*(2) Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: "значительные" и "незначительные". Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.
*(3) Определение общей типологии не является целью настоящего стандарта. Рекомендуется обращение к другим источникам за этой информацией.
*(4) Если возможно, эти формы должны быть представлены в электронном виде (например, на защищенной веб-странице) и связаны с базой данных, хранящей электронную информацию о событиях/инцидентах ИБ. В настоящее время бумажная технология требовала бы слишком много времени и была бы неэффективной.
*(5) Форму заполняет лицо, принимающее сообщение (то есть не член группы менеджмента инцидентов ИБ).
*(6) Эта форма используется персоналом менеджмента инцидентов ИБ для пополнения первоначальной информацией о событии ИБ, текущего ведения записей оценок инцидента и пр. до полного разрешения инцидента. На каждой стадии в базу данных событий/инцидентов ИБ включаются обновления. Запись в базе данных, содержащая "заполненную" форму или сведения о событиях/инцидентах ИБ, далее используется в деятельности по разрешению инцидента.
*(7) В небольших организациях одно и то же лицо может выполнять несколько функций.
*(8) Организация может принимать решения о включении всех процедур в программу или подробном изложении в дополнительных документах всех или некоторых процедур.
*(9) Не следует ожидать, что персонал группы обеспечения эксплуатации будет иметь квалификацию экспертов в сфере безопасности.
Приложение А (справочное) Образец формы отчета о событиях и инцидентах информационной безопасности
Отчеты о событиях и инцидентах информационной безопасности
Рекомендации по заполнению
Назначением данной формы (формы отчета о событиях и инцидентах ИБ) является обеспечение информацией о событии ИБ, а затем, если оно определено как инцидент ИБ, то и об инциденте ИБ, для определенных лиц.
Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям или ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации.
Представленная информация будет использована для инициирования соответствующего процесса оценки, которая определит, должно ли это событие категорироваться как инцидент ИБ и (в случае положительного ответа), какие корректирующие меры, необходимые для предотвращения или ограничения потерь или ущерба, следует предпринять. Поскольку процесс оценки по своему характеру является краткосрочным, то в данный момент необязательно заполнять все поля формы отчета.
Если сотрудник является членом группы обеспечения эксплуатации, анализирующим полностью/частично заполненные формы отчета, то он должен принять решение, надо ли отнести данное событие к категории инцидента ИБ. При положительном решении сотрудник должен внести в форму отчета об инциденте ИБ как можно больше информации и передать формы отчетов о событии и инциденте ИБ в ГРИИБ. Независимо от того, будет ли событие ИБ отнесено к категории инцидента ИБ, база данных событий/инцидентов ИБ должна быть обновлена.
Если сотрудник является сотрудником ГРИИБ, анализирующим формы отчетов о событиях и инцидентах ИБ, переданные членом группы обеспечения эксплуатации, то форма отчета об инциденте ИБ должна обновляться по ходу расследования и, соответственно, должна обновляться база данных событий/инцидентов ИБ. При заполнении форм следует соблюдать следующие рекомендации:
- по возможности формы отчета должны заполняться и передаваться в электронном виде*. В случае, если существуют проблемы или считается, что существуют проблемы с принятыми по умолчанию механизмами электронного оповещения (например электронная почта), включая случаи, когда система может подвергаться атаке и формы отчета могут быть прочитаны несанкционированными лицами, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть телефон или текстовые сообщения, а также использование курьеров;
- следует представить информацию, основанную на фактах, в которой сотрудник уверен, не следует что-либо придумывать для того, чтобы заполнить все формы. Если сотрудник считает уместным включить иную информацию, которую не может подтвердить, следует указать, что это неподтвержденная информация, и причину убежденности в ее недостоверности;
- следует подробно указать, как можно связаться с сотрудником. Немедленно или спустя некоторое время может возникнуть необходимость контакта с ним для получения дальнейшей информации, касающейся Вашего отчета.
Если позднее сотрудник обнаружит, что какая-либо представленная им информация неточна, неполна или ошибочна, то следует внести поправки в отчет и представить его повторно.
Отчет о событии информационной безопасности
Дата события
Номер события**: Соответствующие идентификационные
номера событий и (или) инцидентов
(если требуется):
Информация о сообщающем лице
Фамилия ________________ Адрес _______________
Организация ________________ _______________
Телефон ________________ Электронная почта _______________
___________________________________________
Описание события ИБ
Описание события:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие на бизнес
Любые идентифицированные уязвимости
Подробности о событии ИБ
Дата и время наступления события
Дата и время обнаружения события
Дата и время сообщения о событии
 | |
| 871 × 50 пикс. Открыть в новом окне | |
Если "да", то уточнить длительность
события в днях/часах/минутах
Отчет об инциденте информационной безопасности
Дата инцидента
Номер инцидента***: Соответствующие идентификационные
номера событий и (или) инцидентов
(если требуется):