│ рисков безопасности и анализа │
│ менеджмента; │
│ - инициировать улучшение безопасности; │
│ - провести улучшения системы менеджмента │
│ инцидентов ИБ │
└──────────────────────────────────────────┘
Рисунок 1 - Этапы менеджмента инцидентов ИБ
4.2.1 Планирование и подготовка
Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке. Для обеспечения эффективности реакции на инциденты ИБ необходимо:
- разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и, в особенности, высшего руководства;
- разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы*(2) серьезности инцидентов должны быть отражены в документации на конкретную систему. (Следует отметить, что в некоторых организациях такая система может называться "Планом реагирования на инциденты ИБ");
- обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;
- создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например, при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;
- ознакомить весь персонал организации посредством инструктажей и (или) иными способами с существованием системы менеджмента инцидентов ИБ, ее преимуществами и с надлежащими способами сообщения о событиях ИБ. Необходимо проводить соответствующее обучение персонала, ответственного за управление системой менеджмента инцидентов ИБ, лиц, принимающих решения по определению того, являются ли события инцидентами, и лиц, исследующих инциденты;
- тщательно тестировать систему менеджмента инцидентов ИБ.
Этап "Планирование и подготовка" - в соответствии с разделом 7.
4.2.2 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:
- обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);
- сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
- реагирование на инциденты ИБ:
- немедленно, в реальном или почти реальном масштабе времени;
- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);
- если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);
- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений);
- правовую экспертизу;
- надлежащую регистрацию всех действий и решений для последующего анализа;
- разрешение проблемы инцидентов.
Этап "Использование" - в соответствии с разделом 8.
4.2.3 Анализ
После разрешения/закрытия инцидентов ИБ необходимо предпринять следующие действия по анализу состояния ИБ:
- провести дополнительную правовую экспертизу (при необходимости);
- изучить уроки, извлеченные из инцидентов ИБ;
- определить улучшения для внедрения защитных мер ИБ, полученные из уроков, извлеченных из одного или нескольких инцидентов ИБ;
- определить улучшения для системы менеджмента инцидентов ИБ в целом, учитывая уроки, извлеченные из результатов анализа качества предпринимаемого подхода (например, из анализа результативности процессов, процедур, форм отчета и (или) организации).
Этап "Анализ" - в соответствии с разделом 9.
4.2.4 Улучшение
Необходимо подчеркнуть, что процессы менеджмента инцидентов ИБ являются итеративными, с постоянным внесением улучшений с течением времени в ряд элементов ИБ. Эти улучшения предлагаются на основе данных об инцидентах ИБ и реагировании на них, а также данных о динамике тенденций. Этап "Улучшение" включает в себя:
- пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации;
- улучшение системы менеджмента инцидентов ИБ и ее документации;
- инициирование улучшений в области безопасности, включая внедрение новых и (или) обновленных защитных мер ИБ.
Этап "Улучшение" - в соответствии с разделом 10.
5 Преимущества структурного подхода и ключевые вопросы менеджмента инцидентов информационной безопасности
В данном разделе представлена информация:
- о преимуществах, получаемых от качественной системы менеджмента инцидентов ИБ;
- о ключевых вопросах, которые необходимо рассмотреть с целью убеждения в этих преимуществах высшего корпоративного руководства и персонала, предоставляющего отчеты в систему и получающего от нее информацию.
5.1 Преимущества
Любая организация, использующая структурный подход к менеджменту инцидентов ИБ, может извлечь из него значительные преимущества, которые можно объединить в следующие группы:
- улучшение ИБ;
- снижение негативных воздействий на бизнес, например, прерывание бизнеса и финансовые убытки как последствия инцидентов ИБ;