Информация, предоставляемая схемой управления инцидентами ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.

Фазы управления инцидентами

Управление инцидентами ИБ состоит из 5 фаз:

1) планирование и подготовка;

2) обнаружение и оповещение;

3) оценка и принятие решения;

4) реагирования;

5) извлечение уроков.

Первая фаза включает предварительные действия по разработке и внедрению схемы управления инцидентами ИБ, а другие четыре фазы — оперативные действия по ее реализации и совершенствованию. Последовательность и краткое содержание этих фаз показано на рисунке.

1 фаза — планирование и подготовка

Эффективное управление инцидентами ИБ требует соответствующего планирования и подготовки. Для реализации эффективной схемы управления инцидентами и уязвимостями организация должна провести ряд предварительной действий после необходимого планирования.

Фаза подготовки включает в себя следующие первоначальные мероприятия:

— разработка политики управления инцидентами ИБ и утверждение ее руководством;

— интеграция управления инцидентами ИБ во все политики;

— разработка схемы управления инцидентами ИБ;

— тестирование схемы управления инцидентами ИБ, ее процессов и процедур.

Также фаза подготовки включает в себя следующие организационные мероприятия:

— создание группы реагирования на инциденты ИБ (далее — ГРИИБ);

— создание технической и другой поддержки (включая организационную и операционную);

— взаимодействие с внутренними и внешними организациями;

— обеспечение осведомленности и обучения персонала.

1.1. Разработка политики управления инцидентами ИБ и утверждение ее руководством

Организация должна оформить свою политику управления событиями, инцидентами и уязвимостями в виде свободно распространяемого документа как часть политики СУИБ (см. ISO/IEC 27001) или как часть политики ИБ (см. ISO/IEC 27002). Размер, структура, вид бизнеса организации и сфера ее программы управления инцидентами ИБ являются решающими факторами для определения, какие из этих факторов применить. Организация должна охватить политикой управления инцидентами ИБ каждого, кто имеет доступ к информационным системам и местам их размещения.

Этому должно предшествовать выявление уязвимостей ИБ организации, убеждение в необходимости управления инцидентами ИБ и осознание всех выгод от этого организации в целом и ее подразделений в отдельности.

Организация должна обеспечить документальное утверждение политики управления инцидентами ИБ высшим руководством. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена путем инструктажа и обучения.

Политика управления инцидентами ИБ должна включать в себя следующие вопросы:

1) важность управления инцидентами ИБ для организации и утверждение высшим руководством этого управления и его схемы;

2) общее представление об обнаружении события ИБ, оповещении о нем и сборе соответствующей информации и ее использования для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать и как обращаться с новыми событиями ИБ;

3) общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, оповещения об инцидентах и дальнейших действий ответственных лиц;

4) краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ;

5) ссылку на необходимость правильной регистрации всех действий по управлению инцидентами ИБ для дальнейшего анализа и непрерывного мониторинга для обеспечения безопасного хранения электронных свидетельств на случай их востребования для судебного разбирательства или внутреннего дисциплинарного расследования;

6) действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентом ИБ;

7) общее представление об оповещении и обработке уязвимостей ИБ;

8) подробности места хранения документации схемы, включая процедуры хранения;

9) общее представление о деятельности ГРИИБ, включающее следующие вопросы:

— организационную структуру ГРИИБ и весь основной ее персонал, включая лиц, ответственных за:

• информирование высшего руководства об инцидентах,

• работу с запросами и следующие за этим действия, и

• связь со сторонними организациями (при необходимости);