ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности (Переиздание)

     7.2 Политика менеджмента инцидентов информационной безопасности

7.2.1 Назначение политики

Политика менеджмента инцидентов ИБ предназначена для всего персонала, имеющего авторизованный доступ к информационным системам организации и местам их расположения.

7.2.2 Лица, связанные с политикой менеджмента инцидентов информационной безопасности

Политика менеджмента инцидентов ИБ утверждается старшим должностным лицом организации с документально подтвержденными полномочиями, полученными от высшего руководства. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена через инструктаж и обучение с целью обеспечения их осведомленности в области ИБ (см. 7.7).

7.2.3 Содержание политики менеджмента инцидентов информационной безопасности

Политика менеджмента инцидентов ИБ должна включать в себя следующие вопросы:

- значимость менеджмента инцидентов ИБ для организации, а также обязательства высшего руководства относительно поддержки менеджмента и его системы;

- общее представление об обнаружении событий ИБ, оповещении о них и сборе соответствующей информации, а также о путях использования этой информации для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать, а также как обращаться с совершенно новыми событиями ИБ;

- общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, необходимые для выполнения действия, уведомления об инцидентах и дальнейшие действия ответственных лиц;

- краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ. Эти действия представляют:

- немедленное реагирование;

- правовую экспертизу;

- передачу информации соответствующему персоналу или сторонним организациям;

- проверку, находится ли инцидент ИБ под контролем;

- дальнейшее реагирование;

- объявление "кризисной ситуации";

- определение критериев усиления реагирования на инциденты ИБ;

- определение ответственного за инцидент лица;

- ссылку на необходимость правильной регистрации всех действий для дальнейшего и непрерывного мониторинга с целью обеспечения защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;

- действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентами ИБ;

- подробности места хранения документации о системе, включая процедуры хранения;

- общее представление о деятельности ГРИИБ, включающее в себя следующие вопросы:

- организационную структуру ГРИИБ и весь основной персонал группы, включая лиц, ответственных за:

- краткое информирование высшего руководства об инцидентах;

- проведение расследований и другие действия персонала группы после объявления "кризисной ситуации";

- связь со сторонними организациями (при необходимости);

- положение о менеджменте ИБ, область деятельности ГРИИБ и полномочия, в рамках которых она будет ее осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;

- формулировку целей ГРИИБ применительно к основной деятельности группы персонала. Для выполнения своих функций персонал должен участвовать в оценке инцидентов ИБ, реагировании на них и управлении ими, а также в их успешном разрешении. Для целей и назначения ГРИИБ требуется четкое и однозначное определение;