Инциденты несанкционированного доступа, создаваемые нетехническими средствами, которые приводят к прямому или косвенному раскрытию или модификации информации, нарушениям учетности или неправильному использованию информационных систем, могут вызываться следующими факторами:
- разрушением устройств физической защиты с последующим несанкционированным доступом к информации;
- неудачной и (или) неправильной конфигурацией операционной системы вследствие неконтролируемых изменений в системе или неправильного функционирования программного или аппаратного обеспечения, приводящих к результатам, подобным тем, которые описаны в последнем абзаце 6.2.
7 Этап "Планирование и подготовка"
Этап "Планирование и подготовка" менеджмента инцидентов ИБ включает в себя:
- документирование политики обработки сообщений о событиях и инцидентах ИБ и системе, соответствующей этой политике (включая родственные процедуры);
- создание подходящей структуры менеджмента инцидентов ИБ в организации и подбор соответствующего персонала;
- создание программы обучения и проведения инструктажа с целью обеспечения осведомленности о менеджменте инцидентов.
После завершения этого этапа организация должна быть полностью готова к надлежащей обработке инцидентов ИБ.
7.1 Общее представление о менеджменте инцидентов информационной безопасности
Для результативного и эффективного ввода менеджмента инцидентов ИБ в эксплуатацию после необходимого планирования следует выполнить ряд подготовительных действий. Эти подготовительные действия включают в себя:
- формулирование и разработку политики менеджмента инцидентов ИБ, а также получение от высшего руководства утверждения этой политики (см. 7.2);
- разработку и документирование подробной системы менеджмента инцидентов ИБ (см. 7.3).
Документация системы менеджмента инцидентов ИБ должна содержать следующие элементы:
- шкалу серьезности для классификации инцидентов ИБ. Как указано в 4.2.1, такая шкала может состоять, например, из двух положений: "значительные" и "незначительные". В любом случае положение шкалы основано на фактическом или предполагаемом ущербе для бизнес-операций организации;
- формы докладов*(4) о событиях*(5) и инцидентах*(6) ИБ (примеры форм приведены в приложении А), соответствующие документированные процедуры и действия, связанные со ссылками на нормальные процедуры использования данных и системы, сервисов и (или) сетевого резервирования, планами обеспечения непрерывности бизнеса;
- операционные процедуры для ГРИИБ с документированными обязанностями и распределением функций среди назначенных ответственных лиц*(7) для осуществления различных видов деятельности, например таких, как:
- отключение атакованной системы, сервиса и (или) сети при определенных обстоятельствах по согласованию с соответствующим руководством ИТ и (или) бизнеса и в соответствии с предварительным соглашением;
- оставление атакованной системы, сервиса и (или) сети в работающем состоянии и подсоединенной к сети;
- ведение мониторинга потока входящих, выходящих или находящихся в атакованной системе, сервисе и (или) сети данных;
- активация нормальных дублирующих процедур и действий по планированию непрерывности бизнеса согласно политике безопасности системы, сервиса и (или) сети;
- ведение мониторинга и организация защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;
- передача подробностей об инциденте ИБ сотрудникам своей организации и сторонним лицам или организациям;
- тестирование функционирования системы менеджмента инцидентов ИБ, ее процессов и процедур (см. 7.3.5);
- обновление политик менеджмента и анализа рисков ИБ, корпоративной политики ИБ, специальных политик ИБ для систем, сервисов и (или) сетей для включения ссылок на менеджмент инцидентов ИБ и обеспечение регулярного пересмотра этих политик в контексте выходных данных системы менеджмента инцидентов ИБ (см. 7.4);
- создание ГРИИБ с соответствующей программой обучения ее персонала (см. 7.5);
- технические и другие средства поддержки системы менеджмента инцидентов безопасности ИБ (и деятельности ГРИИБ) (см. 7.6);
- проектирование и разработка программы обеспечения осведомленности о менеджменте инцидентов ИБ (см. 7.7), ознакомление с этой программой всего персонала организации (и повторное проведение ознакомления в дальнейшем в случае кадровых изменений).
В следующих подразделах приведено описание каждого вида этой деятельности, включая содержание каждого требуемого документа.
7.2 Политика менеджмента инцидентов информационной безопасности
7.2.1 Назначение политики
Политика менеджмента инцидентов ИБ предназначена для всего персонала, имеющего авторизованный доступ к информационным системам организации и местам их расположения.
7.2.2 Лица, связанные с политикой менеджмента инцидентов информационной безопасности
Политика менеджмента инцидентов ИБ утверждается старшим должностным лицом организации с документально подтвержденными полномочиями, полученными от высшего руководства. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена через инструктаж и обучение с целью обеспечения их осведомленности в области ИБ (см. 7.7).
7.2.3 Содержание политики менеджмента инцидентов информационной безопасности
Политика менеджмента инцидентов ИВ должна включать в себя следующие вопросы:
- значимость менеджмента инцидентов ИБ для организации, а также обязательства высшего руководства относительно поддержки менеджмента и его системы;
- общее представление об обнаружении событий ИБ, оповещении о них и сборе соответствующей информации, а также о путях использования этой информации для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать, а также как обращаться с совершенно новыми событиями ИБ;
- общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, необходимые для выполнения действия, уведомления об инцидентах и дальнейшие действия ответственных лиц;
- краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ. Эти действия представляют:
- немедленное реагирование;
- правовую экспертизу;
- передачу информации соответствующему персоналу или сторонним организациям;
- проверку, находится ли инцидент ИБ под контролем;
- дальнейшее реагирование;
- объявление "кризисной ситуации";
- определение критериев усиления реагирования на инциденты ИБ;
- определение ответственного за инцидент лица;
- ссылку на необходимость правильной регистрации всех действий для дальнейшего и непрерывного мониторинга с целью обеспечения защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;
- действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентами ИБ;