Выбрать главу

— технологическое отслеживание новых видов угроз и атак;

— управление уязвимостями (включая безопасное обновление и исправление уязвимых систем);

— логи аудита и ПО их мониторинга.

Эти механизмы должны содержать документированные ответственности и оперативные процедуры действий группы поддержки.

1.6. Осведомленность и обучение персонала

Весь персонал должен пройти обязательное обучение и все виды инструктажей, чтобы быть осведомленным о функционировании схемы управления инцидентами ИБ, ее выгодах и как обнаруживать, анализировать, оценивать события, инциденты и уязвимости ИБ и реагировать на них. Обучение и инструктаж должны повторяться после каждого изменения в составе персонала.

Осведомленность и обучение всего персонала организации очень важны для обеспечения успеха структурного подхода к управлению инцидентами ИБ. Оперативная эффективность и качество структурного подхода к управлению инцидентами ИБ основана на таких факторах, как обязательное сообщение об инциденте, качество сообщения, легкость использования, скорость передачи и тренинги. Организация должна гарантировать, что роль управления инцидентами ИБ должна активно поддерживаться как часть общей программы обучения и обеспечения осведомленности в вопросах ИБ.

Программа обеспечения осведомленности и соответствующий материал должны быть доступны для всего персонала, включая новых служащих, пользователей сторонних организаций и подрядчиков. Должна существовать специальная программа обучения для группы поддержки, членов ГРИИБ, а при необходимости — для персонала, ответственного за ИБ, и специальных администраторов. Каждой группе, непосредственно участвующей в управлении инцидентами, могут потребоваться различные уровни подготовки, зависящие от типа, частоты и значимости их взаимодействия со схемой управления инцидентами ИБ.

Инструктажи по обеспечению осведомленности должны содержать:

— преимущества, полученные в результате структурного подхода к управлению инцидентами ИБ, как организацией, так и ее персоналом;

— основы работы схемы управления инцидентами ИБ, включая сферу ее действия и технологию работ по управлению событиями, инцидентами и уязвимостями ИБ;

— способы оповещения о событиях, инцидентах и уязвимостях ИБ,

— внесение информации об инциденте в базу данных событий, инцидентов и уязвимостей ИБ,

— обеспечение конфиденциальности источников (при необходимости);

— соглашения об уровнях сервиса схемы;

— уведомление о результатах — на каких условиях будут информированы источники;

— любые ограничения, налагаемые соглашениями о неразглашении;

— полномочия организации по управлению инцидентами ИБ и ее линия оповещения;

— кто и как получает сообщения от схемы управления инцидентами ИБ.

В некоторых случаях желательно специально включать подробности обеспечения осведомленности об управлении инцидентами ИБ в другие программы обучения (например, в программы ориентирования персонала или в общие корпоративные программы обеспечения осведомленности в вопросах ИБ). Этот подход к обеспечению осведомленности может предоставить ценную информацию, связанную с определенными группами сотрудников, и может улучшить эффективность и результативность программы обучения.

До ввода в действие схемы управления инцидентами ИБ весь персонал должен быть ознакомлен с процедурами обнаружения и оповещения о событиях ИБ, а специальный персонал — с процедурами последующих процессов.

После ввода схемы в действие необходимо проводить регулярные инструктажи по ИБ для всего персонала и курсы специальной подготовки персонала, ответственного за ИБ. Подготовка должна включать специальные упражнения и тестирование членов группы поддержки и ГРИИБ, а также персонала, ответственного за ИБ.

Кроме того, осведомленность и учебные программы нужно дополнить созданием и поддержкой «горячей линии» персонала управления инцидентами ИБ для того, чтобы минимизировать задержки в сообщении и обработке событий, инцидентов и уязвимостей ИБ.

1.7. Тестирование схемы управления инцидентами ИБ

Организация должна планировать регулярные проверки и тестирование процессов и процедур управления инцидентами ИБ для выявления потенциальных недостатков и проблем, которые могут появиться в течение этого управления.

Испытания должны проводиться периодически, чтобы не только проверить схему в реальной ситуации, но и проверить, как ГРИИБ ведет себя под влиянием сложного инцидента, моделируя реалные атаки, отказы или дефекты. Специфическое внимание нужно уделить созданию сценариев, основаных на реальных угрозах ИБ. Испытания должны включить не только ГРИИБ, но и все подразделения организации и внешние организации, которые задействованы в управлении инцидентами ИБ.