Система управления инцидентами

Система управления инцидентами информационной безопасности является основополагающей частью общей системы управления информационной безопасностью в компании. Она позволяет обнаруживать, учитывать, реагировать и анализировать события и инциденты информационной безопасности. На сегодняшний день существует большое количество различных стандартов и лучших практик в этой области. В качестве примера можно привести наиболее известные стандарты ISO: ISO\IEC 27001-2005, ISO/IEC TR 18044.

Так в рамках стандарта ISO\IEC 27001-2005 выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся, в том числе и к процессам управления инцидентами. Стандарт ISO/IEC TR 18044 в свою очередь описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA. В стандарте даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам. Также по тематике управления инцидентами существуют стандарты серии ITU-T для операторов связи, набор документов CERT, NIST и ряд других стандартов.

Таким образом, на сегодняшний день существует достаточно большой объем материалов, дающих рекомендации по построению системы управления инцидентами в рамках организации, которыми стоит воспользоваться как основой при планировании и построении системы управления инцидентами ИБ.

Стоит отметить, что построение процесса управления инцидентами своими силами задача довольно непростая, т.к. требует больших временных и человеческих затрат, а также определенных компетенций. Поэтому зачастую компании, которые приняли решение о том, что управление инцидентами должно быть внедрено, обращаются за помощью к сторонней компании-консультанту, в штате которой имеются специалисты-практики в данной области, способные выстроить процесс для организации с учетом её специфики.

Если говорить в общих чертах о создании системы управления инцидентами, то она может быть внедрена в несколько основных этапов. На первом этапе проводиться предпроектное обследование. В его рамках осуществляется сбор и анализ информации об имеющихся и используемых на данный момент регламентах, процедурах и средствах обеспечения информационной безопасности и управления инцидентами. Если какие-то наработки в направлении структурирования работы с инцидентами уже есть, то их следует проанализировать и по возможности использовать в дальнейшем проектировании. Также должны быть собраны сведения об используемых информационных системах и технологиях обработки информации, а также выявлены источники событий информационной безопасности (активы). Активам должны быть назначены владельцы, а также определена степень важности (критичности) каждого из них непосредственно для бизнес-деятельности организации. По завершении этапа определяется скоуп, т.е. область действия системы управления инцидентами информационной безопасности.

На следующем этапе осуществляется разработка процессов системы управления инцидентами информационной безопасности и написание соответствующих документов. Под процессами подразумеваются те основные виды деятельности, которые должны осуществляться в рамках всего жизненного цикла обработки инцидента, это: мониторинг и выявление инцидентов, их обработка (регистрация инцидента, реагирование и расследование инцидента), разработка и принятие корректирующих или превентивных мер для того, чтобы подобный инцидент не возникал в будущем. Помимо разработки процессов системы на данном этапе должен быть создан необходимый пакет нормативно-распорядительной и организационной документации. При его создании можно руководствоваться требованиями к документированию, выдвигаемыми международным стандартом ISO/IEC 27001-2005. В завершение этапа осуществляется выбор средств автоматизации и аппаратная платформа, которые будут служить основой системы управления инцидентами и осуществляется эскизное проектирование автоматизированной системы.

Следующий этап это уже непосредственно интеграция разработанных процессов управления инцидентами в существующую систему управления безопасностью компании. На этом этапе распределяются роли, т.е. помимо определения задействованных в процессе сотрудников осуществляется распределение ролей и функциональных обязанностей. Также необходимо провести обучение задействованного в процессе управлении инцидентами персонала и провести тестирование и отработку всех процессов. Это делается для того, чтобы быть уверенным, что каждый правильно понял и усвоил свои обязанности в рамках отведенной роли, а также отработать механизмы взаимодействия в рамках процесса. Также на данном этапе осуществляется технорабочее проектирование автоматизированной системы.

На последнем этапе осуществляется уже непосредственно внедрение автоматизированной системы мониторинга и управления инцидентами информационной безопасности, а именно: поставка компонент системы мониторинга и управления инцидентами, их установка и настройка, обучение персонала работе с системой, проведение опытной эксплуатации, устранение выявленных ошибок и сдача в промышленную эксплуатацию.

Заключение

В заключение хотелось бы обозначить те основные проблемы, которые сможет решить внедрение и автоматизация процесса управления инцидентами ИБ. Во-первых, грамотно спроектированная и настроенная под нужды компании система управления инцидентами позволит не только адекватно и оперативно выявлять инциденты безопасности, но и своевременно на них реагировать, тем самым, сокращая возможный ущерб, который мог быть нанесен. Также следует отметить, что собранная статистика и результаты анализа инцидентов позволят в будущем принимать обоснованные решения по обеспечению безопасности в организации.