ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности (Переиздание)

     7.3 Программа менеджмента инцидентов информационной безопасности

7.3.1 Назначение системы

Программа менеджмента инцидентов ИБ предназначена для создания подробной документации, описывающей процессы и процедуры обработки инцидентов ИБ и оповещения (информирования) об инцидентах ИБ. Программа менеджмента ИБ приводится в действие при обнаружении события ИБ. Она используется в качестве руководства при:

- реагировании на события ИБ;

- определении того, становятся ли события ИБ инцидентами ИБ;

- менеджменте инцидентов ИБ до их разрешения;

- идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений системы и (или) безопасности в целом;

- реализации идентифицированных улучшений.

7.3.2 Лица, связанные с программой менеджмента инцидентов информационной безопасности

Программа менеджмента инцидентов ИБ предназначена для всего персонала организации, включая лиц, ответственных за:

- обнаружение и оповещение о событиях ИБ. Эти лица могут быть служащими, работающими на постоянной основе или по контракту;

- оценку и реагирование на события ИБ и инциденты ИБ, которые участвуют в извлечении уроков на этапе разрешения инцидентов ИБ и в улучшениях ИБ и самой программы менеджмента инцидентов ИБ. Этими лицами являются члены группы обеспечения эксплуатации (или подобной группы), ГРИИБ, руководство организации, персонал отделов по связям с общественностью и юристы.

Следует также учитывать пользователей третьей стороны, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях, и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.

7.3.3 Содержание программы менеджмента инцидентов информационной безопасности

В содержание программы менеджмента инцидентов ИБ должны быть включены:

- обзор политики менеджмента инцидентов ИБ;

- общее представление о программе менеджмента инцидентов ИБ в целом;

- детальные процессы и процедуры,  информация о соответствующих сервисных программах и шкалах, связанных:

_______________

Организация может принимать решения о включении всех процедур в программу или подробном изложении в дополнительных документах всех или некоторых процедур.

для этапа "Планирование и подготовка":

- с обнаружением и оповещением о появлении событий ИБ (человеком или автоматическими средствами),

- со сбором информации о событиях ИБ,

- с проведением оценок событий ИБ (включая, если потребуется, их детализацию), используя принятую шкалу серьезности событий/инцидентов, и определением их способности к изменению своей категории на категорию инцидентов ИБ,

- для этапа "Использование" (в случае подтверждения инцидентов ИБ):

- с оповещением сотрудников своей организации и сторонних лиц или организаций о наличии инцидентов ИБ или любых важных деталях, касающихся инцидентов,

- с осуществлением немедленного реагирования, которое может включать в себя активизацию процедур восстановления и (или) передачу сообщений соответствующему персоналу согласно анализу и принятым степенями шкалы серьезности инцидентов,

- с проведением правовой экспертизы (при необходимости) по степеням шкалы серьезности инцидентов ИБ и изменением этих степеней,

- с определением наличия контроля над инцидентами ИБ,