Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.
Обеспечение вклада в политику ИБ
Информация, предоставляемая схемой управления инцидентами ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.
Фазы управления инцидентами
Управление инцидентами ИБ состоит из 5 фаз:
1) планирование и подготовка;
2) обнаружение и оповещение;
3) оценка и принятие решения;
4) реагирования;
5) извлечение уроков.
Первая фаза включает предварительные действия по разработке и внедрению схемы управления инцидентами ИБ, а другие четыре фазы — оперативные действия по ее реализации и совершенствованию. Последовательность и краткое содержание этих фаз показано на рисунке.
1 фаза — планирование и подготовка
Эффективное управление инцидентами ИБ требует соответствующего планирования и подготовки. Для реализации эффективной схемы управления инцидентами и уязвимостями организация должна провести ряд предварительной действий после необходимого планирования.
Фаза подготовки включает в себя следующие первоначальные мероприятия:
— разработка политики управления инцидентами ИБ и утверждение ее руководством;
— интеграция управления инцидентами ИБ во все политики;
— разработка схемы управления инцидентами ИБ;
— тестирование схемы управления инцидентами ИБ, ее процессов и процедур.
Также фаза подготовки включает в себя следующие организационные мероприятия:
— создание группы реагирования на инциденты ИБ (далее — ГРИИБ);
— создание технической и другой поддержки (включая организационную и операционную);
— взаимодействие с внутренними и внешними организациями;
— обеспечение осведомленности и обучения персонала.
1.1. Разработка политики управления инцидентами ИБ и утверждение ее руководством
Организация должна оформить свою политику управления событиями, инцидентами и уязвимостями в виде свободно распространяемого документа как часть политики СУИБ (см. ISO/IEC 27001) или как часть политики ИБ (см. ISO/IEC 27002). Размер, структура, вид бизнеса организации и сфера ее программы управления инцидентами ИБ являются решающими факторами для определения, какие из этих факторов применить. Организация должна охватить политикой управления инцидентами ИБ каждого, кто имеет доступ к информационным системам и местам их размещения.
Этому должно предшествовать выявление уязвимостей ИБ организации, убеждение в необходимости управления инцидентами ИБ и осознание всех выгод от этого организации в целом и ее подразделений в отдельности.
Организация должна обеспечить документальное утверждение политики управления инцидентами ИБ высшим руководством. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена путем инструктажа и обучения.
Политика управления инцидентами ИБ должна включать в себя следующие вопросы:
1) важность управления инцидентами ИБ для организации и утверждение высшим руководством этого управления и его схемы;
2) общее представление об обнаружении события ИБ, оповещении о нем и сборе соответствующей информации и ее использования для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать и как обращаться с новыми событиями ИБ;
3) общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, оповещения об инцидентах и дальнейших действий ответственных лиц;
4) краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ;
5) ссылку на необходимость правильной регистрации всех действий по управлению инцидентами ИБ для дальнейшего анализа и непрерывного мониторинга для обеспечения безопасного хранения электронных свидетельств на случай их востребования для судебного разбирательства или внутреннего дисциплинарного расследования;
6) действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентом ИБ;
7) общее представление об оповещении и обработке уязвимостей ИБ;
8) подробности места хранения документации схемы, включая процедуры хранения;
9) общее представление о деятельности ГРИИБ, включающее следующие вопросы:
— организационную структуру ГРИИБ и весь основной ее персонал, включая лиц, ответственных за:
• информирование высшего руководства об инцидентах,
• работу с запросами и следующие за этим действия, и
• связь со сторонними организациями (при необходимости);
— положение об управлении ИБ, конкретизирующее полномочия ГРИИБ, в рамках которых она будет его осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;
— формулировку целей ГРИИБ применительно к основной ее деятельности. Для выполнения своих функций персонал должен участвовать в оценке, реагировании и управлении инцидентами ИБ для их успешного разрешения. Цели и предназначение ГРИИБ очень важны и требуют четкого и однозначного определения;
— определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все ИС, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;
— идентификация учредителя ГРИИБ — старшего должностного лица, который санкционирует действия ГРИИБ и устанавливает уровни ее полномочий. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является важной информацией для формирования доверия к ней;
— взаимосвязи с организациями, обеспечивающими специализированную внешнюю поддержку, как например, группы правовой экспертизы;
9) общее представление о техническом и других механизмах поддержки;
10) общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ;
11) перечень правовых и нормативных аспектов, предполагаемых к рассмотрению.
1.2. Интеграция управления инцидентами ИБ во все политики
Организация должна включить содержание управления инцидентами ИБ в содержание политики ИБ и политики управления рисками и описать это содержание в политике управления инцидентами. Интеграцию всех политик необходимо осуществить как на корпоративном уровне, так и на системном, сервисном и сетевом уровнях.
Интеграция всех политик ИБ должна быть нацелена на следующее:
— описание важности управления инцидентами ИБ, особенно схемы оповещения и обработки инцидентов ИБ;
— указание ответственности руководства за надлежащую подготовку к инцидентам ИБ и реагирования на них, т. е. схему управления инцидентами ИБ;
— обеспечение согласованности разных политик;
— обеспечение планового, систематического и спокойного реагирования на инцидент ИБ для минимизации его негативного влияния.
Организация должна поддерживать и обновлять корпоративные политики ИБ и управления рисками, а также специальные политики ИБ систем, сервисов или сетей. Эти политики должны иметь четкие ссылки на корпоративную политику управления инцидентами ИБ и соответствующую ему схему.
Политики должна содержать следующие разделы:
— обязательства руководства по отношению к ней;
— описание политики;
— описание схемных процессов и соответствующей инфраструктуры;
— требования по обнаружению, оповещению, оценке и управлению событиями, инцидентами и уязвимостями ИБ;
— четкое определение персонала, ответственного за авторизацию и/или проведение определенных критических действий (например, перевод системы в режим внешней недоступности или даже ее отключение).
Политики должны содержать требование о создании соответствующих механизмов проверки. Эти механизмы должны обеспечить уверенность в том, что информация, полученная в результате обнаружения, мониторинга и разрешения инцидентов ИБ и рассмотрения известных уязвимостей ИБ, используется в качестве входных данных для обеспечения эффективности корпоративных политик ИБ и управления рисками и специальных политик ИБ для систем, сервисов и сетей.
1.3. Разработка схемы управления инцидентами ИБ
Цель схемы управления инцидентами ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. Схема управления инцидентами ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ. В некоторых организациях схема может называться планом реагирования на инцидент ИБ.
Необходимо использовать схему в качестве руководства для выполнения следующих первоначальных действий:
— реагирование на события ИБ;
— определение того, является ли событие ИБ инцидентом;
— управление инцидентами ИБ до их разрешения.
Также необходимо использовать схему в качестве руководства для выполнения следующих завершающих действий:
— реагирование на уязвимости ИБ;
— идентификация полученных уроков и улучшений схемы и/или безопасности в целом;
— реализация идентифицированных улучшений.
Схема управления инцидентами ИБ предназначена для всего персонала организации и задействованных в схеме сторонних организаций, включая лиц, ответственных за: