ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности (Переиздание)

     7.6 Техническая и другая поддержка реагирования на инциденты информационной безопасности

Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы. Эти мероприятия включают в себя:

- доступ к деталям активов организации (предпочтительно иметь обновленный перечень активов) и информацию по их связям с бизнес-функциями;

- доступ к документированной стратегии обеспечения непрерывности бизнеса и соответствующим планам;

- документированные и опубликованные процессы передачи информации;

- использование электронной базы данных событий/инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (хотя общепризнанно, что иногда сделанные вручную записи также оказываются востребованными и используются организацией);

- адекватные меры по обеспечению непрерывности бизнеса для базы данных событий/инцидентов ИБ.

Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа содержания информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны содействовать:

- быстрому получению отчетов о событиях и инцидентах ИБ;

- уведомлению ранее отобранного персонала (соответствующих сторонних лиц) подходящими для этого средствами (например, через электронную почту, факс, телефон и т.д.), то есть запрашивая поддержку надежной контактной базы данных (которая должна быть всегда легкодоступной и должна включать в себя бумажные и другие копии) и средство передачи информации безопасным способом (при необходимости);

- соблюдению предосторожностей, соответствующих оцененным рискам, избежанию прослушивания электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;

- соблюдению предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;

- процессу сбора всех данных об информационной системе, сервисе и (или) сети и всех обрабатываемых данных;

- использованию криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и (или) сети и данные подверглись изменениям;

- упрощению архивирования и защиты собранной информации (например, применяя цифровые подписи в записях в журнале регистрации или другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);

- подготовке распечаток (например, журналов регистрации), демонстрирующих развитие инцидента ИБ, процесс разрешения инцидента и обеспечивающих сохранность информации;

- восстановлению штатного режима работы информационной системы, сервиса и (или) сети с помощью:

- оптимальных процедур резервирования,

- четких и надежных резервных копий,

- тестирования резервных копий,

- контроля вредоносных программ,

- исходных носителей информации с системным и прикладным программным обеспечением,

- надежных и обновленных исправлений ("патчей") для систем и приложений, согласованных с соответствующим планом обеспечения непрерывности бизнеса.

Атакованная информационная система, сервис и (или) сеть могут функционировать неверно. Поэтому работа технического средства (программного или аппаратного обеспечения), необходимого для реагирования на инцидент ИБ, не должна быть основана на системах, сервисах и (или) сетях, используемых в организации. По возможности, технические средства реагирования на инциденты должны быть полностью автономными.

Все технические средства должны быть тщательно отобраны, правильно внедрены и регулярно тестироваться (включая тестирование полученных резервных копий).

Следует заметить, что технические средства, описанные в настоящем подразделе, не включают в себя технические средства, используемые непосредственно для обнаружения инцидентов ИБ и вторжений и автоматического оповещения соответствующих лиц. Данные технические средства описаны в [1], [2].