- усиление внимания к вопросам предотвращения инцидентов;
- усиление внимания к установлению приоритетов и сбору доказательств;
- вклад в обоснование бюджета и ресурсов;
- обновление результатов менеджмента и анализа рисков на более высоком уровне;
- предоставление материала для программ повышения осведомленности и обучения в области ИБ;
- предоставление входных данных для анализа политики ИБ и соответствующей документации.
Каждое из этих преимуществ рассматривается ниже.
5.1.1 Улучшение безопасности
Структурный процесс обнаружения, оповещения, оценки и менеджмента инцидентов и событий ИБ позволяет быстро идентифицировать любое событие или инцидент ИБ и реагировать на них, тем самым улучшая общую безопасность за счет быстрого определения и реализации правильного решения, а также обеспечивая средства предотвращения подобных инцидентов ИБ в будущем.
5.1.2 Снижение негативных воздействий на бизнес
Структурный подход к менеджменту инцидентов ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.
5.1.3 Усиление внимания к предотвращению инцидентов
Использование структурного подхода к менеджменту инцидентов ИБ может способствовать усилению внимания к предотвращению инцидентов внутри организации. Анализ данных, связанных с инцидентами, позволяет определить модели и тенденции появления инцидентов, тем самым способствуя усилению внимания к предотвращению инцидентов и, следовательно, определению соответствующих действий по предотвращению возникновения инцидентов.
5.1.4 Усиление внимания к системе установления приоритетов и свидетельств
Структурный подход к менеджменту инцидентов ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ.
При отсутствии четких процедур существует риск того, что расследования проводятся в непостоянном режиме, когда реагирование на инциденты осуществляется по мере их появления или как реакция на самое "громогласное" распоряжение соответствующего руководителя. Это может помешать проведению расследования в последовательности, соответствующей идеальному установлению приоритетов там, где оно действительно необходимо.
Четкие процедуры расследования инцидентов могут обеспечить правильность и правовую допустимость сбора данных и их обработки. Это имеет большое значение в случае инициирования судебного преследования или дисциплинарного разбирательства. Однако следует признать вероятность того, что действия, необходимые для восстановления после инцидента ИБ, могут подвергнуть риску целостность собранных свидетельств.
5.1.5 Бюджет и ресурсы
Хорошо продуманный структурный подход к менеджменту инцидентов ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система менеджмента инцидентов ИБ. Такие выгоды связаны со следующими условиями:
- использованием менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;
- обеспечением лучшего руководства действиями квалифицированного персонала;
- привлечением квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.
Кроме того, структурный подход к менеджменту инцидентов ИБ может включать в себя процедуру приостановки "отметки времени" с целью возможности выполнения "количественных" оценок обработки инцидентов ИБ в организации. Это делает возможным, например, предоставление информации о времени разрешения инцидентов с различными приоритетами на различных платформах. При наличии слабых мест в процессе менеджмента инцидентов ИБ эти слабые места также должны быть идентифицируемыми.
5.1.6 Менеджмент и анализ рисков ИБ
Использование структурного подхода к менеджменту инцидентов ИБ способствует:
- сбору более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;
- предоставлению данных о частоте возникновения идентифицированных типов угроз.
Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.
Вышеупомянутые данные значительно улучшат результаты анализа менеджмента и анализа рисков ИБ.
5.1.7 Осведомленность в вопросах ИБ
Структурный подход к менеджменту инцидентов ИБ предоставляет узконаправленную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта информация является источником реальных примеров, на которых можно показать, что инциденты ИБ действительно происходят именно в данной организации, а не где-либо еще. Таким образом можно продемонстрировать выгоды быстрого получения информации о решениях. Более того, подобная осведомленность в вопросах ИБ позволяет снизить вероятность ошибки, возникновения паники и (или) растерянности у людей в случае появления инцидента ИБ.
5.1.8 Входные данные для анализа политики ИБ
Информация, предоставляемая системой менеджмента инцидентов ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.
5.2 Ключевые вопросы
Наличие обратной связи, по которой поступает информация о том, как осуществляется менеджмент инцидентов ИБ, помогает сохранять нацеленность действий персонала на борьбу с реальными рисками для систем, сервисов и сетей организации. Эта важная обратная связь не может быть эффективно реализована через процесс реагирования на инциденты ИБ, поскольку инциденты ИБ происходят нерегулярно. Обратная связь может быть более результативной при наличии структурированной, хорошо продуманной системы менеджмента инцидентов ИБ, применяющей общую структуру для всех подразделений организации. Данная общая структура должна непрерывно обеспечивать получение от системы как можно более полных результатов и представлять собой надежную основу для быстрого определения возможных условий возникновения инцидента ИБ до его появления, а также выдавать соответствующие сигналы оповещения.
Менеджмент и аудит системы менеджмента ИБ обеспечивают основу доверия, необходимого для расширения совместной работы с персоналом и снижения недоверия в отношении сохранения анонимности, безопасности и доступности полезных результатов. Например, руководство и персонал организации должны быть уверены в том, что сигналы оповещения дадут своевременную, точную и полную информацию относительно ожидаемого инцидента.
При внедрении систем менеджмента инцидентов ИБ организациям следует избегать таких потенциальных проблем, как отсутствие положительных результатов и беспокойства по поводу вопросов, связанных с проблемами неприкосновенности персональных данных. Необходимо убедить заинтересованные стороны в том, что для предотвращения появления вышеупомянутых проблем были предприняты определенные шаги.
Таким образом, для построения оптимальной системы менеджмента инцидентов ИБ нужно рассмотреть ряд ключевых вопросов, включая:
- обязательства руководства;
- осведомленность;
- правовые и нормативные аспекты;
- эксплуатационную эффективность и качество;
- анонимность;
- конфиденциальность;
- независимость деятельности ГРИИБ;
- типологию.
Каждый из этих вопросов будет рассмотрен ниже.
5.2.1 Обязательства руководства
Для принятия структурного подхода к менеджменту инцидентов ИБ жизненно необходима постоянная поддержка со стороны руководства. Персонал организации должен распознавать инциденты ИБ и знать свои действия при их возникновении, а также осознавать большие преимущества структурного подхода для организации. Однако этого может быть недостаточно при отсутствии поддержки со стороны руководства. Необходимо донести до руководства, что организация должна выполнять обязательства по обеспечению ресурсами и поддержке способности реагирования на инциденты.