Information technology. Security techniques. Information security incident management
Дата введения - 1 июля 2008 г.
Введен впервые
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Введение
Типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - возможными. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме того, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка конкретной организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к информационной безопасности, важно применять структурный и плановый подход к:
- обнаружению, оповещению об инцидентах информационной безопасности и их оценке;
- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);
- извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.
Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.
Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.
1 Область применения
В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие международные стандарты:
ИСО/МЭК 13335-1:2004 Информационная технология - Методы обеспечения безопасности - Управление безопасностью информационных и телекоммуникационных технологий - Часть 1 - Концепция и модели управления безопасностью информационных и телекоммуникационных технологий
ИСО/МЭК 17799:2000 Информационная технология - Практические правила управления информационной безопасностью
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.
3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.
Примечание - Данный процесс должен также обеспечивать восстановление бизнеса с учетом заданных очередностей и интервалов времени и дальнейшее восстановление всех функций бизнеса в рабочее состояние. Ключевые элементы этого процесса должны обеспечивать применение и тестирование необходимых планов и средств и включение в них информации, бизнес-процессов, информационных систем и сервисов, речевой связи и передачи данных, персонала и физических устройств.
3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
Примечание - Примеры инцидентов ИБ приведены в разделе 6.
3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) (Information Security Incident Response Team (ISIRT)): Группа обученных и доверенных членов организации.
Примечание - Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда может дополняться внешними экспертами, например, из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).
4 Общие положения
4.1 Цели
В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:
- события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ*(1);
- идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;
- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;
- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.
4.2 Этапы
Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:
1) планирование и подготовка;
2) использование;
3) анализ;
4) улучшение.
Примечание - Этапы менеджмента инцидентов ИБ аналогичны процессам модели РDСА, используемой в международных стандартах ИСО 9000 [4] и ИСО 14000 [5].
Основное содержание этих этапов показано на рисунке 1.
┌───────────────────────────────────────────────────────────┐
│Планирование и подготовка: │
│ │
│- политика менеджмента инцидентов ИБ и обязательства │
│ высшего руководства по отношению к ней; │
│- система менеджмента инцидентов ИБ; │
│- корпоративная безопасность и безопасность │ ◄─────────┐
│ системы/сервиса/сети, анализ и менеджмент рисков, │ │
│ обновление политик; │ │
│- создание ГРИИБ; │ │
│- инструктажи и обучение по вопросам осведомленности об │ │
│ инцидентах ИБ; │ │
│- тестирование системы менеджмента инцидентов ИБ │ │
└────────────────────────────┬──────────────────────────────┘ │
▼ │
┌───────────────────────────────────────────────────────────┐ │
│Использование: │ │
│ │ │
│- обнаружение событий ИБ и оповещение (информирование) о │ │
│них; │ │
│- оценка и принятие решения: является ли данное событие │ │
│инцидентом ИБ; │ │
│- реагирование на инцидент ИБ, включая правовую экспертизу │ │
└────────────────────────────┬──────────────────────────────┘ │
▼ │
┌───────────────────────────────────────────────────────────┐ │
│Анализ: │ │
│ │ │
│- дополнительная правовая экспертиза; │ │
│- обобщение накопленного опыта; │ │
│- определение методов улучшения (повышения) безопасности; │ │
│- определение методов улучшения системы менеджмента │ │
│инцидентов ИБ │ │
└────────────────────────────┬──────────────────────────────┘ │
│ Улучшение: │
│ - провести уточнение результатов анализа │