Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 48

Сокращение неблагоприятного воздействия на бизнес

Структурный подход к управлению инцидентами ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.

Оправдание расхода бюджета и ресурсов

Хорошо продуманный структурный подход к управлению инцидентами ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система управлению инцидентами ИБ. Такие выгоды связаны со следующими условиями;

– использование менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;

– обеспечение лучшего руководства действиями квалифицированного персонала;

– привлечение квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.

Кроме того, структурный подход к управлению инцидентами ИБ может включать в себя процедуру приостановки «отметки времени» с целью возможности выполнения «количественных» оценок обработки инцидентов ИБ в организации. Это делает возможным, например, предоставление информации о времени разрешения инцидентов с различными приоритетами на различных платформах.

Усиление внимания к предотвращению инцидентов ИБ

Использование структурного подхода к управлению инцидентами ИБ может способствовать усилению внимания к предотвращению инцидентов внутри организации, в том числе проведению идентификации методов против новых угроз и уязвимостей. Анализ данных, связанных с инцидентами, позволяет определить модели и тенденции появлении инцидентов, тем самым способствуя усилению внимания к предотвращению инцидентов и, следовательно, определению соответствующих действий по предотвращению возникновения инцидентов.

Усиление приоритетности

Структурный подход к управлению инцидентами ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ, в том числе использование эффективной шкалы категоризации и классификации. При отсутствии четких процедур существует риск того, что расследования проводятся в непостоянном режиме, когда реагирование не инциденты осуществляется по мере их появления или как реакция на указание руководства. Это может помешать проведению расследования в последовательности, соответствующей идеальному установлению приоритетов там, где оно действительно необходимо.

Усиление правовой экспертизы

Четкие процедуры расследования инцидентов могут обеспечить правильность и правовую допустимость сбора доказательств и их обработки. Это имеет большое значение в случаях инициирования дальнейшего дисциплинарного или судебного разбирательства.

Улучшение состояния ИБ

Структурный процесс обнаружения и оповещения, оценки и принятия решения, связанного с событиями и инцидентами ИБ, обеспечит быструю идентификацию и реагирование. Это улучшит общую безопасность, обеспечивая средство предотвращения подобных инцидентов ИБ в будущем. В дальнейшем осуществляется классификация инцидентов ИБ в соответствии с разработанными метриками и их накопление. Это способствует доверию к организации, которая может продемонстрировать применение лучших практик по управлению инцидентами ИБ.

Улучшение результатов оценки и управления рисками ИБ

Использование структурного подхода к управлению инцидентами ИБ способствует:

– сбору более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;

– предоставлению данных о частоте возникновения идентифицированных типов угроз.

Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.

Обеспечение вклада в политику ИБ

Информация, предоставляемая схемой управления инцидентами ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.

Фазы управления инцидентами

Управление инцидентами ИБ состоит из 5 фаз:

1) планирование и подготовка;

2) обнаружение и оповещение;

3) оценка и принятие решения;

4) реагирования;

5) извлечение уроков.

Первая фаза включает предварительные действия по разработке и внедрению схемы управления инцидентами ИБ, а другие четыре фазы – оперативные действия по ее реализации и совершенствованию. Последовательность и краткое содержание этих фаз показано на рисунке.

1 фаза – планирование и подготовка

Эффективное управление инцидентами ИБ требует соответствующего планирования и подготовки. Для реализации эффективной схемы управления инцидентами и уязвимостями организация должна провести ряд предварительной действий после необходимого планирования.

Фаза подготовки включает в себя следующие первоначальные мероприятия:

– разработка политики управления инцидентами ИБ и утверждение ее руководством;

– интеграция управления инцидентами ИБ во все политики;

– разработка схемы управления инцидентами ИБ;

– тестирование схемы управления инцидентами ИБ, ее процессов и процедур.

Также фаза подготовки включает в себя следующие организационные мероприятия:

– создание группы реагирования на инциденты ИБ (далее – ГРИИБ);

– создание технической и другой поддержки (включая организационную и операционную);

– взаимодействие с внутренними и внешними организациями;

– обеспечение осведомленности и обучения персонала.

1.1. Разработка политики управления инцидентами ИБ и утверждение ее руководством

Организация должна оформить свою политику управления событиями, инцидентами и уязвимостями в виде свободно распространяемого документа как часть политики СУИБ (см. ISO/IEC 27001) или как часть политики ИБ (см. ISO/IEC 27002). Размер, структура, вид бизнеса организации и сфера ее программы управления инцидентами ИБ являются решающими факторами для определения, какие из этих факторов применить. Организация должна охватить политикой управления инцидентами ИБ каждого, кто имеет доступ к информационным системам и местам их размещения.

Этому должно предшествовать выявление уязвимостей ИБ организации, убеждение в необходимости управления инцидентами ИБ и осознание всех выгод от этого организации в целом и ее подразделений в отдельности.

Организация должна обеспечить документальное утверждение политики управления инцидентами ИБ высшим руководством. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена путем инструктажа и обучения.

Политика управления инцидентами ИБ должна включать в себя следующие вопросы:

1) важность управления инцидентами ИБ для организации и утверждение высшим руководством этого управления и его схемы;

2) общее представление об обнаружении события ИБ, оповещении о нем и сборе соответствующей информации и ее использования для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать и как обращаться с новыми событиями ИБ;

3) общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, оповещения об инцидентах и дальнейших действий ответственных лиц;