6) действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентом ИБ;
7) общее представление об оповещении и обработке уязвимостей ИБ;
8) подробности места хранения документации схемы, включая процедуры хранения;
9) общее представление о деятельности ГРИИБ, включающее следующие вопросы:
— организационную структуру ГРИИБ и весь основной ее персонал, включая лиц, ответственных за:
• информирование высшего руководства об инцидентах,
• работу с запросами и следующие за этим действия, и
• связь со сторонними организациями (при необходимости);
— положение об управлении ИБ, конкретизирующее полномочия ГРИИБ, в рамках которых она будет его осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;
— формулировку целей ГРИИБ применительно к основной ее деятельности. Для выполнения своих функций персонал должен участвовать в оценке, реагировании и управлении инцидентами ИБ для их успешного разрешения. Цели и предназначение ГРИИБ очень важны и требуют четкого и однозначного определения;
— определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все ИС, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;
— идентификация учредителя ГРИИБ — старшего должностного лица, который санкционирует действия ГРИИБ и устанавливает уровни ее полномочий. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является важной информацией для формирования доверия к ней;
— взаимосвязи с организациями, обеспечивающими специализированную внешнюю поддержку, как например, группы правовой экспертизы;
9) общее представление о техническом и других механизмах поддержки;
10) общее представление о программе обеспечения осведомленности и обучения управлению инцидентами ИБ;
11) перечень правовых и нормативных аспектов, предполагаемых к рассмотрению.
1.2. Интеграция управления инцидентами ИБ во все политики
Организация должна включить содержание управления инцидентами ИБ в содержание политики ИБ и политики управления рисками и описать это содержание в политике управления инцидентами. Интеграцию всех политик необходимо осуществить как на корпоративном уровне, так и на системном, сервисном и сетевом уровнях.
Интеграция всех политик ИБ должна быть нацелена на следующее:
— описание важности управления инцидентами ИБ, особенно схемы оповещения и обработки инцидентов ИБ;
— указание ответственности руководства за надлежащую подготовку к инцидентам ИБ и реагирования на них, т. е. схему управления инцидентами ИБ;
— обеспечение согласованности разных политик;
— обеспечение планового, систематического и спокойного реагирования на инцидент ИБ для минимизации его негативного влияния.
Организация должна поддерживать и обновлять корпоративные политики ИБ и управления рисками, а также специальные политики ИБ систем, сервисов или сетей. Эти политики должны иметь четкие ссылки на корпоративную политику управления инцидентами ИБ и соответствующую ему схему.
Политики должна содержать следующие разделы:
— обязательства руководства по отношению к ней;
— описание политики;
— описание схемных процессов и соответствующей инфраструктуры;
— требования по обнаружению, оповещению, оценке и управлению событиями, инцидентами и уязвимостями ИБ;
— четкое определение персонала, ответственного за авторизацию и/или проведение определенных критических действий (например, перевод системы в режим внешней недоступности или даже ее отключение).
Политики должны содержать требование о создании соответствующих механизмов проверки. Эти механизмы должны обеспечить уверенность в том, что информация, полученная в результате обнаружения, мониторинга и разрешения инцидентов ИБ и рассмотрения известных уязвимостей ИБ, используется в качестве входных данных для обеспечения эффективности корпоративных политик ИБ и управления рисками и специальных политик ИБ для систем, сервисов и сетей.