Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– проведение правовой экспертизы;
– информирование ответственных лиц за передачу информации о фактах и предложениях (для чего, в какой форме и кому).
Как только собрана полная информация об инциденте ИБ, она должна быть внесена в базу данных событий / инцидентов / уязвимостей ИБ и доложена руководителю ГРИИБ.
Если время расследования превысило заранее установленное в организации время, то должен быть составлен промежуточный отчет.
Член ГРИИБ при оценке инцидента ИБ должен на основании руководящей документации
– когда и кому направлять материалы,
– действовать согласно процедур контроля изменений.
Если возникают или могут возникнуть проблемы со средствами электронной коммуникации, включая попадание ИС под атаку, информирование соответствующих лиц должно осуществлять альтернативными методами (лично, по телефону, передача текста).
Если инцидент ИБ является серьезным и/или была определена кризисная ситуация, руководитель ГРИИБ, получив санкцию руководителя службы ИБ и руководителя организации, должен сообщить об этом всем подразделениям, которые вовлечены в инцидент ИБ как внутри организации, так и за ее пределами.
Для быстрой и эффективной организации передачи информации необходимо заранее установить надежные средства и способы связи, не зависящие от системы, сервиса или сети, на которые может воздействовать инцидент ИБ. Такие меры предосторожности могут включать в себя назначение резервных компетентных представителей организации на случай отсутствия кого-либо из ее основных руководителей.
4.2. Оценка контроля инцидентов ИБ
После того, как член ГРИИБ осуществил немедленные реагирования на инцидент ИБ, соответствующий правовой анализ и коммуникации, необходимо быстро установить, находится ли он под контролем. При необходимости член ГРИИБ может проконсультироваться с коллегами, руководителем ГРИИБ и/или другими специалистами и группами.
Если подтверждается, что инцидент ИБ находится под контролем, то член ГРИИБ должен инициировать любые требуемые реагирования, правовой анализ и коммуникации для его завершения и восстановления нормальной работы пораженной ИС.
Если не подтверждается, что инцидент ИБ находится под контролем, член ГРИИБ должен инициировать кризисные действия.
Если инцидент ИБ связан с потерей доступности, методология оценки того, находится ли инцидент ИБ под контролем, должна определять время от возникновения инцидента ИБ до восстановления нормальной ситуации.
Организация должна определить период возможной недоступности каждого актива на основании результатов оценки рисков ИБ, который определит временные параметры восстановления обслуживания сервиса или доступа к информации. Если время восстановления превышает период возможной недоступности актива, инцидент ИБ, возможно, не находится под контролем, и необходимо принять решение об эскалации.
Если инцидент ИБ связан с потерей конфиденциальности, целостности и т. п. нужны другие виды решений для определения, находится ли ситуация под контролем и нужно ли действовать в соответствии
4.3. Последующее реагирование
Определив, что инцидент ИБ находится под контролем и не является объектом кризисной ситуации, член ГРИИБ должен определить необходимость и вероятные способы дальнейшей обработки инцидента ИБ.
Последующее реагирование может включать в себя следующие действия:
– восстановление пораженных систем;
– предотвращение повторного возникновения инцидента;
– активация дополнительных средств мониторинга систем.
Восстановление пораженных систем, сервисов и/или сетей до нормального рабочего состояния может быть достигнуто исправлением известных уязвимостей или отключением скомпрометированных элементов. Если степень инцидента ИБ неизвестна из-за повреждения логов в течение инцидента, всю систему, сервис и/или сеть необходимо перестроить.
Предотвращение повторного возникновения инцидента или подобного ему события ИБ. Например, если причиной инцидента ИБ является отсутствие какого-либо патча в ПО, об этом надо немедленно уведомить поставщика. Если причиной инцидента ИБ стала известная уязвимость, она должна быть исправлена соответствующим обновлением. Любая ИТ конфигурация, связанная с проблемами в результате инцидента ИБ, в дальнейшем должна быть пересмотрена.
Другие меры по снижению вероятности повторного возникновения ИТ инцидента или подобного ему события ИБ могут включать изменение системных паролей и отключение неиспользуемых сервисов.
Активация дополнительных средств мониторинга систем, сервисов и/или сетей должна содействовать обнаружению необычных или подозрительных событий, которые могут оказаться признаками инцидентов ИБ. Такой мониторинг поможет также глубже раскрыть инцидент ИБ и идентифицировать другие системы ИТ, которые подверглись компрометации.
Может также возникнуть необходимость в активации специальных реагирований, задокументированных в соответствующем плане кризисного управления, которые можно применить к инцидентам ИБ как связанным, так и не связанным с ИТ. Специальные реагирования должны быть предусмотрены для всех аспектов бизнеса, связанных не только непосредственно с ИТ, но также с поддержкой ключевых функций бизнеса и последующим восстановлением, в том числе, телефонных коммуникаций, персональных уровней и физических объектов.
После успешного завершения действий по реагированию на инцидент ИБ все данные об этом ГРИИБ должна внести в форму отчета и базу данных события / инцидента / уязвимости ИБ и уведомить соответствующий персонал.
4.4. Реагирования на кризисные действия
Может случиться так, что после оценки контроля инцидента ГРИИБ придет к выводу, что он не находится под контролем и должен обрабатываться в режиме кризисного управления в соответствии с заранее разработанным планом.