— критериям принятия риска;
— полной стоимости эксплуатации активов;
— необходимым ресурсам.
Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.
Анализ должен обеспечить изменение или улучшение подхода, методологии или инструментальных средств, используемых в зависимости от:
— идентифицированных изменений;
— итерации оценки риска;
— цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);
— объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).
Выходные данные
Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.
6. Управление инцидентами иб(стандарт ISO/IEC 27035:2011)
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В дальнейшем на его базе подкомитетом SC 27 «Методы защиты» совместного технического комитета ISO/IEC JTC 1 «Информационная технология» был разработан международный стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ», который был опубликован в 2011 году.
Основные понятия
Событие ИБ — это определенное состояние ИС (услуги или сети), указывающее на возможное нарушение ИБ, отказ защитных мер, а также неизвестная ситуация, связанная с ИБ.
Инцидент ИБ — нежелательное событие, которое может нарушить бизнес-процесс и угрожать ИБ.
Возникновение события ИБ не обязательно означает, что попытка была успешна или что оказано какое-либо влияние на конфиденциальность, целостность и/или доступность, т. е. не все события ИБ классифицируются как инциденты ИБ.
Инциденты ИБ могут быть преднамеренными (например, вредоносное ПО или злоумышленные действия) или случайными (например, человеческие ошибки или стихийные бедствия), а также создаваться техническими или физическими средствами. Их последствиями могут быть несанкционированное разглашение, модификация, уничтожение или недоступность информации, или повреждение или воровство активов, содержащих информацию.
Угроза путем использования уязвимости ИС (сервисов или сетей) вызывает возникновение события ИБ и как результат инцидента по отношению к активу (подставленного под угрозу этой уязвимостью).
Рисунок показывает эти отношения объектов в цепи инцидента ИБ. Затемненные объекты существуют изначально и воздействуют на остальные объекты в цепи, которая приводит к инциденту ИБ.
Цели управления инцидентами
Ключевой частью стратегии ИБ организации должны стать процедуры, которые будут обеспечивать структурный плановый подход к управлению инцидентами ИБ. В принципе главная цель — это предотвращение или снижение воздействия инцидентов ИБ, чтобы сократить вызванные ими прямые и косвенные затраты.
Для минимизации воздействия инцидентов ИБ необходимо по отношению к ним сделать следующие первоначальные шаги:
— остановить и задержать,
— уничтожить,
— анализировать и оповестить, и
— последующие шаги.
Цели структурного планового подхода к управлению инцидентами ИБ должны гарантировать следующее:
— события ИБ обнаружены и эффективно анализируются, в частности, определяется, нужно ли их классифицировать как инциденты ИБ или нет;
— идентифицированные инциденты ИБ были оценены и подвергнуты реагированию в самой соответствующей и эффективной форме;
— негативные последствия инцидентов ИБ на организации и ее бизнес-процессах минимизируют соответствующие средства защиты как часть реагирования на инциденты, возможно в соединении с соответствующими элементами плана кризисного управления;
— известные уязвимости ИБ оценены и обработаны соответствующим образом;
— быстро извлечены уроки из инцидентов, уязвимостей ИБ и соответствующего управления. Это должно увеличить возможности предотвращения появления будущих инцидентов ИБ, улучшить внедрение и использование мер защиты и всю схему управления инцидентами ИБ.
Чтобы достичь этого, организация должна гарантировать, что инциденты документируются в соответствии со стандартами категоризации и классификации инцидентов ИБ и разделяются в соответствии с метриками, выведенными из совокупности данных на протяжении определенного времени. Это дает ценную информацию, чтобы помочь стратегическому процессу принятия решения, инвестируя в меры и средства ИБ.
Выгоды от структурного подхода
Первоначальные действия организации с учетом структурного подхода к управлению инцидентами ИБ, могут группироваться следующим образом:
— обеспечение осведомленности в вопросах ИБ;
— сокращение негативного влияния на бизнес;
— оправдание расхода бюджета и ресурсов;
— усиление внимания к предотвращению инцидентов ИБ;
В дальнейшем выполняются корректирующие действия, которые могут группироваться следующим образом:
— усиление приоритетности;
— усиление правовой экспертизы;
— улучшение состояния ИБ;
— улучшение управления рисками ИБ;
— обеспечение вклада в политику ИБ.
Обеспечение осведомленности в вопросах ИБ
Структурный подход к управлению инцидентами ИБ предоставляет узконаправленную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта информация является источником реальных примеров, на которых можно показать, что инциденты ИБ действительно происходят именно в данной организации, а не где-либо еще. Таким образом, можно продемонстрировать выгоды быстрого получения информации о решениях. Более того, подобная осведомленность в вопросах ИБ позволяет снизить вероятность ошибки, возникновения паники и (или) растерянности у людей в случае появления инцидента ИБ.
Сокращение неблагоприятного воздействия на бизнес
Структурный подход к управлению инцидентами ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.
Оправдание расхода бюджета и ресурсов
Хорошо продуманный структурный подход к управлению инцидентами ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система управлению инцидентами ИБ. Такие выгоды связаны со следующими условиями;
— использование менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;
— обеспечение лучшего руководства действиями квалифицированного персонала;
— привлечение квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.
Кроме того, структурный подход к управлению инцидентами ИБ может включать в себя процедуру приостановки «отметки времени» с целью возможности выполнения «количественных» оценок обработки инцидентов ИБ в организации. Это делает возможным, например, предоставление информации о времени разрешения инцидентов с различными приоритетами на различных платформах.
Усиление внимания к предотвращению инцидентов ИБ
Использование структурного подхода к управлению инцидентами ИБ может способствовать усилению внимания к предотвращению инцидентов внутри организации, в том числе проведению идентификации методов против новых угроз и уязвимостей. Анализ данных, связанных с инцидентами, позволяет определить модели и тенденции появлении инцидентов, тем самым способствуя усилению внимания к предотвращению инцидентов и, следовательно, определению соответствующих действий по предотвращению возникновения инцидентов.
Усиление приоритетности
Структурный подход к управлению инцидентами ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ, в том числе использование эффективной шкалы категоризации и классификации. При отсутствии четких процедур существует риск того, что расследования проводятся в непостоянном режиме, когда реагирование не инциденты осуществляется по мере их появления или как реакция на указание руководства. Это может помешать проведению расследования в последовательности, соответствующей идеальному установлению приоритетов там, где оно действительно необходимо.
Усиление правовой экспертизы
Четкие процедуры расследования инцидентов могут обеспечить правильность и правовую допустимость сбора доказательств и их обработки. Это имеет большое значение в случаях инициирования дальнейшего дисциплинарного или судебного разбирательства.
Улучшение состояния ИБ
Структурный процесс обнаружения и оповещения, оценки и принятия решения, связанного с событиями и инцидентами ИБ, обеспечит быструю идентификацию и реагирование. Это улучшит общую безопасность, обеспечивая средство предотвращения подобных инцидентов ИБ в будущем. В дальнейшем осуществляется классификация инцидентов ИБ в соответствии с разработанными метриками и их накопление. Это способствует доверию к организации, которая может продемонстрировать применение лучших практик по управлению инцидентами ИБ.
Улучшение результатов оценки и управления рисками ИБ
Использование структурного подхода к управлению инцидентами ИБ способствует:
— сбору более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;
— предоставлению данных о частоте возникновения идентифицированных типов угроз.