— материал для осведомленности и программы обучения по вопросам управления событиями, инцидентами и уязвимостями ИБ;

— процедуры и спецификации для тестирования схемы управления инцидентами ИБ;

— схема организационной структуры управления инцидентами ИБ;

— сферы полномочий и ответственности ГРИИБ в целом и ее членов в отдельности;

— важная контактная информация.

Для 2-й фазы — обнаружение и оповещение:

— обнаружение и оповещение о событиях ИБ (человеком или автоматическими средствами),

— сбор информации о событиях ИБ,

— обнаружение и оповещение об уязвимостях ИБ,

— полная запись всей собранной информации в базе данных уязвимости / инцидента / события ИБ.

Для 3-й фазы — оценка и принятие решения:

— проведение группой поддержки оценки события ИБ (включая, если потребуется, его детализацию), используя принятую шкалу классификации событий / инцидентов ИБ с определением возможности его классификации как инцидента ИБ,

— подтверждение ГРИИБ, является ли событие инцидентом ИБ, поэтому им нужно применять другую оценку, используя принятую шкалу классификации событий / инцидентов ИБ, чтобы подтвердить детали события (потенциального инцидента) и его влияния на ресурс (категоризация). Это нужно завершить решением о том, кто, как и с каким приоритетом обработает подтвержденный инцидент ИБ,

— оценка уязвимости ИБ (которая еще не создала события и потенциальный инцидент ИБ) с принятием решения о необходимости ее обработки, кто, как и в том, какой приоритет.

— полная запись всей информации в базе данных уязвимости / инцидента / события ИБ.

Для 4-й фазы — реагирования:

— отчет ГРИИБ для определения, находится ли инцидент ИБ под контролем, и:

• если инцидент под контролем, инициировать реагирование немедленно (в реальном времени) или позже,

• если инцидент не под контролем или возможно серьезное влияние на критические сервисы организации, инициировать кризисные действия вплоть до эскалации антикризисного управления;

— определение всех функций и организаций (внешних и внутренних), необходимых для схемы управления инцидентами;

— локализация и ликвидация инцидента ИБ путем смягчения или предотвращения расширения границ и степени воздействия инцидента;

— оповещение о существовании инцидента ИБ или любых связанных с этим деталей других внутренних и внешних лиц или организаций;

— документальное завершение и внесение записей об успешнм разрешении инцидента ИБ в базу данных уязвимостей / инцидентов / событий ИБ;

— проведение правового анализа, если потребуется;

— проверка правильности регистрации всей деятельности для дальнейшего анализа,

— сбор и сохранность результатов правовой экспертизы;

— поддержка режима контроля изменений и обновлений базы данных уязвимостей / инцидентов / событий ИБ;

— поиск взаимосвязей с уязвимостями ИБ.

В документации схемы управления инцидента ИБ предусматривается возможность как немедленного, так и более длительного реагирования на инциденты ИБ. Для всех инцидентов ИБ требуется своевременная оценка потенциальных негативных воздействий, как кратковременных, так и более длительных (например, крупномасштабное бедствие может произойти через некоторое время после первого инцидента ИБ). Более того, некоторые виды реагирования могут потребоваться для совершенно непредвиденных инцидентов ИБ, когда возникнет необходимость в специальных защитных мерах. Даже для этой ситуации организация должна включить в схемную документацию общее руководство по таким специальным защитным мерам.

Для 5-й фазы — извлечение уроков:

— идентификация уроков обработки инцидентов и уязвимостей ИБ;

— идентификация и внедрение улучшений средств защиты (новых и/или усовершенствованных) как в соответствии с политикой управления инцидентами ИБ, так и в результате полученных уроков;

— идентификация и внедрение улучшений оценки и управления рисками ИБ в результате полученных уроков;

— рассмотрение, насколько эффективны процессы, процедуры, форматы отчетов и/или организационная структура в оценке каждого инцидента ИБ и восстановлении после него и работе с уязвимостью ИБ, и на основании полученных уроков идентификация и внедрение улучшений схемы управления инцидента ИБ и ее документации;