Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать необходимые действия, адекватные инциденту ИБ.
Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточнить, какой орган в системе обеспечения политики менеджмента инцидентов ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ.
Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы со старшим руководством, документированы и определять:
- представителя организации по работе со средствами массовой информации;
- метод взаимодействия подразделения организации с ГРИИБ.
7.5.4 Отношения со сторонними лицами и организациями
Необходимо установить отношения между ГРИИБ и соответствующими сторонними лицами и организациями.
К сторонним лицам и организациям могут относиться:
- сторонний вспомогательный персонал, работающий по контракту, например КГБР;
- ГРИИБ сторонних организаций, а также КГБР;
- правоприменяющие организации;
- аварийные службы (например пожарная бригада/отделение);
- соответствующие государственные организации;
- юридический персонал;
- официальные лица по связям с общественностью и (или) представителями средств массовой информации;
- партнеры по бизнесу;
- потребители;
- общественность.
7.6 Техническая и другая поддержка реагирования на инциденты информационной безопасности
Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы. Эти мероприятия включают в себя:
- доступ к деталям активов организации (предпочтительно иметь обновленный перечень активов) и информацию по их связям с бизнес-функциями;
- доступ к документированной стратегии обеспечения непрерывности бизнеса и соответствующим планам;
- документированные и опубликованные процессы передачи информации;
- использование электронной базы данных событий/инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (хотя общепризнанно, что иногда сделанные вручную записи также оказываются востребованными и используются организацией);
- адекватные меры по обеспечению непрерывности бизнеса для базы данных событий/инцидентов ИБ.
Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа содержания информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны содействовать:
- быстрому получению отчетов о событиях и инцидентах ИБ;
- уведомлению ранее отобранного персонала (соответствующих сторонних лиц) подходящими для этого средствами (например, через электронную почту, факс, телефон и т. д.), то есть запрашивая поддержку надежной контактной базы данных (которая должна быть всегда легкодоступной и должна включать в себя бумажные и другие копии) и средство передачи информации безопасным способом (при необходимости);
- соблюдению предосторожностей, соответствующих оцененным рискам, избежанию прослушивания электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;
- соблюдению предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;
- процессу сбора всех данных об информационной системе, сервисе и (или) сети и всех обрабатываемых данных;
- использованию криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и(или) сети и данные подверглись изменениям;
- упрощению архивирования и защиты собранной информации (например, применяя цифровые подписи в записях в журнале регистрации или другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);
- подготовке распечаток (например, журналов регистрации), демонстрирующих развитие инцидента ИБ, процесс разрешения инцидента и обеспечивающих сохранность информации;
- восстановлению штатного режима работы информационной системы, сервиса и (или) сети с помощью:
оптимальных процедур резервирования,
четких и надежных резервных копий,
тестирования резервных копий,
контроля вредоносных программ,
исходных носителей информации с системным и прикладным программным обеспечением,
надежных и обновленных исправлений ("патчей") для систем и приложений, согласованных с соответствующим планом обеспечения непрерывности бизнеса.
Атакованная информационная система, сервис и (или) сеть могут функционировать неверно. Поэтому работа технического средства (программного или аппаратного обеспечения), необходимого для реагирования на инцидент ИБ, не должна быть основана на системах, сервисах и (или) сетях, используемых в организации. По возможности, технические средства реагирования на инциденты должны быть полностью автономными.
Все технические средства должны быть тщательно отобраны, правильно внедрены и регулярно тестироваться (включая тестирование полученных резервных копий).
Следует заметить, что технические средства, описанные в настоящем подразделе, не включают в себя технические средства, используемые непосредственно для обнаружения инцидентов ИБ и вторжений и автоматического оповещения соответствующих лиц. Данные технические средства описаны в [1], [2].
7.7 Обеспечение осведомленности и обучение
Менеджмент инцидентов ИБ - это процесс, включающий в себя не только технические средства, но также персонал, и, следовательно, этот процесс должен поддерживаться лицами, соответствующим образом обученными для работы в организации и осведомленными в вопросах безопасности информации.
Осведомленность и участие всего персонала организации очень важны для обеспечения успеха структурного подхода к менеджменту инцидентов ИБ. Поэтому роль менеджмента инцидентов ИБ должна активно поддерживаться как часть общей программы обучения и обеспечения осведомленности в вопросах ИБ. Программа обеспечения осведомленности и соответствующий материал должны быть доступны для всего персонала, включая новых служащих, пользователей сторонних организаций и подрядчиков. Должна существовать специальная программа обучения для группы обеспечения эксплуатации, для членов ГРИИБ, а при необходимости - для персонала, ответственного за ИБ, и специальных администраторов. Следует заметить, что для каждой группы, непосредственно участвующей в менеджменте инцидентов, могут потребоваться различные уровни подготовки, зависящие от типа, частоты и значимости их взаимодействия с системой менеджмента инцидентов ИБ.
Инструктажи по обеспечению осведомленности должны включать в себя:
- основы работы системы менеджмента инцидентов ИБ, включая сферу ее действия и технологию работ по менеджменту инцидентов и событий ИБ;
- способы оповещения о событиях и инцидентах ИБ;