица или организации, включают в себя, кроме других, и правовые (как по гражданскому, так и по уголовному кодексу), то необходимо собрать, сохранить и представить доказательства, чтобы выполнить правила доказательства, установленные в соответствующем правоохранительном органе (органах).

Документ ISO/IEC TR 18044 Information security incident management определяет формальную модель процесса реагирования на инциденты. Целями следования этой модели является уверенность в том, что:

§ события и инциденты информационной безопасности выявляются и обрабатываются эффективным образом, в особенности в части классификации событий;

§ выявленные инциденты информационной безопасности в организации учитываются и обрабатываются наиболее подходящим и эффективным образом;

§ последствия инцидентов информационной безопасности могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов восстановления после сбоев и аварий (DRP/BCP);

§ за счет анализа инцидентов и событий ИБ повышается вероятность предотвращения будущих инцидентов, улучшаются механизмы и процессы обеспечения информационной безопасности.

Процесс реагирования на инциденты состоит из следующих этапов:

§ Планирование и подготовка. На данном этапе осуществляется разработка схемы реагирования на инциденты, разработка и утверждение ряда организационно-регламентирующих документов, выделение людских и материальных ресурсов, проведение необходимого обучения и апробация выбранной схемы реагирования на инциденты.

§ Эксплуатация. Осуществляется обнаружение инцидента ИБ, его идентификация, предварительный анализ и начальное реагирование.

§ Анализ. Проводится углубленный анализ инцидента, на его основе делаются выводы и составляются рекомендации по улучшению процесса обеспечения информационной безопасности и реагирования на инциденты. Формируется отчет об инциденте.

§ Улучшение. На данном этапе реализуются рекомендации, выработанные на этапе анализа.

Рассмотрим каждый из названных этапов подробнее.

Планирование и подготовка

Данный этап является подготовительным и предназначен для организации и регламентирования деятельности по реагированию на инциденты. На этом этапе необходимо:

§ выделить людские и материальные ресурсы;

§ разработать схему реагирования на инциденты;

§ разработать и утвердить ряд организационно-регламентирующих документов;

§ провести необходимое обучение персонала и апробацию выбранной схемы реагирования на инциденты.

В соответствии с ISO/IEC TR 18044 необходимо создать группу по расследованию инцидентов ИБ. Основные цели:

§ обеспечение компании квалифицированным персоналом для учета, реагирования и анализа инцидентов;

§ обеспечение необходимой координации и управления процессом реагирования на инциденты;

§ обеспечение должного уровня информирования руководства и заинтересованных лиц;

§ обеспечение максимального снижения последствий инцидентов как в материальной сфере, так и для поддержания репутации организации.

В состав группы рекомендуется включить представителей следующих подразделений организации:

§ служба информационной безопасности: обеспечение координационной, административной, экспертной и технологической деятельности;

§ служба информационных технологий: обеспечение экспертной и технологической деятельности;

§ служба персонала: обеспечение административной и процедурной деятельности;

§ юридическая служба: обеспечение экспертной и нормативно-правой деятельности;

§ бизнес-менеджеры профильных подразделений: привлекаются на временной основе для поддержки обеспечения административной, экспертной и технологической деятельности;

§ внешние эксперты: обеспечение консультативной, экспертной и технологической деятельности.

Основными процессами подготовительного этапа могут быть:

§ выделение людских и материальных ресурсов;

§ разработка и утверждение организационно-распорядительной документации;

§ обучение персонала;

§ тестирование схемы реагирования на инциденты.