Наличие обратной связи, по которой поступает информация о том, как осуществляется менеджмент инцидентов ИБ, помогает сохранять нацеленность действий персонала на борьбу с реальными рисками для систем, сервисов и сетей организации. Эта важная обратная связь не может быть эффективно реализована через процесс реагирования на инциденты ИБ, поскольку инциденты ИБ происходят нерегулярно. Обратная связь может быть более результативной при наличии структурированной, хорошо продуманной системы менеджмента инцидентов ИБ, применяющей общую структуру для всех подразделений организации. Данная общая структура должна непрерывно обеспечивать получение от системы как можно более полных результатов и представлять собой надежную основу для быстрого определения возможных условий возникновения инцидента ИБ до его появления, а также выдавать соответствующие сигналы оповещения.
Менеджмент и аудит системы менеджмента ИБ обеспечивают основу доверия, необходимого для расширения совместной работы с персоналом и снижения недоверия в отношении сохранения анонимности, безопасности и доступности полезных результатов. Например, руководство и персонал организации должны быть уверены в том, что сигналы оповещения дадут своевременную, точную и полную информацию относительно ожидаемого инцидента.
При внедрении систем менеджмента инцидентов ИБ организациям следует избегать таких потенциальных проблем, как отсутствие положительных результатов и беспокойства по поводу вопросов, связанных с проблемами неприкосновенности персональных данных. Необходимо убедить заинтересованные стороны в том, что для предотвращения появления вышеупомянутых проблем были предприняты определенные шаги.
Таким образом, для построения оптимальной системы менеджмента инцидентов ИБ нужно рассмотреть ряд ключевых вопросов, включая:
- обязательства руководства;
- осведомленность;
- правовые и нормативные аспекты;
- эксплуатационную эффективность и качество;
- анонимность;
- конфиденциальность;
- независимость деятельности ГРИИБ;
- типологию.
Каждый из этих вопросов будет рассмотрен ниже.
5.2.1 Обязательства руководства
Для принятия структурного подхода к менеджменту инцидентов ИБ жизненно необходима постоянная поддержка со стороны руководства. Персонал организации должен распознавать инциденты ИБ и знать свои действия при их возникновении, а также осознавать большие преимущества структурного подхода для организации. Однако этого может быть недостаточно при отсутствии поддержки со стороны руководства. Необходимо донести до руководства, что организация должна выполнять обязательства по обеспечению ресурсами и поддержке способности реагирования на инциденты.
5.2.2 Осведомленность
Другой важной проблемой принятия структурного подхода к менеджменту инцидентов ИБ является осведомленность. Несмотря на потребность в пользователях для участия в работе организации, вряд ли можно рассчитывать на их эффективное участие в работе организации при отсутствии осведомленности о том, какую выгоду они и их подразделение получат от участия в структурном подходе к управлению инцидентами информационной безопасности.
Любая система менеджмента инцидентов ИБ должна сопровождаться документом с определением программы обеспечения осведомленности, включающим в себя:
- преимущества структурного подхода к менеджменту инцидентов ИБ как для организации, так и для ее персонала;
- информацию об инцидентах, хранящуюся в базе данных событий и (или) инцидентов ИБ, и выходные данные из нее;
- стратегию и механизмы для программы обеспечения осведомленности, которая в зависимости от типа организации может быть отдельной программой или частью более широкой программы осведомленности в вопросах ИБ.
5.2.3 Правовые и нормативные аспекты
В политике менеджмента инцидентов ИБ и соответствующей системе необходимо учитывать следующие правовые и нормативные аспекты менеджмента инцидентов ИБ.
Обеспечение адекватной защиты персональных данных и неприкосновенность персональной информации
В странах, где существует специальное законодательство, защищающее конфиденциальность и целостность данных, оно часто ограничено контролем за персональными данными. Поскольку инциденты ИБ обычно возникают в результате деятельности персонала или посторонних лиц, то может потребоваться соответствующая регистрация информации личного характера и управление ею. Следовательно, при структурном подходе к менеджменту инцидентов ИБ следует учитывать необходимость в соответствующей защите персональных данных, а также следующие условия:
- лица, имеющие доступ к персональным данным, не должны лично знать тех людей, информация о которых изучается;
- лица с доступом к личным данным должны подписать соглашение об их неразглашении до того, как получат доступ к ним;
- персональные данные должны использоваться исключительно для тех целей, для которых они были получены, то есть для расследования инцидентов ИБ.
Соответствующее хранение записей