Дополнительно к дате (датам) и времени выполнения действий необходимо полностью документировать:
- проведенные мероприятия (включая использованные средства) и их цели;
- место хранения свидетельства наличия события;
- способ архивирования свидетельства (если оно уместно);
- способ верификации свидетельства (если оно уместно);
- детали хранения материалов и последующего доступа к ним.
Если событие ИБ определено как вероятный инцидент ИБ, а сотрудник группы обеспечения эксплуатации имеет соответствующий уровень компетентности, то проводится дальнейшая оценка. В результате могут потребоваться корректирующие действия, например идентификация дополнительных "аварийных" защитных мер и обращение за помощью в их реализации к соответствующему лицу. Событие ИБ может быть определено как инцидент ИБ, причем значительный (по шкале серьезности, принятой в организации), в этом случае необходимо проинформировать непосредственно руководителя ГРИИБ. Может потребоваться объявление "кризисной ситуации" и, как следствие, уведомление руководителя обеспечения непрерывности бизнеса о возможной активизации плана обеспечения непрерывности бизнеса с одновременным информированием руководителя ГРИИБ и вышестоящего руководства. Однако наиболее вероятна ситуация передачи инцидента ИБ непосредственно в ГРИИБ для дальнейшей оценки и выполнения соответствующих действий.
Каким бы ни был следующий шаг, сотрудник группы обеспечения эксплуатации должен заполнить форму отчета по возможности наиболее подробно. Образец формы отчета по инциденту ИБ приведен в приложении А. Отчет должен содержать информацию в описательном виде и, насколько это возможно, характеризовать:
- что представляет собой инцидент ИБ;
- что явилось его причиной, чем или кем он был вызван;
- на что он влияет или может повлиять;
- реальное или потенциальное воздействие инцидента ИБ на бизнес организации;
- указание на вероятную значительность или незначительность инцидента ИБ (по шкале серьезности, принятой в организации);
- как инцидент ИБ обрабатывался до этого времени.
При рассмотрении потенциального или фактического негативного воздействия инцидента на бизнес организации в результате несанкционированного раскрытия информации, несанкционированной модификации информации, отказа от имеющейся информации, недоступности информации и(или) сервиса, уничтожения информации и(или) сервиса в первую очередь необходимо определить, какое из перечисленных ниже последствий будет иметь инцидент ИБ.
Примерами последствий ИБ являются:
- финансовые убытки/прерывание бизнес-операций;
- ущерб коммерческим и экономическим интересам;
- ущерб информации, содержащей персональные данные;
- нарушение правовых и нормативных обязательств;
- сбои операций по менеджменту и бизнес-операций;
- утрата престижа организации.
Для категорий, отнесенных к инциденту ИБ, должны использоваться соответствующие рекомендации по категорированию потенциальных или фактических воздействий для внесения их в отчет по инцидентам ИБ. Примеры рекомендаций приведены в приложении В.
Если инцидент ИБ был разрешен, то отчет должен содержать детали предпринятых защитных мер и извлеченных уроков (например защитные меры, которые должны быть приняты для предотвращения повторного появления подобных инцидентов ИБ).
После наиболее подробного, по мере возможности, заполнения форма отчета должна быть представлена в ГРИИБ для ввода в базу данных инцидентов и событий ИБ и анализа в будущем.
Если расследование проводится больше недели, то должен быть составлен промежуточный отчет.
Важно, чтобы сотрудник группы обеспечения эксплуатации, оценивающий инцидент ИБ, основываясь на руководстве, содержащемся в документации системы менеджмента инцидентов ИБ, был осведомлен о том:
- когда и кому необходимо направлять материалы об инциденте;
- что при осуществлении всех действий, выполняемых группой обеспечения эксплуатации, необходимо выполнять документированные процедуры контроля изменений.
При наличии проблем или мнения о том, что существуют проблемы с установленными по умолчанию механизмами электронного оповещения (например электронной почтой), включая случаи атаки на информационную систему и считывание несанкционированными лицами формы отчета об инцидентах ИБ, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть: телефон, текстовые сообщения, а также курьеры. Такие альтернативные средства должны использоваться на ранних стадиях расследования, когда становится очевидным, что событие ИБ будет переведено в категорию инцидента ИБ, особенно такого инцидента ИБ, который может считаться "значительным".
8.4.2 Вторая оценка и подтверждение инцидента информационной безопасности
Вторая оценка и подтверждение инцидента ИБ или какое-либо другое решение относительно того, надо ли отнести событие ИБ к инциденту ИБ, должны входить в обязанности ГРИИБ. Принимающий отчеты сотрудник ГРИИБ должен:
- подтвердить получение формы отчета, заполненной по возможности наиболее подробно, группой обеспечения эксплуатации;
- ввести эту форму в базу данных событий/инцидентов ИБ;
- обратиться за уточнениями к группе обеспечения эксплуатации;
- проанализировать содержание отчетной формы;
- собрать дополнительную необходимую информацию о событии ИБ (если существует) от группы обеспечения эксплуатации, лица, заполнившего отчетную форму, или из какого-либо иного источника.
Если все еще остается какая-либо неопределенность относительно аутентичности инцидента ИБ или полноты полученной информации, то сотрудник ГРИИБ должен провести вторую оценку для определения реальности или ложности инцидента ИБ. Если инцидент ИБ определен как "ложный", необходимо заполнить отчет о событии ИБ, добавить его в базу данных событий/инцидентов ИБ и передать руководителю ГРИИБ. Копии отчета необходимо передать группе обеспечения эксплуатации, лицу, сообщившему о событии, и его/ее местному руководителю.
Если инцидент ИБ определяется как "реальный", то сотрудник ГРИИБ, при необходимости привлекая коллег, должен провести дальнейшую оценку. Целью оценки является максимально быстрое подтверждение:
- того, что представляет собой инцидент ИБ, что явилось его причиной, чем или кем был вызван, на что повлиял или мог повлиять, воздействие или потенциальное воздействие инцидента ИБ на бизнес организации, указание на вероятную значительность/незначительность инцидента (по шкале серьезности инцидентов, принятой в организации);
- предумышленной технической атаки нарушителя на некоторую информационную систему, сервис и (или) сеть, например:
глубины проникновения нарушителя в систему, сервис и (или) сеть и степень контроля, которой он обладает,
данных об информации, к которой получил доступ нарушитель, были ли они скопированы, изменены или удалены,
о том, какое программное обеспечение было скопировано, изменено или разрушено нарушителем;
в отношении предумышленной физической атаки нарушителя на любую информационную систему аппаратной части, сервиса и (или) на сеть, и (или) на физическое месторасположение, например:
масштаба прямых и косвенных последствий нанесенного физического ущерба (при отсутствии физической защиты доступа),
прямых и косвенных последствий в отношении инцидентов ИБ, косвенно созданных действиями нарушителя (например, стал ли физический доступ возможным по причине пожара, является ли уязвимость информационной системы следствием неправильного функционирования программного обеспечения, линии связи или ошибки оператора),
- используемого до настоящего времени способа обработки инцидента ИБ.
При анализе потенциального или реального негативного воздействия инцидента ИБ на бизнес организации вследствие несанкционированного раскрытия информации, несанкционированной модификации информации, отказа от имеющейся информации, недоступности информации и (или) сервиса, разрушения информации и (или) сервиса необходимо подтвердить, какие последствия имели место вследствие данного инцидента. Примерами категорий последствий являются:
- финансовые убытки/разрушение бизнес-операций;