- защитные меры по обеспечению конфиденциальности источников (по необходимости);
- соглашения об уровнях сервиса системы;
- уведомление о результатах - на каких условиях будут информированы источники;
- любые ограничения, налагаемые соглашениями о неразглашении;
- полномочия организации менеджмента инцидентов ИБ и ее линия оповещения;
- кто и как получает отчеты от системы менеджмента инцидентов ИБ.
В некоторых случаях желательно специально включать подробности обеспечения осведомленности о менеджменте инцидентов ИБ в другие программы обучения (например, в программы ориентирования персонала или в общие корпоративные программы обеспечения осведомленности в вопросах ИБ). Этот подход к обеспечению осведомленности может предоставить ценную информацию, связанную с определенными группами сотрудников, и может улучшить эффективность и результативность программы обучения.
До ввода в эксплуатацию системы менеджмента инцидентов ИБ весь соответствующий персонал должен ознакомиться с процедурами обнаружения и оповещения о событиях ИБ, а специально отобранный персонал должен быть хорошо осведомлен в отношении последующих процессов. Затем проводят регулярные инструктажи по обеспечению осведомленности и курсы подготовки. Подготовка должна сопровождаться специальными упражнениями и тестированием членов группы обеспечения эксплуатации и ГРИИБ, а также персонала, ответственного за ИБ, и специальных администраторов.
8 Этап "Использование"
8.1 Введение
Менеджмент инцидентов ИБ в процессе эксплуатации состоит из двух главных этапов: "Использование" и "Анализ", за которыми следует этап "Улучшение", на котором проводят любые усовершенствования, идентифицированные в результате извлечения уроков из инцидентов ИБ. Эти этапы и связанные с ними процессы представлены в подразделе 4.2. В настоящем разделе рассматривается этап "Использование", в разделе 9 - этап "Анализ", а в разделе 10 - этап "Улучшение". Эти три этапа и соответствующие им процессы представлены на рисунке 2.
 | |
| 2008 × 2080 пикс. Открыть в новом окне | |
8.2 Обзор ключевых процессов
В этапе "Использование" ключевыми процессами являются:
- обнаружение события ИБ и оповещение о нем одним из сотрудников персонала/клиентом организации или автоматически (например, сигналом тревоги от межсетевого экрана);
- сбор информации о событии ИБ и проведение первичной оценки персоналом*(9) группы обеспечения эксплуатации организации с целью определения, является ли событие инцидентом ИБ или ложным сигналом тревоги;
- проведение второй оценки ГРИИБ с целью подтвердить, что событие является инцидентом ИБ и, в положительном случае, инициировать немедленное реагирование, а также необходимость правовой экспертизы и действий по передаче информации;
- анализ, проводимый ГРИИБ с целью определить, находится ли инцидент под контролем:
в положительном случае инициируется дальнейшее необходимое реагирование и обеспечивается готовность всей информации для использования в процессе анализа последствий инцидента,
при отрицательном ответе инициируются антикризисные действия с привлечением соответствующего персонала, например руководителя и группы обеспечения непрерывности бизнеса организации;
- расширение области действия дальнейших оценок и (или) принятия решений, проводимое в течение всего этапа по требованию;
- обеспечение надлежащей регистрации всеми причастными лицами, в особенности членами ГРИИБ, всей деятельности для дальнейшего анализа;
- обеспечение сбора и защищенного хранения свидетельств в электронном виде и постоянного мониторинга защищенного хранения этих свидетельств на случай их востребованности для судебного преследования или внутреннего дисциплинарного разбирательства;
- поддержка режима контроля изменений, включая отслеживание инцидентов ИБ и обновления отчетов по инцидентам с тем, чтобы база данных событий/инцидентов ИБ постоянно соответствовала действительности.
Вся собранная информация, касающаяся событий или инцидентов ИБ, должна храниться в базе данных событий/инцидентов ИБ, управляемой ГРИИБ. Информация, сообщаемая в течение каждого процесса, должна быть как можно более полной в любое время, чтобы обеспечить наиболее прочную основу для оценок и принятия решений, а также для предпринимаемых действий.
После обнаружения события ИБ и сообщения о нем целями последующих процессов являются:
- распределение ответственности за деятельность, связанную с менеджментом инцидентов, через соответствующую иерархию персонала вместе с оценкой и принятием решений, а также за действия с привлечением персонала как связанного, так и не связанного с обеспечением безопасности;
- обеспечение формальных процедур для каждого оповещенного лица, включая анализ и корректировку сделанного сообщения, оценку ущерба и уведомление соответствующего персонала (действия каждого лица зависят от типа и опасности инцидента);
- использование рекомендаций для тщательного документирования событий ИБ, а позднее, если событие будет отнесено к инциденту ИБ, то и для последующих действий в отношении инцидента ИБ и обновления базы данных событий/инцидентов ИБ.
Рекомендации приведены:
по обнаружению и оповещению о событиях ИБ - в 8.3, оценке и принятию решений (является ли событие инцидентом ИБ) - в 8.4, реагированию на инциденты ИБ - в 8.5 и включают в себя:
- немедленное реагирование,
- анализ с целью определения, находится ли инцидент ИБ под контролем,
- последующие реагирования,
- антикризисные действия,
- правовую экспертизу,
- передачу информации,
- комментарий по вопросам расширения сферы менеджмента инцидентов ИБ,
- регистрацию деятельности.
