После ввода схемы в действие необходимо проводить регулярные инструктажи по ИБ для всего персонала и курсы специальной подготовки персонала, ответственного за ИБ. Подготовка должна включать специальные упражнения и тестирование членов группы поддержки и ГРИИБ, а также персонала, ответственного за ИБ.

Кроме того, осведомленность и учебные программы нужно дополнить созданием и поддержкой «горячей линии» персонала управления инцидентами ИБ для того, чтобы минимизировать задержки в сообщении и обработке событий, инцидентов и уязвимостей ИБ.

1.7. Тестирование схемы управления инцидентами ИБ

Организация должна планировать регулярные проверки и тестирование процессов и процедур управления инцидентами ИБ для выявления потенциальных недостатков и проблем, которые могут появиться в течение этого управления.

Испытания должны проводиться периодически, чтобы не только проверить схему в реальной ситуации, но и проверить, как ГРИИБ ведет себя под влиянием сложного инцидента, моделируя реалные атаки, отказы или дефекты. Специфическое внимание нужно уделить созданию сценариев, основаных на реальных угрозах ИБ. Испытания должны включить не только ГРИИБ, но и все подразделения организации и внешние организации, которые задействованы в управлении инцидентами ИБ.

Любые изменения, возникающие в результате анализа реагирований на инциденты ИБ, должны подвергаться строгой проверке и тестированию перед введением измененной схемы в действие.

После завершения этой фазы организация должна быть полностью готова к надлежащей обработке инцидентов ИБ.

2 фаза — обнаружение и оповещение

Оперативный процесс схемы управления инцидентами ИБ состоит из 3-х фаз:

— обнаружение и оповещение;

— оценка и принятие решения;

— реагирования.

Первая фаза оперативного процесса включает обнаружение, сбор сведений и оповещение как о возникновении событий ИБ, так и о существовании уязвимости ИБ, которая еще не вызвала событие ИБ и потенциальный инцидент ИБ.

Любое сообщение персонала как об уязвимости ИБ, так и о нарушении неинформационной безопасности, должно быть оценено и обработано уполномоченным техническим персоналом. Информация об уязвимостях и их устранении должна быть внесена в базу данных событий / инцидентов / уязвимостей ИБ, управляемую ГРИИБ.

Для этой фазы организация должна выполнить следующие действия:

1) обнаружение и оповещение о событии или уязвимости ИБ, что включает в себя:

— предупреждение системы мониторинга безопасности, таких как системы обнаружения и предотвращения атак на приложения (Intrusion Detection System / Intrusion Prevention System, IDS/IPS), «приманки» для хакеров в виде виртуальных ресурсов, например, вэб-сервер (honeypot), имитации открытого порта в системе для введения хакеров в заблуждение (tarpits), антивирусная программа, СУИБ, системы мониторинга и корреляции логов событий и другие,

— предупреждение систем сетевого контроля, таких как брандмауэры, сканеры сетевого трафика, вэб-фильтры и другие,

— предупреждение партнеров, продавцов или групп совместного использования информации об известных и появляющихся векторах атаки,

— результат анализа информации логов устройств, сервисов, хостов и других систем,

— результат деятельности систем технической поддержки (help desk),

— сообщения пользователей,

— уведомления внешних организаций, таких как другие ГРИИБ, Интернет-провайдеры, поставщики телекоммуникационных услуг, аутсорсинговые компании или национальная ГРИИБ;

2) сбор сведений о событии ИБ или уязвимости;

3) регистрация всех действий, результатов и соответствующих решений для дальнейшего анализа группой поддержки;

4) регистрация в системе мониторинга инцидентов.

2.1. Обнаружение события

События ИБ могут быть обнаружены непосредственно лицом или лицами, заметившими что-либо, вызывающее беспокойство и имеющее технический, физический или процедурный характер. Обнаружение может осуществляться, например, датчиками охранно-пожарной сигнализации путем передачи сигналов тревоги в заранее определенные места для осуществления человеком определенных действий.

Технические события ИБ могут обнаруживаться автоматически, например, это могут быть сигналы тревоги, производимые устройствами анализа записей аудита, межсетевыми экранами, системами обнаружения вторжений, антивирусным ПО, в каждом случае стимулируемые заранее установленными параметрами этих устройств.

Возможными источниками обнаружения события ИБ могут быть:

— пользователи,

— линейные менеджеры и руководители службы безопасности,

— клиенты,

— ИС технической поддержки (help desk — поддержка 1-го уровня),

— подразделение ИТ, в том числе Центр сетевых операций и Центр безопасных операций (поддержка 2-го уровня),