Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
• ссылку на формальный дисциплинарный процесс в отношении сотрудников, допустивших бреши ИБ;
• соответствующие процессы обратной связи, обеспечивающие информирование тех, кто оповестил о событии ИБ, о результатах решения и закрытии проблемы.
Цели управления инцидентами ИБ должны быть согласованы с общим управлением и гарантировать, что ответственность за управление инцидентами ИБ является приоритетом организации для обработки инцидентов ИБ.
Оповещение
Меры и средства
События ИБ должны быть сообщены по соответствующим управляемым каналам, как можно быстрее.
Рекомендации по реализации
Все сотрудники должны знать о своей обязанности оповещения о событиях ИБ как можно быстрее. Они должны быть ознакомлены с процедурой оповещения о событиях ИБ и контактным лицом, кого надо оповестить.
Ситуации, относящиеся к событиям ИБ, включают:
– неэффективную меру защиты;
– брешь в целостности, конфиденциальности и доступности информации;
– человеческие ошибки;
– несоответствие политике и правилам;
– бреши в мерах физической безопасности;
– неконтролируемые системные изменения;
– сбои системного или прикладного ПО;
– нарушения доступа.
Сбои или другое аномальное поведение системы могут быть индикатором тайной атаки или существующей бреши в безопасности, и об этом надо сообщать как о событии ИБ.
Оповещение о недостатках ИБ
Меры и средства
Сотрудники и подрядчики, использующие ИС и сервисы организации обязаны сообщать о любых наблюдаемых или предполагаемых недостатках ИБ в системах или сервисах.
Рекомендации по реализации
Все сотрудники и представители сторонних организаций должны, как можно быстрее, сообщать о недостатках ИБ своему руководству или непосредственно поставщику услуг, чтобы предотвратить инциденты ИБ. Механизм сообщения должен быть, насколько возможно, простым, доступным и применимым.
Оценка событий и решения
Меры и средства
События ИБ должны быть оценены и по ним должно быть принято решение, если они классифицированы как инциденты ИБ.
Рекомендации по реализации
Контактное лицо должно оценить каждую информацию о событии ИБ, используя согласованную шкалу классификации событий и инцидентов ИБ, и решить, является ли событие инцидентом ИБ. Классификация и приоритетность инцидентов может помочь идентифицировать влияние и масштаб инцидента.
Если организация имеет свою
Результаты оценки и решения должны быть детально зафиксированы для дальнейшего изучения и анализа.
Реагирование на инциденты ИБ
Меры и средства
На инциденты ИБ надо реагировать в соответствии с документированными процедурами.
Рекомендации по реализации
На инциденты ИБ должны реагировать ответственный за это сотрудник и другие специалисты организации или сторонние специализированные группы.
Реагирование должно содержать следующее:
– сбор доказательств сразу после появления инцидента;
– проведение, при необходимости, правового анализа инцидента;
– эскалацию, при необходимости;
– уверенность, что все предпринятые действия правильно зафиксированы для дальнейшего анализа;
– передача информации об инциденте и его деталях всем заинтересованным сторонам (внутренним и внешним);
– выявление уязвимости ИБ, которая привела или способствовала инциденту;
– формальное завершение инцидента и фиксация всех данных сразу после успешного его решения.
Первой задачей реагирования на инцидент является возобновление нормального уровня безопасности, а затем инициация необходимого восстановления.
Извлечение уроков из инцидентов ИБ
Меры и средства
Знания, полученные в результате анализа и решения инцидентов ИБ, должны использоваться, чтобы уменьшить вероятность или воздействие будущих инцидентов.
Рекомендации по реализации
На месте должны быть механизмы, способные осуществить мониторинг и количественную оценку типа, уровня и значимости инцидентов ИБ. Информация, полученная в результате оценки инцидентов, должна быть использована для определения повторяющихся и серьезных инцидентов.
Оценка инцидентов ИБ может привести к необходимости задействования улучшенных или дополнительных мер защиты для ограничения частоты, ущерба и цены будущих событий или должна быть учтена при пересмотре политики ИБ.
С учетом аспектов конфиденциальности эпизоды актуальных инцидентов ИБ могут быть использованы для обучения персонала как примеры того, что могло случиться, как реагировать на эти инциденты и как избежать их в дальнейшем.
Сбор доказательств