Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 50
– процедуры, которые гарантируют, что все действия по управлению инцидентами ИБ должным образом зафиксированы, и что лог-анализ проводит уполномоченный персонал;
– процедуры и механизмы, которые гарантируют, что режим изменений контроля поддерживается, обеспечивая мониторинг событий, инцидентов и уязвимостей ИБ и обновление отчетов о событиях / инцидентах / уязвимостях ИБ, а также обновление непосредственно схемы;
– процедуры правового анализа инцидента ИБ;
– процедуры и директивы по использованию систем обнаружения вторжения (Intrusion Detection System, IDS) и предотвращения вторжения (Intrusion Prevention System, IРS), которые гарантируют обеспечение связанных с ними правовых и нормативных аспектов. Директивы должны включать перечень преимуществ и недостатков обеспечения контроля вторжений;
– директивы и процедуры взаимосвязаны с техническими и организационными механизмами, которые установлены, внедрены и задействованы для того, чтобы предотвращать возникновение инцидента ИБ и сокращать их вероятность, и обрабатывать инциденты ИБ по мере их возникновения;
– материал для осведомленности и программы обучения по вопросам управления событиями, инцидентами и уязвимостями ИБ;
– процедуры и спецификации для тестирования схемы управления инцидентами ИБ;
– схема организационной структуры управления инцидентами ИБ;
– сферы полномочий и ответственности ГРИИБ в целом и ее членов в отдельности;
– важная контактная информация.
Для 2-й фазы – обнаружение и оповещение:
– обнаружение и оповещение о событиях ИБ (человеком или автоматическими средствами),
– сбор информации о событиях ИБ,
– обнаружение и оповещение об уязвимостях ИБ,
– полная запись всей собранной информации в базе данных уязвимости / инцидента / события ИБ.
Для 3-й фазы – оценка и принятие решения:
– проведение группой поддержки оценки события ИБ (включая, если потребуется, его детализацию), используя принятую шкалу классификации событий / инцидентов ИБ с определением возможности его классификации как инцидента ИБ,
– подтверждение ГРИИБ, является ли событие инцидентом ИБ, поэтому им нужно применять другую оценку, используя принятую шкалу классификации событий / инцидентов ИБ, чтобы подтвердить детали события (потенциального инцидента) и его влияния на ресурс (категоризация). Это нужно завершить решением о том, кто, как и с каким приоритетом обработает подтвержденный инцидент ИБ,
– оценка уязвимости ИБ (которая еще не создала события и потенциальный инцидент ИБ) с принятием решения о необходимости ее обработки, кто, как и в том, какой приоритет.
– полная запись всей информации в базе данных уязвимости / инцидента / события ИБ.
Для 4-й фазы – реагирования:
– отчет ГРИИБ для определения, находится ли инцидент ИБ под контролем, и:
• если инцидент под контролем, инициировать реагирование немедленно (в реальном времени) или позже,
• если инцидент не под контролем или возможно серьезное влияние на критические сервисы организации, инициировать кризисные действия вплоть до эскалации антикризисного управления;
– определение всех функций и организаций (внешних и внутренних), необходимых для схемы управления инцидентами;
– локализация и ликвидация инцидента ИБ путем смягчения или предотвращения расширения границ и степени воздействия инцидента;
– оповещение о существовании инцидента ИБ или любых связанных с этим деталей других внутренних и внешних лиц или организаций;
– документальное завершение и внесение записей об успешнм разрешении инцидента ИБ в базу данных уязвимостей / инцидентов / событий ИБ;
– проведение правового анализа, если потребуется;
– проверка правильности регистрации всей деятельности для дальнейшего анализа,
– сбор и сохранность результатов правовой экспертизы;
– поддержка режима контроля изменений и обновлений базы данных уязвимостей / инцидентов / событий ИБ;
– поиск взаимосвязей с уязвимостями ИБ.
В документации схемы управления инцидента ИБ предусматривается возможность как немедленного, так и более длительного реагирования на инциденты ИБ. Для всех инцидентов ИБ требуется своевременная оценка потенциальных негативных воздействий, как кратковременных, так и более длительных (например, крупномасштабное бедствие может произойти через некоторое время после первого инцидента ИБ). Более того, некоторые виды реагирования могут потребоваться для совершенно непредвиденных инцидентов ИБ, когда возникнет необходимость в специальных защитных мерах. Даже для этой ситуации организация должна включить в схемную документацию общее руководство по таким специальным защитным мерам.
Для 5-й фазы – извлечение уроков:
– идентификация уроков обработки инцидентов и уязвимостей ИБ;
– идентификация и внедрение улучшений средств защиты (новых и/или усовершенствованных) как в соответствии с политикой управления инцидентами ИБ, так и в результате полученных уроков;
– идентификация и внедрение улучшений оценки и управления рисками ИБ в результате полученных уроков;
– рассмотрение, насколько эффективны процессы, процедуры, форматы отчетов и/или организационная структура в оценке каждого инцидента ИБ и восстановлении после него и работе с уязвимостью ИБ, и на основании полученных уроков идентификация и внедрение улучшений схемы управления инцидента ИБ и ее документации;
– обновление базы данных уязвимостей / инцидентов / событий ИБ;
– проведение, если потребуется, дальнейшей правовой экспертизы;
– взаимосвязь и обмен результатами обзора с доверенными сторонами (если организация пожелает).
При разработке схемы необходимо учитывать следующие факторы:
– категории и классы инцидентов;
– формы учета инцидентов;
– рабочие процедуры;
– доверие персонала;
– конфиденциальность информации
Категории и классы инцидентов
Категория инцидента / события ИБ зависит от вида угрозы. Инциденты ИБ могут быть вызваны преднамеренными или случайными действиями человека или природными катаклизмами, техническими или физическими средствами.
Шкала классификации инцидента / события ИБ зависит от степени серьёзности воздействия инцидентов / событий на активы или бизнес-операции организации.
Такая шкала может быть простой и иметь только 2 класса инцидента:
– значительный;
– незначительный.
Шкалу можно сделать более сложной, имеющую 4 класса инцидента:
– класс IV – очень серьёзный;
– класс III – серьёзный;
– класс II – менее серьёзный;
– класс I – несерьёзный.
Очень серьёзные инциденты – те, которые:
– воздействуют на очень важные ИС,
– приводят к катастрофическим бизнес-потерям или
– вызывают огромные социальные проблемы (увольнения).
Серьёзные инциденты – те, которые:
– воздействуют на очень важные или важные ИС,
– приводят к серьезным бизнес-потерям или
– вызывают большие социальные проблемы (забастовки).
Менее серьёзные инциденты – те, которые:
– воздействуют на важные или обычные ИС,
– приводят к значительным бизнес-потерям или
– вызывают значительные социальные проблемы (митинги).
Несерьёзные инциденты – те, которые:
– воздействуют на обычные ИС,
– приводят к незначительным бизнес-потерям или их отсутствию,
– вызывают незначительные социальные проблемы или их не вызывают,
– не требуются никаких действий и нет последствий.
Взимосвязь категорий и классов
Категория и класс серьёзности инцидента ИБ часто взаимосвязаны. Одна категория инцидента ИБ может иметь различные классы серьёзности в зависимости как от бизнеса, так и природы инцидента ИБ, например, мотива, цели, времени, уровня.
Формы отчета об инцидентах
Формы отчета об уязвимости / инциденте / событии ИБ ведутся для: