- подробности места хранения документации о системе, включая процедуры хранения;
- общее представление о деятельности ГРИИБ, включающее в себя следующие вопросы:
- организационную структуру ГРИИБ и весь основной персонал группы, включая лиц, ответственных за:
- краткое информирование высшего руководства об инцидентах;
- проведение расследований и другие действия персонала группы после объявления "кризисной ситуации";
- связь со сторонними организациями (при необходимости);
- положение о менеджменте ИБ, область деятельности ГРИИБ и полномочия, в рамках которых она будет ее осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;
- формулировку целей ГРИИБ применительно к основной деятельности группы персонала. Для выполнения своих функций персонал должен участвовать в оценке инцидентов ИБ, реагировании на них и управлении ими, а также в их успешном разрешении. Для целей и назначения ГРИИБ требуется четкое и однозначное определение;
- определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все информационные системы, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;
- личность учредителя ГРИИБ - старшего должностного лица (член правления, старший руководитель), который санкционирует действия ГРИИБ и устанавливает уровни полномочий, переданных ГРИИБ. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является крайне важной информацией для формирования доверия к ГРИИБ. Следует отметить, что перед обнародованием подробностей о создании и структуре ГРИИБ необходимо проверить законность этого действия. В некоторых обстоятельствах раскрытие полномочий группы персонала может послужить причиной предъявления ей претензий по нарушению обязательств;
- общее представление о программе обеспечения осведомленности и обучения менеджменту инцидентов ИБ;
- перечень правовых и нормативных аспектов, предполагаемых к рассмотрению (см. 5.2.3).
7.3 Программа менеджмента инцидентов информационной безопасности
7.3.1 Назначение системы
Программа менеджмента инцидентов ИБ предназначена для создания подробной документации, описывающей процессы и процедуры обработки инцидентов ИБ и оповещения (информирования) об инцидентах ИБ. Программа менеджмента ИБ приводится в действие при обнаружении события ИБ. Она используется в качестве руководства при:
- реагировании на события ИБ;
- определении того, становятся ли события ИБ инцидентами ИБ;
- менеджменте инцидентов ИБ до их разрешения;
- идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений системы и (или) безопасности в целом;
- реализации идентифицированных улучшений.
7.3.2 Лица, связанные с программой менеджмента инцидентов информационной безопасности
Программа менеджмента инцидентов ИБ предназначена для всего персонала организации, включая лиц, ответственных за:
- обнаружение и оповещение о событиях ИБ. Эти лица могут быть служащими, работающими на постоянной основе или по контракту;
- оценку и реагирование на события ИБ и инциденты ИБ, которые участвуют в извлечении уроков на этапе разрешения инцидентов ИБ и в улучшениях ИБ и самой программы менеджмента инцидентов ИБ. Этими лицами являются члены группы обеспечения эксплуатации (или подобной группы), ГРИИБ, руководство организации, персонал отделов по связям с общественностью и юристы.
Следует также учитывать пользователей третьей стороны, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях, и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.
7.3.3 Содержание программы менеджмента инцидентов информационной безопасности
В содержание программы менеджмента инцидентов ИБ должны быть включены:
- обзор политики менеджмента инцидентов ИБ;
- общее представление о программе менеджмента инцидентов ИБ в целом;
- детальные процессы и процедуры*(8), информация о соответствующих сервисных программах и шкалах, связанных:
для этапа "Планирование и подготовка":
с обнаружением и оповещением о появлении событий ИБ (человеком или автоматическими средствами),
со сбором информации о событиях ИБ,
с проведением оценок событий ИБ (включая, если потребуется, их детализацию), используя принятую шкалу серьезности событий/инцидентов, и определением их способности к изменению своей категории на категорию инцидентов ИБ,
для этапа "Использование" (в случае подтверждения инцидентов ИБ):
с оповещением сотрудников своей организации и сторонних лиц или организаций о наличии инцидентов ИБ или любых важных деталях, касающихся инцидентов,
с осуществлением немедленного реагирования, которое может включать в себя активизацию процедур восстановления и (или) передачу сообщений соответствующему персоналу согласно анализу и принятым степенями шкалы серьезности инцидентов,
с проведением правовой экспертизы (при необходимости) по степеням шкалы серьезности инцидентов ИБ и изменением этих степеней,
с определением наличия контроля над инцидентами ИБ,
с созданием дополнительных реагирований (если требуется), включая те, которые могут потребоваться гораздо позднее (например, при устранении последствий какого-либо бедствия),
в случае отсутствия контроля над инцидентами ИБ с инициированием антикризисных действий (например, вызов пожарной команды или активизация плана обеспечения непрерывности бизнеса),
с детализацией дальнейшей оценки и (или), если потребуется, дальнейших решений,
с проверкой правильности регистрации всей деятельности для дальнейшего анализа,
с обновлением базы данных событий/инцидентов ИБ.
В программе менеджмента инцидентов ИБ предусматривается возможность как немедленного, так и более длительного реагирования на инциденты ИБ. Для всех инцидентов ИБ требуется своевременная оценка потенциальных негативных воздействий, как кратковременных, так и более длительных (например, крупномасштабное бедствие может произойти через некоторое время после первого инцидента ИБ). Более того, некоторые виды реагирования могут потребоваться для совершенно непредвиденных инцидентов ИБ, когда возникнет необходимость в специальных защитных мерах. Даже в такой ситуации в документации программы должны содержаться общие рекомендации по действиям, которые могут стать необходимыми:
- для этапа "Анализ":
с проведением, если потребуется, дальнейшей правовой экспертизы,
с идентификацией и документированием опыта, извлеченного из инцидентов ИБ,
с определением и анализом улучшений ИБ на основе полученного опыта,
с анализом эффективности процессов и процедур реагирования на инциденты ИБ, оценкой инцидентов ИБ и восстановления после каждого из них, а также определением улучшений программы менеджмента инцидентов ИБ в целом (на основе полученного опыта),