ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности (Переиздание)

     7.1 Общее представление о менеджменте инцидентов информационной безопасности

Для результативного и эффективного ввода менеджмента инцидентов ИБ в эксплуатацию после необходимого планирования следует выполнить ряд подготовительных действий. Эти подготовительные действия включают в себя:

- формулирование и разработку политики менеджмента инцидентов ИБ, а также получение от высшего руководства утверждения этой политики (см. 7.2);

- разработку и документирование подробной системы менеджмента инцидентов ИБ (см. 7.3).

Документация системы менеджмента инцидентов ИБ должна содержать следующие элементы:

- шкалу серьезности для классификации инцидентов ИБ. Как указано в 4.2.1, такая шкала может состоять, например, из двух положений: "значительные" и "незначительные". В любом случае положение шкалы основано на фактическом или предполагаемом ущербе для бизнес-операций организации;

- формы докладов о событиях и инцидентах ИБ (примеры форм приведены в приложении А), соответствующие документированные процедуры и действия, связанные со ссылками на нормальные процедуры использования данных и системы, сервисов и (или) сетевого резервирования, планами обеспечения непрерывности бизнеса;

_______________

              Если возможно, эти формы должны быть представлены в электронном виде (например, на защищенной веб-странице) и связаны с базой данных, хранящей электронную информацию о событиях/инцидентах ИБ. В настоящее время бумажная технология требовала бы слишком много времени и была бы неэффективной.

Форму заполняет лицо, принимающее сообщение (то есть не член группы менеджмента инцидентов ИБ).

Эта форма используется персоналом менеджмента инцидентов ИБ для пополнения первоначальной информацией о событии ИБ, текущего ведения записей оценок инцидента и пр. до полного разрешения инцидента. На каждой стадии в базу данных событий/инцидентов ИБ включаются обновления. Запись в базе данных, содержащая "заполненную" форму или сведения о событиях/инцидентах ИБ, далее используется в деятельности по разрешению инцидента.

- операционные процедуры для ГРИИБ с документированными обязанностями и распределением функций среди назначенных ответственных лиц для осуществления различных видов деятельности, например таких, как:

_______________

В небольших организациях одно и то же лицо может выполнять несколько функций.

- отключение атакованной системы, сервиса и (или) сети при определенных обстоятельствах по согласованию с соответствующим руководством ИТ и (или) бизнеса и в соответствии с предварительным соглашением;

- оставление атакованной системы, сервиса и (или) сети в работающем состоянии и подсоединенной к сети;

- ведение мониторинга потока входящих, выходящих или находящихся в атакованной системе, сервисе и (или) сети данных;

- активация нормальных дублирующих процедур и действий по планированию непрерывности бизнеса согласно политике безопасности системы, сервиса и (или) сети;

- ведение мониторинга и организация защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;

- передача подробностей об инциденте ИБ сотрудникам своей организации и сторонним лицам или организациям;

- тестирование функционирования системы менеджмента инцидентов ИБ, ее процессов и процедур (см. 7.3.5);

- обновление политик менеджмента и анализа рисков ИБ, корпоративной политики ИБ, специальных политик ИБ для систем, сервисов и (или) сетей для включения ссылок на менеджмент инцидентов ИБ и обеспечение регулярного пересмотра этих политик в контексте выходных данных системы менеджмента инцидентов ИБ (см. 7.4);

- создание ГРИИБ с соответствующей программой обучения ее персонала (см. 7.5);

- технические и другие средства поддержки системы менеджмента инцидентов безопасности ИБ (и деятельности ГРИИБ) (см. 7.6);

- проектирование и разработка программы обеспечения осведомленности о менеджменте инцидентов ИБ (см. 7.7), ознакомление с этой программой всего персонала организации (и повторное проведение ознакомления в дальнейшем в случае кадровых изменений).

В следующих подразделах приведено описание каждого вида этой деятельности, включая содержание каждого требуемого документа.