с обновлением базы данных событий/инцидентов ИБ;
- для этапа "Улучшение" - уточнение на основе полученного опыта:
с результатами анализа и менеджмента рисков ИБ,
с программой менеджмента инцидентов ИБ (например, процессами и процедурами, формой оповещения и (или) структурой организации),
с общей безопасностью внедрения новых и (или) улучшенных защитных мер,
с градацией шкалы серьезности событий/инцидентов (например, значительный, незначительный; существенный, экстренный, незначительный, неэкстренный) и соответствующими руководствами,
с руководством для решения о необходимости интенсификации каждого процесса, для кого должна проводиться интенсификация и в соответствии с какими процедурами. Персонал, оценивающий событие или инцидент ИБ, должен знать, основываясь на руководствах из документации программы менеджмента инцидентов ИБ, когда при нормальных обстоятельствах необходимо переходить к интенсификации процессов и для кого. Кроме того, возможно возникновение непредвиденных обстоятельств, когда интенсификация процессов может стать необходимой. Например, незначительный инцидент ИБ может перейти в категорию "существенный" или в "кризисную ситуацию" в случае его неправильной обработки, или незначительный инцидент ИБ, не обработанный в течение недели, может стать "значительным" инцидентом ИБ. В руководстве должны определяться типы событий и инцидентов ИБ, типы интенсификации процессов и лица, которые могут ее проводить,
с необходимыми процедурами для надлежащей регистрации всех действий в соответствующей форме и проведением анализа журнала регистрации назначенным персоналом,
с процедурами и механизмами поддержания режима контроля изменений, который включает в себя прослеживание событий и инцидентов ИБ, обновление отчета об инцидентах ИБ и обновление самой программы,
с процедурами правовой экспертизы,
с процедурами и руководством по использованию систем обнаружения вторжений (СОВ), обеспечивающими соблюдение связанных с ними правовых и нормативных аспектов (см. 5.2.3). Руководство должно включать в себя рассмотрение преимуществ и недостатков действий по наблюдению за злоумышленником. Дополнительная информация по системам обнаружения вторжений (СОВ) содержится в ИСО/МЭК ТО 15947 [2] и ИСО/МЭК ТО 18043 [3],
со структурой организации программы,
с компетенцией и обязанностями членов ГРИИБ в целом и ее отдельных членов,
с важной информацией о контактах группы.
7.3.4 Процедуры
Перед тем как приступить к работе с программой менеджмента инцидентов ИБ, необходимо иметь в наличии документированные и проверенные процедуры. В документации по каждой процедуре должны указываться лица из группы эксплуатационной поддержки и (или) из ГРИИБ, ответственные за использование и менеджмент этой процедуры. Такие процедуры должны включать в себя процедуры сбора и защищенного хранения электронных свидетельств, которые должны непрерывно контролироваться на случай судебного разбирательства или дисциплинарного расследования внутри организации. Более того, должны существовать документированные процедуры, включающие в себя не только действия группы эксплуатационной поддержки и ГРИИБ, но и процедуры, задействованные в правовой экспертизе и "антикризисной" деятельности, если они не задействованы где-либо еще, например, в плане обеспечения непрерывности бизнеса. Очевидно, что эти документированные процедуры должны полностью соответствовать документированной политике менеджмента инцидентов ИБ и другой документации программы менеджмента инцидентов ИБ.
Необходимо иметь в виду, что не все процедуры являются общедоступными. Например, нежелательно, чтобы весь персонал организации знал подробности о работе ГРИИБ при взаимодействии с ней. ГРИИБ должна обеспечивать наличие "общедоступного" руководства, включая информацию, полученную из результатов анализа инцидентов ИБ, которая находится в легкодоступной форме, например в интранете организации. Более того, иногда нежелательно раскрывать некоторые детали программы менеджмента инцидентов ИБ, чтобы лицо, обладающее конфиденциальной информацией внутри организации (инсайдер), не могло помешать процессу расследования. Например, если банковский служащий, присваивающий денежные средства, осведомлен о некоторых деталях программы, то он может лучше скрывать свою деятельность от следствия или иным образом препятствовать обнаружению и расследованию инцидента ИБ и восстановлению после него.
Содержание рабочих процедур зависит от многих критериев, особенно связанных с характером уже известных потенциальных событий и инцидентов ИБ и типами задействованных активов информационных систем и их средой. Так, некая рабочая процедура может быть связана с определенным типом инцидентов или с типом продукции (например межсетевые экраны, базы данных, операционные системы, приложения), или со специфической продукцией. В каждой рабочей процедуре должно быть четко определено, какие шаги необходимо предпринять и кем. Она должна отражать опыт, полученный как из внутренних, так и внешних источников (например государственные или коммерческие КГБР, или аналогичные группы, а также поставщики).
