Необходимо иметь в виду, что не все процедуры являются общедоступными. Например, нежелательно, чтобы весь персонал организации знал подробности о работе ГРИИБ при взаимодействии с ней. ГРИИБ должна обеспечивать наличие общедоступного руководства, включая информацию, полученную из результатов анализа инцидентов ИБ, которая находится в легкодоступной форме, например во внутренней сети организации.

Более того, иногда нежелательно раскрывать некоторые детали схемы управления инцидентами ИБ, чтобы сотрудник организации не мог помешать процессу расследования. Например, если банковский служащий, присваивающий денежные средства, осведомлен о некоторых деталях схемы, то он может лучше скрывать свою деятельность от следствия или иным образом препятствовать обнаружению и расследованию инцидента ИБ и восстановлению после него.

Содержание оперативных процедур зависит от многих критериев, особенно связанных с характером уже известных потенциальных событий и инцидентов ИБ и типами задействованных активов ИС и их средой. Так, некая оперативная процедура может быть связана с определенным типом инцидентов или с типом продукции (например, межсетевые экраны, базы данных, ОС, приложения), или со специфической продукцией. В каждой оперативной процедуре должно быть четко определено, какие шаги необходимо предпринять и кем. Она должна отражать опыт, полученный как из внутренних, так и внешних источников (например государственные и коммерческие ГРИИБ, или аналогичные группы, а также поставщики).

Для обработки уже известных типов событий и инцидентов ИБ должны существовать оперативные процедуры. Необходимы также оперативные процедуры, которым надо следовать, если тип обнаруженного инцидента ИБ или события неизвестен.

В этом случае рассматривают следующие аспекты:

— процесс оповещения для обработки таких исключительных случаев;

— указания, определяющие время для получения одобрения реагирования на инцидент со стороны руководства с целью избежания задержки реагирования;

— предварительно одобренное делегирование принятия решения без обычного процесса одобрения.

Документируемые процедуры и действия необходимо приспособить к использованию форм регистрации, т. е. ассоциировать с определением события, инцидента и уязвимости ИБ, со ссылками на процедуры использования резервных копий данных и системы, сервисов и/или сетей и планов антикризисного управления.

Оперативные процедуры для ГРИИБ с документируемыми процессами и обозначенной ответственностью и распределением ролей соответствующих лиц для выполнения разных видов деятельности (одно лицо может играть более, чем одну роль в зависимости от размера, структуры и вида бизнеса организации) должны включать в себя:

— прекращение работы поврежденной системы, сервиса и/или сети в том случае, если это было заранее согласовано с управлением информационными технологиями и/или бизнесом;

— продолжение работы поврежденной системы, сервиса и/или сети (подключенной и действующей);

— мониторинг данных, получаемых на входе и выходе поврежденной системы, сервиса и/или сети;

— активацию процедур резервирования и кризисного управления и действий согласно политики ИБ (системы, сервиса и/или сети);

— безопасное хранение электронных доказательств для дальнейшего судебного разбирательства или дисциплинарного расследования;

— предоставление деталей инцидента ИБ сотрудникам организации и внешним организациям.

Доверие персонала

ГРИИБ играет очень важную роль для полной ИБ организации и требует привлечения всего организационного персонала к поиску, решению и расследованию инцидентов ИБ. Доверие каждого сотрудника, как своей организации, так и сторонних организаций, — это фундаментальное положение для ГРИИБ. Принятие анонимности применительно к сообщениям о уязвимости, событии и инциденте ИБ может быть полезно для формирования доверия.

Организация должна гарантировать, что схема управления инцидентами ИБ учитывает ситуации, когда важно обеспечить анонимность лица или организации, сообщающих о потенциальных инцидентах или уязвимостях ИБ при особых обстоятельствах. У каждой организации должны быть положения, в которых четко разъяснялись бы важность сохранения анонимности или ее отсутствия для лиц и организаций, сообщающих о потенциальном инциденте или уязвимости ИБ. ГРИИБ может потребоваться дополнительная информация, не сообщенная изначально информирующим об инциденте лицом или организацией. Более того, важная информация об инциденте ИБ может быть получена от первого обнаружившего его лица.