Корректирующие и превентивные действия

После устранения последствий инцидента и восстановления нормального функционирования бизнес-процессов компании, возможно, потребуется выполнить действия по предотвращению повторного возникновения инцидента. Для определения необходимости реализации таких действий следует провести анализ рисков, в рамках которого определяется целесообразность корректирующих и превентивных действий. В некоторых случаях последствия инцидента незначительны по сравнению с корректирующими и превентивными действиями, и тогда целесообразно не совершать дальнейших шагов после устранения последствий инцидента.

Мы рассмотрели все этапы модели PDCA применительно к процессу управления инцидентами информационной безопасности. Далее, для того чтобы процедура выполнялась правильно и эффективно, все эти этапы должны непрерывно и последовательно повторяться. Через определенное время (как правило, через полгода или год) необходимо заново пересмотреть перечень событий, называемых инцидентами, форму отчета и пр., внедрить обновленную процедуру в информационную систему, проверить ее функционирование и эффективности и реализовать превентивные действия. Таким образом, цикл модели PDCA будет непрерывно повторяться и гарантировать четкое функционирование процедуры управления инцидентами и, главное, ее постоянное улучшение.

Во многих крупных компаниях внедрена служба поддержки Service Desk, в обязанности которой входит управление инцидентами в области информационных технологий. Процедура управления ИТ-инцидентами регулируется стандартом ISO/IEC 20000:2005, пришедшим на смену BS 15000:2002, который, в свою очередь, взял за основу библиотеку ITIL. Заметим, что все ISO/IEC серий 9000, 14000, 20000, 27000 и другие стандарты ISO/IEC, описывающие правила создания систем управления различными процессами, гармонично сочетаются друг с другом. Все они в качестве основы управления подконтрольными процессами используют процессный подход, который рассматривает управление как процесс, а именно как набор взаимосвязанных непрерывных действий. Процессный подход акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для этого. Кроме этого, стандарты указанных серий используют модель PDCA как структуру жизненного цикла всех процессов системы управления.

Естественно, что ISO 20000, описывает как систему управления ИТ-сервисами, так и процедуру управления инцидентами, но также рассматривает ИТ-инциденты. Сама процедура управления инцидентами ИТ очень близка к процедуре управления инцидентами информационной безопасности с той лишь разницей, что в последнем случае больший упор делается на его расследование, сбор улик, наказание виновных (вплоть до обращения в суд).

Управление инцидентами информационной безопасности, как правило, возлагается на службу поддержки, обрабатывающую инциденты ИТ (в том случае, если такая служба существует в компании). Это еще раз доказывает то, что целесообразно разработать одну систему управления всеми процессами в компании, так как управление схожими процессами в разных областях ее деятельности часто выполняется по одной схеме.

***

Важно, чтобы ни один инцидент не остался незамеченным, было проведено расследование, выявлены виновные, и, самое главное, выполнены корректирующие и превентивные действия. Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить. Следовательно, необходима четкая процедура регистрации и расследования инцидентов безопасности, а также информирование пользователей о правилах определения инцидентов.

Необходимо понимать, что управление инцидентами не предупреждает нанесение ущерба компании (как правило, компания уже понесла ущерб, связанный с инцидентом), однако расследование инцидента и своевременное внедрение превентивных и корректирующих мер снижает вероятность его повторения (и, следовательно, вероятность повторения нанесения ущерба). Отметим также, что статистика инцидентов информационной безопасности представляет особую ценность для компании как показатель эффективности функционирования системы управления информационной безопасностью. Статистику инцидентов следует регулярно анализировать в рамках аудита системы управления информационной безопасностью.