Для обработки уже известных типов событий и инцидентов ИБ должны существовать рабочие процедуры. Необходимы также рабочие процедуры, которым надо следовать, если тип обнаруженного инцидента ИБ или события неизвестен. В этом случае рассматривают следующие аспекты:
- процесс оповещения для обработки таких "исключительных случаев";
- указания, определяющие время для получения одобрения реагирования на инцидент со стороны руководства с целью избежания задержки реагирования;
- предварительно одобренное делегирование принятия решения без обычного процесса одобрения.
7.3.5 Тестирование программы
Для выявления потенциальных дефектов и проблем, которые могут возникнуть в процессе менеджмента событий и инцидентов ИБ, необходимо запланировать регулярные проверки и тестирование процессов и процедур менеджмента инцидентов ИБ. Любые изменения, возникающие в результате анализа реагирований на инциденты ИБ, должны подвергаться строгой проверке и тестированию.
7.4 Политики менеджмента рисков и информационной безопасности
7.4.1 Назначение
Целями включения содержания менеджмента инцидентов ИБ в корпоративные политики менеджмента рисков и ИБ и специальные политики ИБ систем, сервисов и сетей являются:
- описание значимости менеджмента инцидентов ИБ, особенно системы оповещения и обработки инцидентов ИБ;
- указание обязанностей высшего руководства относительно надлежащей подготовки к инцидентам ИБ и реагированию на них, то есть относительно системы менеджмента инцидентов ИБ;
- обеспечение согласованности различных политик;
- обеспечение планового и систематического реагирования на инцидент ИБ для минимизации негативного воздействия инцидентов.
7.4.2 Содержание
Корпоративная политика менеджмента рисков и ИБ, а также специальные политики ИБ для систем, сервисов или сетей должны обновляться с целью обеспечения точного соответствия общей политике менеджмента инцидентов ИБ и соответствующей ей системе. В соответствующие разделы необходимо включать обязательства высшего руководства и описание:
- политики;
- процессов системы и соответствующей инфраструктуры;
- требований по обнаружению, оповещению, оценке и управлению инцидентами и
- четкого определения персонала, ответственного за авторизацию и (или) проведение определенных важных действий (например перевод информационной системы в режим off-line или даже отключение системы).
Кроме того, корпоративная политика должна содержать требование о создании соответствующих механизмов анализа для обеспечения использования любой информации, полученной в результате процессов обнаружения, мониторинга и разрешения инцидентов ИБ, в качестве входных данных для обеспечения стабильной результативности корпоративных политик менеджмента рисков ИБ, а также специальных политик ИБ для систем, сервисов и сетей.
7.5 Создание группы реагирования на инциденты информационной безопасности
7.5.1 Назначение группы реагирования на инциденты информационной безопасности
Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для оценки, реагирования на инциденты ИБ и извлечения уроков из них, а также необходимой координации, менеджмента, обратной связи и процесса передачи информации. Члены ГРИИБ могут участвовать в снижении физического и финансового ущерба, а также ущерба для репутации организации, связанного с инцидентами ИБ.
7.5.2 Члены группы реагирования на инциденты информационной безопасности и структура этой группы
Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и структуре организации. ГРИИБ может представлять собой изолированную команду или отдел, персонал этой группы может выполнять и другие обязанности, а также привлекать сотрудников из различных подразделений организации. В соответствии с 4.2.1 и 7.1 во многих случаях ГРИИБ может быть действующей группой, возглавляемой старшим руководителем. Вышестоящему руководителю оказывают помощь специалисты по конкретным вопросам, например, по отражению атак вредоносных программ, которые привлекаются в зависимости от типа инцидента ИБ. В зависимости от численного состава организации сотрудники ГРИИБ могут также выполнять несколько функций внутри ГРИИБ. В ГРИИБ могут также привлекаться служащие из различных подразделений организации (например бизнес-операций, ИТ/телекоммуникаций, аудита, отдела кадров и маркетинга).
Члены группы должны быть доступны для контакта так, чтобы их имена и имена лиц, их замещающих, а также подробности о контакте с ними были доступными внутри организации. Например, в документации системы менеджмента инцидентов ИБ должны быть четко указаны необходимые детали, включая любые документы по процедурам и формы отчетов, но не в положениях политики.
Руководитель ГРИИБ должен:
- иметь делегированные полномочия немедленного принятия решения о том, какие меры предпринять относительно инцидента;
- как правило, иметь отдельную линию для оповещения высшего руководства, которая должна быть изолирована от обычных бизнес-операций;
- обеспечивать необходимый уровень знаний и мастерства для всех членов ГРИИБ, а также поддержание этого уровня;
- поручать расследование каждого инцидента наиболее компетентному члену группы.