— предоставлению данных о частоте возникновения идентифицированных типов угроз.
Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.
Обеспечение вклада в политику ИБ
Информация, предоставляемая схемой управления инцидентами ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.
Фазы управления инцидентами
Управление инцидентами ИБ состоит из 5 фаз:
1) планирование и подготовка;
2) обнаружение и оповещение;
3) оценка и принятие решения;
4) реагирования;
5) извлечение уроков.
Первая фаза включает предварительные действия по разработке и внедрению схемы управления инцидентами ИБ, а другие четыре фазы — оперативные действия по ее реализации и совершенствованию. Последовательность и краткое содержание этих фаз показано на рисунке.
1 фаза — планирование и подготовка
Эффективное управление инцидентами ИБ требует соответствующего планирования и подготовки. Для реализации эффективной схемы управления инцидентами и уязвимостями организация должна провести ряд предварительной действий после необходимого планирования.
Фаза подготовки включает в себя следующие первоначальные мероприятия:
— разработка политики управления инцидентами ИБ и утверждение ее руководством;
— интеграция управления инцидентами ИБ во все политики;
— разработка схемы управления инцидентами ИБ;
— тестирование схемы управления инцидентами ИБ, ее процессов и процедур.
Также фаза подготовки включает в себя следующие организационные мероприятия:
— создание группы реагирования на инциденты ИБ (далее — ГРИИБ);
— создание технической и другой поддержки (включая организационную и операционную);
— взаимодействие с внутренними и внешними организациями;
— обеспечение осведомленности и обучения персонала.
1.1. Разработка политики управления инцидентами ИБ и утверждение ее руководством
Организация должна оформить свою политику управления событиями, инцидентами и уязвимостями в виде свободно распространяемого документа как часть политики СУИБ (см. ISO/IEC 27001) или как часть политики ИБ (см. ISO/IEC 27002). Размер, структура, вид бизнеса организации и сфера ее программы управления инцидентами ИБ являются решающими факторами для определения, какие из этих факторов применить. Организация должна охватить политикой управления инцидентами ИБ каждого, кто имеет доступ к информационным системам и местам их размещения.
Этому должно предшествовать выявление уязвимостей ИБ организации, убеждение в необходимости управления инцидентами ИБ и осознание всех выгод от этого организации в целом и ее подразделений в отдельности.
Организация должна обеспечить документальное утверждение политики управления инцидентами ИБ высшим руководством. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена путем инструктажа и обучения.
Политика управления инцидентами ИБ должна включать в себя следующие вопросы:
1) важность управления инцидентами ИБ для организации и утверждение высшим руководством этого управления и его схемы;
2) общее представление об обнаружении события ИБ, оповещении о нем и сборе соответствующей информации и ее использования для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать и как обращаться с новыми событиями ИБ;
3) общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, оповещения об инцидентах и дальнейших действий ответственных лиц;
4) краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ;
5) ссылку на необходимость правильной регистрации всех действий по управлению инцидентами ИБ для дальнейшего анализа и непрерывного мониторинга для обеспечения безопасного хранения электронных свидетельств на случай их востребования для судебного разбирательства или внутреннего дисциплинарного расследования;