6. Управление инцидентами иб

(стандарт ISO/IEC 27035:2011)

В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В дальнейшем на его базе подкомитетом SC 27 «Методы защиты» совместного технического комитета ISO/IEC JTC 1 «Информационная технология» был разработан международный стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ», который был опубликован в 2011 году.

Основные понятия

Событие ИБ — это определенное состояние ИС (услуги или сети), указывающее на возможное нарушение ИБ, отказ защитных мер, а также неизвестная ситуация, связанная с ИБ.

Инцидент ИБ — нежелательное событие, которое может нарушить бизнес-процесс и угрожать ИБ.

Возникновение события ИБ не обязательно означает, что попытка была успешна или что оказано какое-либо влияние на конфиденциальность, целостность и/или доступность, т. е. не все события ИБ классифицируются как инциденты ИБ.

Инциденты ИБ могут быть преднамеренными (например, вредоносное ПО или злоумышленные действия) или случайными (например, человеческие ошибки или стихийные бедствия), а также создаваться техническими или физическими средствами. Их последствиями могут быть несанкционированное разглашение, модификация, уничтожение или недоступность информации, или повреждение или воровство активов, содержащих информацию.

Угроза путем использования уязвимости ИС (сервисов или сетей) вызывает возникновение события ИБ и как результат инцидента по отношению к активу (подставленного под угрозу этой уязвимостью).

Рисунок показывает эти отношения объектов в цепи инцидента ИБ. Затемненные объекты существуют изначально и воздействуют на остальные объекты в цепи, которая приводит к инциденту ИБ.

Цели управления инцидентами

Ключевой частью стратегии ИБ организации должны стать процедуры, которые будут обеспечивать структурный плановый подход к управлению инцидентами ИБ. В принципе главная цель — это предотвращение или снижение воздействия инцидентов ИБ, чтобы сократить вызванные ими прямые и косвенные затраты.

Для минимизации воздействия инцидентов ИБ необходимо по отношению к ним сделать следующие первоначальные шаги:

— остановить и задержать,

— уничтожить,

— анализировать и оповестить, и

— последующие шаги.

Цели структурного планового подхода к управлению инцидентами ИБ должны гарантировать следующее:

— события ИБ обнаружены и эффективно анализируются, в частности, определяется, нужно ли их классифицировать как инциденты ИБ или нет;

— идентифицированные инциденты ИБ были оценены и подвергнуты реагированию в самой соответствующей и эффективной форме;

— негативные последствия инцидентов ИБ на организации и ее бизнес-процессах минимизируют соответствующие средства защиты как часть реагирования на инциденты, возможно в соединении с соответствующими элементами плана кризисного управления;

— известные уязвимости ИБ оценены и обработаны соответствующим образом;

— быстро извлечены уроки из инцидентов, уязвимостей ИБ и соответствующего управления. Это должно увеличить возможности предотвращения появления будущих инцидентов ИБ, улучшить внедрение и использование мер защиты и всю схему управления инцидентами ИБ.

Чтобы достичь этого, организация должна гарантировать, что инциденты документируются в соответствии со стандартами категоризации и классификации инцидентов ИБ и разделяются в соответствии с метриками, выведенными из совокупности данных на протяжении определенного времени. Это дает ценную информацию, чтобы помочь стратегическому процессу принятия решения, инвестируя в меры и средства ИБ.

Выгоды от структурного подхода

Первоначальные действия организации с учетом структурного подхода к управлению инцидентами ИБ, могут группироваться следующим образом:

— обеспечение осведомленности в вопросах ИБ;

— сокращение негативного влияния на бизнес;

— оправдание расхода бюджета и ресурсов;

— усиление внимания к предотвращению инцидентов ИБ;

В дальнейшем выполняются корректирующие действия, которые могут группироваться следующим образом:

— усиление приоритетности;

— усиление правовой экспертизы;

— улучшение состояния ИБ;

— улучшение управления рисками ИБ;

— обеспечение вклада в политику ИБ.

Обеспечение осведомленности в вопросах ИБ