Во многих случаях, когда ГРИИБ подтвердила реальность инцидента ИБ, возникает необходимость информирования конкретных лиц как внутри организации (вне обычных линий связи между ГРИИБ и руководством), так и за ее пределами, включая прессу. Для этого могут потребоваться несколько этапов, например: подтверждение реальности инцидента ИБ и его подконтрольности, определение инцидента ИБ как объекта "антикризисной деятельности", закрытие и завершение анализа инцидента ИБ и формирование вывода об инциденте ИБ.
Для оказания содействия такой деятельности целесообразно заранее подготовить конкретную информацию с целью быстрой адаптации ее к обстоятельствам возникновения конкретного инцидента ИБ и предоставления этой информации прессе и (или) другим средствам массовой информации. Если прессе предоставляется неполная информация, относящаяся к инцидентам ИБ, то она должна быть предоставлена в соответствии с политикой распространения информации организации. Информация, подлежащая распространению среди общественности, должна быть проанализирована соответствующими лицами, например высшим руководством, координаторами по связям с общественностью и персоналом ИБ.
8.5.7 Расширение области принятия решений
Могут возникнуть обстоятельства, когда в решение об инциденте ИБ придется вовлекать высшее руководство, другую группу внутри организации или лицо/группу сторонней организации. Речь может идти о принятии решения относительно рекомендуемых действий, относящихся к инциденту ИБ, или дальнейшей оценке с целью определения требуемых действий. Расширение области принятия решений может потребоваться вслед за процессами оценки в соответствии с 8.4 или происходить в ходе процессов оценки, если проблема становится очевидной на ранней стадии ее обнаружения. Для тех, кому когда-либо придется принимать решение о расширении области принятия решений, то есть для группы обеспечения эксплуатации и членов ГРИИБ, необходимо иметь соответствующее описание в документации системы менеджмента инцидентов ИБ.
8.5.8 Регистрация деятельности и контроль за внесением изменений
Следует подчеркнуть, что все, кто причастен к оповещению (информированию) и менеджменту инцидентов ИБ, должны надлежащим образом регистрировать все свои действия на случай их дальнейшего анализа. Информацию об этих действиях вносят в форму отчета об инцидентах ИБ и в базу данных событий/инцидентов ИБ, непрерывно обновляемую в течение всего времени действия инцидента ИБ, от первой формы отчета до завершения анализа инцидента ИБ. Эта информация должна храниться по возможности с применением средств защиты и обеспечением соответствующего режима резервирования. Кроме того, изменения, вносимые в процессе отслеживания инцидента ИБ, обновления форм отчета и баз данных событий/инцидентов ИБ, должны вноситься в соответствии с формально принятой системой контроля за внесением изменений.
9 Этап "Анализ"
9.1 Введение
После принятия решения о закрытии инцидента ИБ необходимо провести дальнейшую правовую экспертизу и анализ с целью определения извлеченных уроков и потенциальных улучшений общей безопасности и системы менеджмента инцидентов ИБ.
9.2 Дальнейшая правовая экспертиза
Иногда после закрытия инцидента ИБ может по-прежнему сохраняться необходимость проведения правовой экспертизы с целью определения свидетельств. Она должна проводиться ГРИИБ с использованием совокупности средств и процедур в соответствии с 8.5.5.
9.3 Извлеченные уроки
После завершения инцидента ИБ важно быстро идентифицировать уроки, извлеченные из его обработки, и предпринять соответствующие действия, которые могут рассматриваться с точки зрения:
- новых или изменившихся требований к мерам защиты ИБ. Это могут быть технические или нетехнические (включая физические) меры защиты. В зависимости от извлеченных уроков требования могут включать в себя необходимость быстрого обновления материалов и проведения инструктажа с целью обеспечения осведомленности в вопросах безопасности (для пользователей, а также для другого персонала) и выпуска руководств и (или) стандартов по безопасности;
- изменений в системе менеджмента инцидентов ИБ и ее процессах, формах отчета и базе данных событий/инцидентов ИБ.
Кроме того при изучении урока по инциденту ИБ необходимо рассматривать полученный опыт не только в рамках отдельного инцидента ИБ, но и проводить проверку наличия тенденций (закономерностей) появления предпосылок к инцидентам ИБ, которые могут быть использованы в интересах определения потребности в защитных мерах или изменениях подходов к устранению инцидента ИБ. Целесообразно также проведение тестирования ИБ, в особенности оценки уязвимостей, после ориентированного на ИТ инцидента ИБ.
Поэтому необходимо регулярно анализировать базы данных событий/инцидентов ИБ для определения:
- тенденций/образцов;
- проблемных областей;
- областей деятельности, где можно предпринять предупредительные меры для снижения вероятности появления инцидентов в будущем.
Существенная информация, получаемая в процессе обработки инцидента ИБ, должна направляться для анализа тенденций (закономерностей), что может в значительной мере способствовать ранней идентификации инцидентов ИБ и обеспечивать предупреждение о том, какие следующие инциденты ИБ могут возникнуть на основе предшествующего опыта и документов.
Необходимо также использовать информацию об инцидентах ИБ и соответствующих им уязвимостях, полученную от государственных и коммерческих КГБР и поставщиков.
Тестирование безопасности и оценка уязвимостей информационной системы, сервиса и (или) сети, следующие за инцидентом ИБ, не должны ограничиваться только информационной системой, сервисом и (или) сетью, пораженных этим инцидентом ИБ. Тестирование безопасности и оценку уязвимостей необходимо распространить на любые связанные с ними информационные системы, сервисы и (или) сети. Детальная оценка уязвимостей используется для того, чтобы в ходе инцидента ИБ выявить существование уязвимостей на других информационных системах, сервисах и (или) сетях, и исключить вероятность появления новых уязвимостей.
Важно подчеркнуть, что оценка уязвимостей должна проводиться регулярно и повторная оценка уязвимостей, проводимая после инцидента ИБ, должна быть частью, а не заменой непрерывного процесса оценки.
Необходимо опубликовывать итоговый анализ инцидентов ИБ для обсуждения его на каждом совещании руководства организации по вопросам обеспечения ИБ и (или) на других совещаниях, касающихся вопросов по общей организационной политике ИБ.
9.4 Определение улучшений безопасности
В процессе анализа, проведенного после разрешения инцидента ИБ, новые или измененные защитные меры могут быть определены как необходимые. Рекомендации и соответствующие им требования к защитным мерам могут оказаться такими, что их немедленное внедрение будет невозможно по финансовым или эксплуатационным причинам; в этом случае они должны быть предусмотрены в более долгосрочных целях организации. Например, по финансовым соображениям невозможно за короткое время осуществить переход к более совершенным межсетевым экранам, тем не менее, решение этого вопроса необходимо внести в долговременные цели ИБ организации (см. 10.3).
9.5 Определение улучшений системы
После разрешения инцидента руководитель ГРИИБ или назначенное вместо него лицо должны проанализировать все произошедшее с целью оценки и определения степени результативности реагирования на инцидент ИБ. Подобный анализ предназначен для выявления успешно задействованных элементов системы менеджмента инцидентов ИБ и определения потребности в любых улучшениях.
Важным аспектом анализа, проводимого после реагирования на инцидент, является возвращение информации и полученных знаний в систему менеджмента инцидентов ИБ. Если инцидент ИБ достаточно серьезен, то вскоре после разрешения инцидента необходимо провести совещание всех заинтересованных сторон, владеющих информацией о нем. На этом совещании должны рассматриваться следующие вопросы:
- работали ли должным образом процедуры, принятые в системе менеджмента инцидентов ИБ;
- существуют ли процедуры или методы, которые способствовали бы обнаружению инцидентов;
- были ли определены процедуры или средства, которые использовались бы в процессе реагирования;
- применялись ли процедуры, помогающие восстановлению информационных систем после идентификации инцидента;
- была ли передача информации об инциденте всех причастных сторон эффективной в процессе обнаружения, сообщения и реагирования.
Результаты совещания должны быть документированы и по этим результатам осуществлены конкретные согласованные действия (см. 10.4).
10 Этап "Улучшение"
10.1 Введение
Этап "Улучшение" включает в себя внедрение рекомендаций этапа "Анализ", то есть рекомендаций по улучшению результатов менеджмента и анализа рисков ИБ, безопасности и системы менеджмента инцидентов ИБ. Каждая из тем рекомендаций рассматривается ниже.
10.2 Улучшение анализа рисков и менеджмента безопасности
В зависимости от серьезности инцидента ИБ и степени его воздействия при оценке результатов анализа рисков ИБ и менеджмента ИБ, возможно, придется учитывать новые угрозы и уязвимости. В результате завершения обновленного анализа рисков ИБ и анализа менеджмента ИБ может возникнуть необходимость внесения изменений в существующие или применения новых защитных мер.
10.3 Осуществление улучшений безопасности
Следуя рекомендациям, сделанным в процессе этапа "Анализ" (см. 9.4), и анализу нескольких инцидентов, ИБ инициируют процесс внедрения обновленных и (или) новых защитных мер. В соответствии с 9.3 это могут быть технические (включая физические) защитные меры, которые могут включать в себя потребность быстрого обновления материала для проведения инструктажей с целью обеспечения осведомленности в вопросах безопасности (для пользователей и другого персонала) и выпуска рекомендаций и (или) нормативных документов по безопасности. Информационные системы, сервисы и сети организации должны также регулярно подвергаться анализу с целью определения уязвимостей и обеспечения процесса непрерывного повышения надежности систем/сервисов/сетей.
Анализ связанных с безопасностью процедур и документации может проводиться сразу после инцидента, но более вероятно, что это потребуется позднее. После инцидента ИБ необходимо обновить политики и процедуры обеспечения ИБ с учетом собранной информации и любых проблем, выявленных в процессе менеджмента инцидента ИБ. Долговременной целью ГРИИБ вместе с руководителем ИБ организации является распространение в организации этих обновленных вариантов политики и процедур обеспечения ИБ.
10.4 Осуществление улучшений системы
Области системы менеджмента инцидентов ИБ, предназначенные для улучшения (см. 9.5), должны быть проанализированы, а обоснованные изменения внесены в обновленный вариант документации системы. Изменения в процессах, процедурах и формах отчета системы менеджмента инцидентов ИБ должны быть тщательно проверены и протестированы перед применением на практике.
10.5 Другие улучшения
На этапе "Анализ" могли быть установлены другие улучшения, например изменения в политиках, стандартах и процедурах ИБ, а также изменения в конфигурациях аппаратного и программного обеспечения.
_____________________________
*(1) События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.