Другой важной проблемой принятия структурного подхода к менеджменту инцидентов ИБ является осведомленность. Несмотря на потребность в пользователях для участия в работе организации, вряд ли можно рассчитывать на их эффективное участие в работе организации при отсутствии осведомленности о том, какую выгоду они и их подразделение получат от участия в структурном подходе к управлению инцидентами информационной безопасности.
Любая система менеджмента инцидентов ИБ должна сопровождаться документом с определением программы обеспечения осведомленности, включающим в себя:
- преимущества структурного подхода к менеджменту инцидентов ИБ как для организации, так и для ее персонала;
- информацию об инцидентах, хранящуюся в базе данных событий и (или) инцидентов ИБ, и выходные данные из нее;
- стратегию и механизмы для программы обеспечения осведомленности, которая в зависимости от типа организации может быть отдельной программой или частью более широкой программы осведомленности в вопросах ИБ.
5.2.3 Правовые и нормативные аспекты
В политике менеджмента инцидентов ИБ и соответствующей системе необходимо учитывать следующие правовые и нормативные аспекты менеджмента инцидентов ИБ.
Обеспечение адекватной защиты персональных данных и неприкосновенность персональной информации
В странах, где существует специальное законодательство, защищающее конфиденциальность и целостность данных, оно часто ограничено контролем за персональными данными. Поскольку инциденты ИБ обычно возникают в результате деятельности персонала или посторонних лиц, то может потребоваться соответствующая регистрация информации личного характера и управление ею. Следовательно, при структурном подходе к менеджменту инцидентов ИБ следует учитывать необходимость в соответствующей защите персональных данных, а также следующие условия:
- лица, имеющие доступ к персональным данным, не должны лично знать тех людей, информация о которых изучается;
- лица с доступом к личным данным должны подписать соглашение об их неразглашении до того, как получат доступ к ним;
- персональные данные должны использоваться исключительно для тех целей, для которых они были получены, то есть для расследования инцидентов ИБ.
Соответствующее хранение записей
Некоторые федеральные законы Российской Федерации требуют от компаний ведения соответствующих записей своей деятельности для анализа в процессе ежегодного аудита организации. Такие же требования существуют для правительственных организаций. В некоторых странах от организаций требуется составление отчетов или создание архивов для правоохранительных органов (например, в случае совершения серьезного преступления или проникновения в правительственную систему, содержащую конфиденциальную информацию).
Наличие защитных мер для обеспечения выполнения коммерческих договорных обязательств
При наличии обязывающих требований по предоставлению услуг по менеджменту инцидентов ИБ (например требования ко времени реагирования) организация должна предусматривать обеспечение соответствующей ИБ в целях обеспечения выполнения этих обязательств при любых обстоятельствах (в связи с этим в случае заключения организацией контракта со сторонней организацией (см. 7.5.4), например КГБР, необходимо включение всех необходимых требований, наряду с временем реагирования, в контракт со сторонней организацией).
Правовые вопросы, связанные с политиками и процедурами
Необходима проверка политик и процедур, связанных с системой менеджмента инцидентов ИБ, на предмет наличия правовых и нормативных проблем, например, имеются ли уведомления о дисциплинарных взысканиях и (или) судебном преследовании сотрудников, виновных в создании инцидентов, так как в некоторых странах увольнение сотрудников является довольно сложным процессом.
Проверка на законность непризнания ответственности
Все заявления об ограничении ответственности за действия, предпринятые группой менеджмента инцидентов ИБ или внешним вспомогательным персоналом, должны быть проверены на законность.
Включение в контракты со сторонним персоналом всех необходимых аспектов
Контракты со сторонним вспомогательным персоналом, например КГБР, должны тщательно проверяться на предмет внесения в контракт ответственности за нарушение обязательств по неразглашению, доступности услуг и последствия неправильных консультаций.
Соглашения о неразглашении конфиденциальной информации
От членов группы менеджмента инцидентов ИБ может потребоваться подписание соглашения о неразглашении конфиденциальной информации как при устройстве на работу, так и при увольнении. В некоторых странах такие соглашения могут не иметь юридической силы; данный аспект необходимо подвергать проверке.
Исполнение требований правоприменяющих органов
Необходимо обеспечить ясность в вопросах, связанных с возможностью того, что правоприменяющие органы на законном основании могут затребовать информацию от системы менеджмента инцидентов ИБ. В некоторых случаях может потребоваться ясность о минимальном уровне, определяемом законом, на котором инциденты необходимо документировать, и о сроке хранения этой документации.
Ясность в вопросах ответственности
Необходимо уточнить вопросы потенциальной ответственности и необходимые соответствующие защитные меры. Ниже приведены примеры событий, имеющих отношение к возложению ответственности:
- если инцидент ИБ может повлиять на деятельность другой организации (например раскрытие совместно используемой информации), которая вовремя не оповещается и в результате несет ущерб;
- если в продукции обнаружена новая уязвимость без уведомления об этом поставщика, что привело к возникновению серьезного связанного с этой уязвимостью инцидента, в результате которого значительно пострадали одна или несколько организаций;
- если в какой-либо стране, где от организаций требуется информирование или создание архивов для правоохранительных органов в отношении всех случаев, которые могут быть связаны с тяжким преступлением или проникновением в правительственную систему, содержащую информацию ограниченного доступа или элементы критически важной национальной инфраструктуры, соответствующие требования не выполнены;
- если информация раскрыта и появилось указание на причастность некоторого лица или организации к атаке на информационные ресурсы организации. Этот факт может нанести ущерб репутации и бизнесу конкретных лиц или организации;
- если раскрыта информация, что в определенном элементе программного обеспечения произошел сбой, но впоследствии эта информация оказалась ложной.
Специальные нормативные требования
Об инцидентах ИБ следует информировать соответствующий контрольный орган, если это предусмотрено специальными и нормативными требованиями, например, как это предусмотрено в атомной промышленности.
Судебные преследования или внутренние дисциплинарные разбирательства
Для успешного судебного преследования или проведения дисциплинарных разбирательств внутри организации в отношении злоумышленников, независимо от того, были ли эти атаки техническими или физическими, необходимо применять соответствующие меры защиты ИБ, включая доказуемо защищенные от внесения изменений журналы аудита. Для обеспечения успешного судебного преследования или проведения дисциплинарных разбирательств внутри организации в отношении злоумышленников, независимо от того, были ли эти атаки техническими или физическими, необходимо собрать свидетельства для федеральных судов или других административных органов. Необходимо показать, что:
- документация не подвергалась искажениям и является полной;
- копии электронного свидетельства доказуемо идентичны оригиналам;
- все системы ИТ, от которых были получены свидетельства, во время регистрации работали в штатном режиме.
Правовые аспекты, связанные с методами мониторинга
Последствия использования методов мониторинга должны быть рассмотрены в контексте национального законодательства. Законность различных методов может меняться в зависимости от страны. Например, в некоторых странах необходимо информировать людей о ведении мониторинга, в том числе методами наблюдения. Необходимо учесть несколько факторов, определяющих, кто (что) подвергается мониторингу, каким образом они (оно) подвергаются мониторингу и когда проводится мониторинг. Необходимо также отметить, что мониторинг/наблюдение в контексте систем обнаружения вторжений (СОВ) специально рассматривается в [3].
Подготовка правил пользования информационными ресурсами и ознакомление с ними
Порядок использования информационных систем и ресурсов в организации должен быть определен, документирован и доведен до сведения всего предполагаемого персонала (например, персонал необходимо проинформировать о допустимой политике использования и потребовать письменное подтверждение понимания и принятия ими этой политики при устройстве на работу в организацию или получении доступа к информационным системам).
5.2.4 Эффективность эксплуатации и качество
Эффективность эксплуатации и качество структурного подхода к менеджменту инцидентов ИБ зависит от ряда факторов, включающих в себя обязательность уведомления об инцидентах, качество уведомления, простоту использования, быстродействие и обучение. Некоторые из этих факторов связаны с обеспечением осведомленности пользователей о важности менеджмента инцидентов ИБ и их мотивированностью сообщать об инцидентах. Что касается быстродействия, то время, используемое на сообщение об инциденте ИБ, - не единственный фактор, важно также учитывать время, необходимое для обработки данных и распространения обработанной информации (особенно в случае с сигналами аварийности).
Для минимизации задержек соответствующие программы обеспечения осведомленности и обучения пользователей должны дополняться поддержкой по "горячей линии", которая обеспечивается персоналом, осуществляющим менеджмент инцидентов ИБ.
5.2.5 Анонимность
Вопрос обеспечения анонимности является основополагающим для успеха менеджмента инцидентов ИБ. Пользователи должны быть уверены, что информация об инцидентах ИБ, которую они сообщают, полностью защищена, а при необходимости обезличена, с тем чтобы ее невозможно было связать с их организацией или ее подразделением без их согласия.
Система менеджмента инцидентов ИБ должна учитывать ситуации, когда важно обеспечить анонимность лица или организации, сообщающих о потенциальных инцидентах ИБ при особых обстоятельствах. У каждой организации должны быть положения, в которых четко разъяснялись бы важность сохранения анонимности или ее отсутствия для лиц и организаций, сообщающих о потенциальном инциденте ИБ. ГРИИБ может потребоваться дополнительная информация, не сообщенная изначально информирующим об инциденте лицом или организацией. Более того, важная информация об инциденте ИБ может быть получена от первого обнаружившего его лица.