Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Управление инцидентами ИБ состоит из 5 фаз:
1) планирование и подготовка;
2) обнаружение и оповещение;
3) оценка и принятие решения;
4) реагирования;
5) извлечение уроков.
Первая фаза включает предварительные действия по разработке и внедрению схемы управления инцидентами ИБ, а другие четыре фазы – оперативные действия по ее реализации и совершенствованию. Последовательность и краткое содержание этих фаз показано на рисунке.
1 фаза – планирование и подготовка
Эффективное
Фаза подготовки включает в себя следующие первоначальные мероприятия:
– разработка политики управления инцидентами ИБ и утверждение ее руководством;
– интеграция управления инцидентами ИБ во все политики;
– разработка схемы управления инцидентами ИБ;
– тестирование схемы управления инцидентами ИБ, ее процессов и процедур.
Также фаза подготовки включает в себя следующие организационные мероприятия:
– создание группы реагирования на инциденты ИБ (далее – ГРИИБ);
– создание технической и другой поддержки (включая организационную и операционную);
– взаимодействие с внутренними и внешними организациями;
– обеспечение осведомленности и обучения персонала.
1.1. Разработка политики управления инцидентами ИБ и утверждение ее руководством
Организация должна оформить свою политику управления событиями, инцидентами и уязвимостями в виде свободно распространяемого документа как часть политики СУИБ (см. ISO/IEC 27001) или как часть политики ИБ (см. ISO/IEC 27002). Размер, структура, вид бизнеса организации и сфера ее программы управления инцидентами ИБ являются решающими факторами для определения, какие из этих факторов применить. Организация должна охватить политикой управления инцидентами ИБ каждого, кто имеет доступ к информационным системам и местам их размещения.
Этому должно предшествовать выявление уязвимостей ИБ организации, убеждение в необходимости управления инцидентами ИБ и осознание всех выгод от этого организации в целом и ее подразделений в отдельности.
Организация должна обеспечить документальное утверждение политики управления инцидентами ИБ высшим руководством. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена путем инструктажа и обучения.
Политика управления инцидентами ИБ должна включать в себя следующие вопросы:
1) важность управления инцидентами ИБ для организации и утверждение высшим руководством этого управления и его схемы;
2) общее представление об обнаружении события ИБ, оповещении о нем и сборе соответствующей информации и ее использования для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать и как обращаться с новыми событиями ИБ;
3) общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, оповещения об инцидентах и дальнейших действий
ответственных лиц;4) краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ;
5) ссылку на необходимость правильной регистрации всех действий по управлению инцидентами ИБ для дальнейшего анализа и непрерывного мониторинга для обеспечения безопасного хранения электронных свидетельств на случай их востребования для судебного разбирательства или внутреннего дисциплинарного расследования;
6) действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентом ИБ;
7) общее представление об оповещении и обработке уязвимостей ИБ;
8) подробности места хранения документации схемы, включая процедуры хранения;
9) общее представление о деятельности ГРИИБ, включающее следующие вопросы:
– организационную структуру ГРИИБ и весь основной ее персонал, включая лиц, ответственных за:
• информирование высшего руководства об инцидентах,
• работу с запросами и следующие за этим действия, и
• связь со сторонними организациями (при необходимости);
– положение об управлении ИБ, конкретизирующее полномочия ГРИИБ, в рамках которых она будет его осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;
– формулировку целей ГРИИБ применительно к основной ее деятельности. Для выполнения своих функций персонал должен участвовать в оценке, реагировании и управлении инцидентами ИБ для их успешного разрешения. Цели и предназначение ГРИИБ очень важны и требуют четкого и однозначного определения;
– определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все ИС, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;
– идентификация учредителя ГРИИБ – старшего должностного лица, который санкционирует действия ГРИИБ и устанавливает уровни ее полномочий. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является важной информацией для формирования доверия к ней;
– взаимосвязи с организациями, обеспечивающими специализированную внешнюю поддержку, как например, группы правовой экспертизы;
9) общее представление о техническом и других механизмах поддержки;
10) общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ;
11) перечень правовых и нормативных аспектов, предполагаемых к рассмотрению.
1.2. Интеграция управления инцидентами ИБ во все политики
Организация должна включить содержание управления инцидентами ИБ в содержание политики ИБ и политики управления рисками и описать это содержание в политике управления инцидентами. Интеграцию всех политик необходимо осуществить как на корпоративном уровне, так и на системном, сервисном и сетевом уровнях.