8.3 Обнаружение и оповещение о событиях информационной безопасности
События ИБ могут быть обнаружены непосредственно лицом или лицами, заметившими что-либо, вызывающее беспокойство и имеющее технический, физический или процедурный характер. Обнаружение может осуществляться, например, детекторами огня/дыма или с помощью охранной сигнализации путем передачи сигналов тревоги в заранее определенные места (для осуществления человеком определенных действий). Технические события ИБ могут обнаруживаться автоматически, например, это могут быть сигналы тревоги, производимые устройствами анализа записей аудита, межсетевыми экранами, системами обнаружения вторжений, антивирусными программами, в каждом случае стимулируемые заранее установленными параметрами этих устройств.
Независимо от причины обнаружения события ИБ, лицо, непосредственно обратившее внимание на нечто необычное или оповещенное автоматическими средствами, несет ответственность за инициирование процесса обнаружения и оповещения. Этим лицом может быть любой представитель персонала организации, работающий постоянно или по контракту. Этот представитель должен следовать процедурам и использовать форму отчета о событиях ИБ, определенную системой менеджмента инцидентов ИБ, с целью привлечения внимания, прежде всего, группы обеспечения эксплуатации и менеджмента. Следовательно, важно, чтобы весь персонал был ознакомлен с рекомендациями, относящимися к вопросу оповещения о возможных событиях ИБ, включая формы отчета, имел доступ к ним и знал сотрудников, которых необходимо оповещать о каждом случае появления события ИБ. Необходимо, чтобы весь персонал организации был, по крайней мере, осведомлен о форме отчета, что способствовало бы его пониманию системы менеджмента инцидентов ИБ.
Обработка конкретного события ИБ зависит от того, что оно собой представляет, а также от последствий и воздействий, к которым это событие может привести. Для многих людей принятие решения о способе обработки события выходит за пределы их компетентности. Поэтому сотрудник, информирующий о событии ИБ, должен заполнить форму отчета так, чтобы в ней было как можно больше информации, доступной ему на тот момент При необходимости он связывается со своим руководителем. Желательно, чтобы эта форма была в электронном виде (например, послана по электронной почте или представлена на веб-сайте), чтобы ее можно было передать безопасным способом в надлежащую группу обеспечения эксплуатации (работающую, по возможности, 24 ч в сутки по семь дней в неделю), а копию сообщения - руководителю ГРИИБ. Образец формы отчета сообщения о событии ИБ приведен в приложении А.
Следует подчеркнуть, что при заполнении формы отчета важна не только точность содержания, но и своевременность заполнения. Не следует задерживать представление формы отчета о событии ИБ по причине уточнения ее содержания. Если сообщающий сотрудник не уверен в данных какого-либо поля в форме отчета, то это поле должно быть помечено, а уточнение - послано позже. Также следует признать, что некоторые механизмы электронного оповещения (например электронная почта) сами являются очевидными целями атаки.
При наличии проблем или при существовании мнения о наличии проблем с установленными по умолчанию механизмами электронного оповещения (например электронной почтой), включая случаи атаки на систему и считывание формы отчета несанкционированными лицами, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть нарочные, телефон, текстовые сообщения. Такие альтернативные средства должны использоваться на ранних стадиях расследования, когда становится очевидным, что событие ИБ будет переведено в категорию инцидента ИБ, особенно такого инцидента ИБ, который может считаться значительным.
Следует заметить, что, хотя в большинстве случаев группа обеспечения эксплуатации должна сообщать о событии ИБ с целью его дальнейшей обработки, могут быть случаи, когда событие ИБ может быть обработано на месте с помощью местного руководства. Событие ИБ можно быстро распознать как ложную тревогу или успешно разрешить. В этих случаях форму отчетов необходимо заполнить и отправить местному руководству, а также группе обеспечения эксплуатации и ГРИИБ с целью ее регистрации в базе данных событий/инцидентов ИБ. В этом случае лицо, сообщающее о закрытии события ИБ, может предоставить информацию, требуемую для заполнения формы отчета об инцидентах ИБ, В этом случае такая форма отчета об инциденте ИБ должна быть заполнена и отправлена по инстанции.
8.4 Оценка и принятие решений по событиям/инцидентам
8.4.1 Первая оценка и предварительное решение
В группе обеспечения эксплуатации системы менеджмента инцидентов ИБ принимающее лицо должно подтвердить получение заполненной формы отчета, ввести ее в базу данных событий/инцидентов ИБ и проанализировать данную форму отчета. Далее должностное лицо должно попытаться получить любые уточнения от сообщившего лица о событии ИБ и собрать требуемую дополнительную информацию, считающуюся доступной, как от сообщившего о событии лица, так и из любого другого места. Затем представитель группы обеспечения эксплуатации должен провести оценку для определения, подходит ли это событие под категорию инцидента ИБ или является ложным. Если событие ИБ определяется как ложное, необходимо заполнить форму отчета и передать в ГРИИБ для записи в базу данных и дальнейшего анализа, а также создать копии для сообщившего о событии лица и его/ее местного руководителя.
Информация и другие свидетельства, собранные на этом этапе, могут потребоваться в будущем для дисциплинарного или судебного разбирательства. Лицо или лица, выполняющие задачи сбора и оценки информации, должны хорошо знать требования по сбору и сохранению свидетельств.