Управление информационной безопасностью. Стандарты СУИБ

Гребенников Вадим Викторович

– положение об управлении ИБ, конкретизирующее полномочия ГРИИБ, в рамках которых она будет его осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;

– формулировку целей ГРИИБ применительно к основной ее деятельности. Для выполнения своих функций персонал должен участвовать в оценке, реагировании и управлении инцидентами ИБ для их успешного разрешения. Цели и предназначение ГРИИБ очень важны и требуют четкого и однозначного определения;

– определение

сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все ИС, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;

– идентификация учредителя ГРИИБ – старшего должностного лица, который санкционирует действия ГРИИБ и устанавливает уровни ее полномочий. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является важной информацией для формирования доверия к ней;

– взаимосвязи с организациями, обеспечивающими специализированную внешнюю поддержку, как например, группы правовой экспертизы;

9) общее представление о техническом и других механизмах поддержки;

10) общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ;

11) перечень правовых и нормативных аспектов, предполагаемых к рассмотрению.

1.2. Интеграция управления инцидентами ИБ во все политики

Организация должна включить содержание управления инцидентами ИБ в содержание политики ИБ и политики управления рисками и описать это содержание в политике управления инцидентами. Интеграцию всех политик необходимо осуществить как на корпоративном уровне, так и на системном, сервисном и сетевом уровнях.

Интеграция всех политик ИБ должна быть нацелена на следующее:

– описание важности управления инцидентами ИБ, особенно схемы оповещения и обработки инцидентов ИБ;

– указание ответственности руководства за надлежащую подготовку к инцидентам ИБ и реагирования на них, т.е. схему управления инцидентами ИБ;

– обеспечение согласованности разных политик;

– обеспечение планового, систематического и спокойного реагирования на инцидент ИБ для минимизации его негативного влияния.

Организация должна поддерживать и обновлять корпоративные политики ИБ и управления рисками, а также специальные политики ИБ систем, сервисов или сетей. Эти политики должны иметь четкие ссылки на корпоративную политику управления инцидентами ИБ и соответствующую ему схему.

Политики должна содержать следующие разделы:

– обязательства руководства по отношению к ней;

– описание политики;

– описание схемных процессов и соответствующей инфраструктуры;

– требования по обнаружению, оповещению, оценке и управлению событиями, инцидентами и уязвимостями ИБ;

– четкое определение персонала, ответственного за авторизацию и/или проведение определенных критических действий (например, перевод системы в режим внешней недоступности или даже ее отключение).

Политики должны содержать требование

о создании соответствующих механизмов проверки. Эти механизмы должны обеспечить уверенность в том, что информация, полученная в результате обнаружения, мониторинга и разрешения инцидентов ИБ и рассмотрения известных уязвимостей ИБ, используется в качестве входных данных для обеспечения эффективности корпоративных политик ИБ и управления рисками и специальных политик ИБ для систем, сервисов и сетей.

1.3. Разработка схемы управления инцидентами ИБ

Цель схемы управления инцидентами ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. Схема управления инцидентами ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ. В некоторых организациях схема может называться планом реагирования на инцидент ИБ.

Необходимо использовать схему в качестве руководства для выполнения следующих первоначальных действий:

– реагирование на события ИБ;

– определение того, является ли событие ИБ инцидентом;

– управление инцидентами ИБ до их разрешения.

Также необходимо использовать схему в качестве руководства для выполнения следующих завершающих действий:

– реагирование на уязвимости ИБ;

– идентификация полученных уроков и улучшений схемы и/или безопасности в целом;

– реализация идентифицированных улучшений.

Схема управления инцидентами ИБ предназначена для всего персонала организации и задействованных в схеме сторонних организаций, включая лиц, ответственных за:

– обнаружение и оповещение о событиях ИБ (постоянный или контрактный персонал организации и ее компаний);

– оценку и реагирование на события и инциденты ИБ, их разрешение и улучшения ИБ и самой схемы (группа поддержки, ГРИИБ, руководство, пресс-секретари и юристы);

– оповещение об уязвимостях ИБ (постоянный или контрактный персонал организации и ее компаний) и всего связанного с ними.

Следует также учитывать пользователей сторонних организаций, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях. и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.

Документация схемы управления инцидентами ИБ должна содержать следующую информацию:

– описание политики управления инцидентами ИБ;

– описание схемы управления инцидентами ИБ в целом;

– подробные действия, процедуры и данные всех фаз управления инцидентами.

Схема должна содержать определенную информацию каждой фазы

Для 1-й фазы – планирование и подготовка:

– стандартизированный подход к категоризации и классификации инцидентов/событий ИБ для обеспечения единого подхода. Во всяком случае решение должно быть основано на фактических или планируемых неблагоприятных воздействиях на бизнес-операции организации и соответствующих директивах;