8.1. В организации БС РФ рекомендуется установить и выполнять процедуры анализа процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ. Выполнение указанных процедур рекомендуется осуществлять под общим руководством куратора ГРИИБ работникам службы ИБ организации БС РФ.
8.2. Выполнение процедур анализа следует осуществлять на основе:
- результатов проведения контроля за выполнением процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;
- анализа статистической отчетности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ;
- анализа записей об инцидентах ИБ, содержащих информацию о нарушениях ИБ, затронутых инцидентом ИБ информационных активах, АБС, степени тяжести последствий от обнаруженных инцидентов ИБ.
8.3. В результате анализа рекомендуется определять наиболее проблемные с точки зрения подверженности инцидентам ИБ сегменты и компоненты информационной инфраструктуры организации БС РФ, наиболее существенные уязвимости и недостатки в обеспечении ИБ, оценивать достаточность принятых мер и выделенных ресурсов для реагирования на инциденты ИБ.
Кроме того, рекомендуется анализировать наличие тенденций, которые могут указывать на потребности в совершенствовании СОИБ организации БС РФ.
8.4. Дополнительному анализу подлежат действия работников организации БС РФ, осуществляемые при реагировании на инциденты ИБ. Целью проведения анализа является формирование (инициирование) совершенствований в части:
- корректировки установленных регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;
- изменения состава ГРИИБ и корректировка состава лиц, привлекаемых к реагированию на инциденты ИБ;
- изменения требований к квалификации членов ГРИИБ;
- корректировки порядка взаимодействия лиц, осуществляющих реагирование на инциденты ИБ;
- корректировки порядка эксплуатации технических средств.
8.5. Результаты анализа обнаружения инцидентов ИБ и реагирования на инциденты ИБ целесообразно использовать в качестве основы для инициирования и реализации процесса проведения тактических и стратегических улучшений СОИБ организации БС РФ, требования к выполнению которого установлены СТО БР ИИБС-1.0.
8.6. Для определения направлений и способов улучшения процессов менеджмента инцидентов ИБ рекомендуется на основе анализа документов и отчетов по инцидентам ИБ провести анализ эффективности применяемых процедур обнаружения инцидентов ИБ и реагирования на инциденты ИБ, в частности:
- оценить адекватность применяемого состава регистрируемых событий ИБ и потребность в его корректировке;
- оценить адекватность используемого классификатора инцидентов ИБ и потребность в его корректировке;
- оценить эффективность используемых процедур мониторинга ИБ;
- оценить адекватность регламентов реагирования на инциденты ИБ.
8.7. При выработке предложений по совершенствованию процессов менеджмента инцидентов ИБ рекомендуется учитывать:
- доступные сведения о соответствующем опыте сторонних организаций;
- изменения в законодательстве РФ, требованиях нормативных актов Банка России, правил платежной системы, внутренних документов организации БС РФ.
8.8. В организации БС РФ рекомендуется установить процедуры информирования руководства организации БС РФ о результатах анализа процессов менеджмента инцидентов ИБ, а также о значимых инцидентах ИБ, оказывающих существенное негативное влияние на выполнение бизнес-процессов организации БС РФ.