Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 32

Первой задачей реагирования на инцидент является возобновление нормального уровня безопасности, а затем инициация необходимого восстановления.

Извлечение уроков из инцидентов ИБ

Меры и средства

Знания, полученные в результате анализа и решения инцидентов ИБ, должны использоваться, чтобы уменьшить вероятность или воздействие будущих инцидентов.

Рекомендации по реализации

На месте должны быть механизмы, способные осуществить мониторинг и количественную оценку типа, уровня и значимости инцидентов ИБ. Информация, полученная в результате оценки инцидентов, должна быть использована для определения повторяющихся и серьезных инцидентов.

Оценка инцидентов ИБ может привести к необходимости задействования улучшенных или дополнительных мер защиты для ограничения частоты, ущерба и цены будущих событий или должна быть учтена при пересмотре политики ИБ.

С учетом аспектов конфиденциальности эпизоды актуальных инцидентов ИБ могут быть использованы для обучения персонала как примеры того, что могло случиться, как реагировать на эти инциденты и как избежать их в дальнейшем.

Сбор доказательств

Меры и средства

Организация должна определить и применять процедуры для идентификации, сбора, приобретения и сохранения информации, которые могут служить в качестве доказательств.

Рекомендации по реализации

Внутренние процедуры должны быть разработаны и применены в случае необходимости доказательств для дисциплинарных и законных действий.

В общем, эти процедуры должны обеспечить идентификацию, сбор, приобретение и сохранение доказательств с учетом разнотипности носителей, устройств, их состояния, например, включено или выключено.

Процедуры должны учитывать:

– цепочки поставок;

– безопасность доказательства;

– безопасность персонала;

– роли и ответственности задействованного персонала;

– компетентность персонала;

– документацию;

– инструктаж.

По возможности, сертификаты и другие соответствующие значения квалификации персонала и инструменты должны быть найдены, чтоб усилить значимость сохраняемого доказательства.

Правовые доказательства могут изменить организационные и юридические рамки. В таких случаях очень важно, чтобы организация возглавила сбор необходимой информации как правовых доказательств. Требования разных юрисдикций также должны рассматриваться для увеличения шансов допуска к соответствующим юрисдикциям.

Идентификация является процессом изучения, распознавания и документирования потенциального доказательства. Сбор является процессом собирания физических предметов и деталей, содержащих потенциальное доказательство. Приобретение является процессом копирования данных в определенной совокупности и конфигурации. Сохранение является процессом поддержания и защиты неприкосновенности и естественных условий правового доказательства.

Когда событие ИБ появляется впервые, нельзя сразу определить понадобится ли судебное разбирательство. Следовательно, существует опасность того, что необходимое доказательство будет случайно или преднамеренно разрушено до того, как будет определена серьезность инцидента. Целесообразно привлечь адвоката или полицию к любому предусмотренному законному действию и получить соответствующую консультацию по требуемому докуазательству.

13. Аспекты ИБ при управлении непрерывности бизнеса

Аспекты ИБ при управлении непрерывности бизнеса определяют следующие составляющие:

– непрерывность ИБ;

– избыточность средств.

13.1. Непрерывность ИБ

Цель: Непрерывность ИБ должна быть неотъемлемой частью систем управления непрерывностью бизнеса организации.

Непрерывность ИБ обеспечивают следующие меры:

– планирование;

– внедрение;

– проверку, пересмотр и оценку.

Планирование непрерывности

Меры и средства

Организация должна определить свои требования ИБ и непрерывности управления ИБ при неблагоприятных ситуациях, например, во время кризиса или аварии.

Рекомендации по реализации

Организация должна определить, будет ли непрерывность ИБ охвачена процессом управления непрерывностью бизнеса или процессом управления аварийным восстановлением. Требования ИБ должны обусловить планирование непрерывности бизнеса и аварийного восстановления.

При недостатке планирования непрерывности бизнеса и аварийного восстановления управление ИБ должно предположить, что требования ИБ в неблагоприятной ситуации остаются такими же, как и в нормальных операционных условиях. В альтернативном случае организация могла провести анализ влияния на аспекты ИБ бизнеса для определения требований ИБ, подходящих для неблагоприятных ситуаций.

Для снижения времени и усилий на «дополнительный» анализ влияния на ИБ бизнеса следует учитывать аспекты ИБ при анализе влияния на бизнес обычного управления непрерывностью бизнеса или управления аварийным восстановлением. Это значит, что требования непрерывности ИБ четко формулируются процессами управления непрерывностью бизнеса или управления аварийным восстановлением.

Внедрение непрерывности

Меры и средства

Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и меры защиты для обеспечения требуемого уровня непрерывности ИБ во время неблагоприятной ситуации.

Рекомендации по реализации

Организация должна быть уверена, что:

– имеется адекватная структура управления по подготовке к уменьшению и реагированию на разрушительное событие с использованием персонала с необходимым авторитетом, опытом и компетентностью;

– назначен персонал по реагированию на инцидент с необходимой ответственностью, авторитетом и компетентностью для управления инцидентом и обеспечения ИБ;

– разработаны и внедрены документальные процедуры планирования, реагирования и восстановления, детально описывающие, как организация будет управлять разрушительным событием и поддерживать свою ИБ на заданном уровне, который базируется на утвержденных руководством целях непрерывности ИБ.

В соответствии с требованиями непрерывности ИБ организация должна установить, документировать, внедрить и поддерживать:

– меры ИБ процессов, процедур и поддерживающих систем и инструментов непрерывности бизнеса и аварийного восстановления;

– процессы, процедуры и реализованные изменения для поддержки существующих мер ИБ во время неблагоприятной ситуации;

– компенсацию мер ИБ, которые не могут поддерживаться во время неблагоприятной ситуации.

В контексте непрерывности бизнеса и аварийного восстановления следует определить специальные процессы и процедуры. Информация, обрабатываемая этими процессами и процедурами или поддерживающими их ИС, должна быть защищена. Поэтому организация должна привлекать специалистов ИБ при создании, внедрении и сопровождении процессов и процедур непрерывности бизнеса и аварийного восстановления.

Внедренные меры ИБ должны продолжать работу и во время неблагоприятной ситуации. Если они не способны продолжать защищать информацию, следует создавать, внедрять и сопровождать другие меры безопасности для поддержки приемлемого уровня ИБ.

Проверка, пересмотр и оценка непрерывности

Меры и средства

Организация должна проверять созданные и внедренные меры защиты непрерывности ИБ на регулярной основе для гарантии их актуальности и эффективности во время неблагоприятных ситуаций.

Рекомендации по реализации

Организационные, технические, процедурные и процессные изменения (в контексте оперативности или непрерывности) могут привести к изменениям требований непрерывности ИБ. В этих случаях непрерывность процессов, процедур и мер ИБ следует пересмотреть в соответствии с измененными требованиями.

Организация должна проверять непрерывность управления ИБ следующим: