Законодательная база Российской Федерации

"НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)

В данном разделе представлена информация:

- о преимуществах, получаемых от качественной системы менеджмента инцидентов ИБ;

- о ключевых вопросах, которые необходимо рассмотреть с целью убеждения в этих преимуществах высшего корпоративного руководства и персонала, предоставляющего отчеты в систему и получающего от нее информацию.

5.1 Преимущества

Любая организация, использующая структурный подход к менеджменту инцидентов ИБ, может извлечь из него значительные преимущества, которые можно объединить в следующие группы:

- улучшение ИБ;

- снижение негативных воздействий на бизнес, например, прерывание бизнеса и финансовые убытки как последствия инцидентов ИБ;

- усиление внимания к вопросам предотвращения инцидентов;

- усиление внимания к установлению приоритетов и сбору доказательств;

- вклад в обоснование бюджета и ресурсов;

- обновление результатов менеджмента и анализа рисков на более высоком уровне;

- предоставление материала для программ повышения осведомленности и обучения в области ИБ;

- предоставление входных данных для анализа политики ИБ и соответствующей документации.

Каждое из этих преимуществ рассматривается ниже.

5.1.1 Улучшение безопасности

Структурный процесс обнаружения, оповещения, оценки и менеджмента инцидентов и событий ИБ позволяет быстро идентифицировать любое событие или инцидент ИБ и реагировать на них, тем самым улучшая общую безопасность за счет быстрого определения и реализации правильного решения, а также обеспечивая средства предотвращения подобных инцидентов ИБ в будущем.

5.1.2 Снижение негативных воздействий на бизнес

Структурный подход к менеджменту инцидентов ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.

5.1.3 Усиление внимания к предотвращению инцидентов

Использование структурного подхода к менеджменту инцидентов ИБ может способствовать усилению внимания к предотвращению инцидентов внутри организации. Анализ данных, связанных с инцидентами, позволяет определить модели и тенденции появления инцидентов, тем самым способствуя усилению внимания к предотвращению инцидентов и, следовательно, определению соответствующих действий по предотвращению возникновения инцидентов.

5.1.4 Усиление внимания к системе установления приоритетов и свидетельств

Структурный подход к менеджменту инцидентов ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ.

При отсутствии четких процедур существует риск того, что расследования проводятся в непостоянном режиме, когда реагирование на инциденты осуществляется по мере их появления или как реакция на самое "громогласное" распоряжение соответствующего руководителя. Это может помешать проведению расследования в последовательности, соответствующей идеальному установлению приоритетов там, где оно действительно необходимо.

Четкие процедуры расследования инцидентов могут обеспечить правильность и правовую допустимость сбора данных и их обработки. Это имеет большое значение в случае инициирования судебного преследования или дисциплинарного разбирательства. Однако следует признать вероятность того, что действия, необходимые для восстановления после инцидента ИБ, могут подвергнуть риску целостность собранных свидетельств.

5.1.5 Бюджет и ресурсы

Хорошо продуманный структурный подход к менеджменту инцидентов ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система менеджмента инцидентов ИБ. Такие выгоды связаны со следующими условиями:

- использованием менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;

- обеспечением лучшего руководства действиями квалифицированного персонала;

- привлечением квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.

Кроме того, структурный подход к менеджменту инцидентов ИБ может включать в себя процедуру приостановки "отметки времени" с целью возможности выполнения "количественных" оценок обработки инцидентов ИБ в организации. Это делает возможным, например, предоставление информации о времени разрешения инцидентов с различными приоритетами на различных платформах. При наличии слабых мест в процессе менеджмента инцидентов ИБ эти слабые места также должны быть идентифицируемыми.

5.1.6 Менеджмент и анализ рисков ИБ

Использование структурного подхода к менеджменту инцидентов ИБ способствует:

- сбору более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;

- предоставлению данных о частоте возникновения идентифицированных типов угроз.

Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.

Вышеупомянутые данные значительно улучшат результаты анализа менеджмента и анализа рисков ИБ.

5.1.7 Осведомленность в вопросах ИБ

Структурный подход к менеджменту инцидентов ИБ предоставляет узконаправленную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта информация является источником реальных примеров, на которых можно показать, что инциденты ИБ действительно происходят именно в данной организации, а не где-либо еще. Таким образом можно продемонстрировать выгоды быстрого получения информации о решениях. Более того, подобная осведомленность в вопросах ИБ позволяет снизить вероятность ошибки, возникновения паники и (или) растерянности у людей в случае появления инцидента ИБ.

5.1.8 Входные данные для анализа политики ИБ

Информация, предоставляемая системой менеджмента инцидентов ИБ, может обеспечить ценные входные данные для анализа результативности и последующего улучшения политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.

5.2 Ключевые вопросы

Наличие обратной связи, по которой поступает информация о том, как осуществляется менеджмент инцидентов ИБ, помогает сохранять нацеленность действий персонала на борьбу с реальными рисками для систем, сервисов и сетей организации. Эта важная обратная связь не может быть эффективно реализована через процесс реагирования на инциденты ИБ, поскольку инциденты ИБ происходят нерегулярно. Обратная связь может быть более результативной при наличии структурированной, хорошо продуманной системы менеджмента инцидентов ИБ, применяющей общую структуру для всех подразделений организации. Данная общая структура должна непрерывно обеспечивать получение от системы как можно более полных результатов и представлять собой надежную основу для быстрого определения возможных условий возникновения инцидента ИБ до его появления, а также выдавать соответствующие сигналы оповещения.

Менеджмент и аудит системы менеджмента ИБ обеспечивают основу доверия, необходимого для расширения совместной работы с персоналом и снижения недоверия в отношении сохранения анонимности, безопасности и доступности полезных результатов. Например, руководство и персонал организации должны быть уверены в том, что сигналы оповещения дадут своевременную, точную и полную информацию относительно ожидаемого инцидента.

При внедрении систем менеджмента инцидентов ИБ организациям следует избегать таких потенциальных проблем, как отсутствие положительных результатов и беспокойства по поводу вопросов, связанных с проблемами неприкосновенности персональных данных. Необходимо убедить заинтересованные стороны в том, что для предотвращения появления вышеупомянутых проблем были предприняты определенные шаги.

Таким образом, для построения оптимальной системы менеджмента инцидентов ИБ нужно рассмотреть ряд ключевых вопросов, включая:

- обязательства руководства;

- осведомленность;

- правовые и нормативные аспекты;

- эксплуатационную эффективность и качество;

- анонимность;

- конфиденциальность;

- независимость деятельности ГРИИБ;

- типологию.

Каждый из этих вопросов будет рассмотрен ниже.

5.2.1 Обязательства руководства

Для принятия структурного подхода к менеджменту инцидентов ИБ жизненно необходима постоянная поддержка со стороны руководства. Персонал организации должен распознавать инциденты ИБ и знать свои действия при их возникновении, а также осознавать большие преимущества структурного подхода для организации. Однако этого может быть недостаточно при отсутствии поддержки со стороны руководства. Необходимо донести до руководства, что организация должна выполнять обязательства по обеспечению ресурсами и поддержке способности реагирования на инциденты.

5.2.2 Осведомленность

Другой важной проблемой принятия структурного подхода к менеджменту инцидентов ИБ является осведомленность. Несмотря на потребность в пользователях для участия в работе организации, вряд ли можно рассчитывать на их эффективное участие в работе организации при отсутствии осведомленности о том, какую выгоду они и их подразделение получат от участия в структурном подходе к управлению инцидентами информационной безопасности.

Любая система менеджмента инцидентов ИБ должна сопровождаться документом с определением программы обеспечения осведомленности, включающим в себя:

- преимущества структурного подхода к менеджменту инцидентов ИБ как для организации, так и для ее персонала;

- информацию об инцидентах, хранящуюся в базе данных событий и (или) инцидентов ИБ, и выходные данные из нее;

- стратегию и механизмы для программы обеспечения осведомленности, которая в зависимости от типа организации может быть отдельной программой или частью более широкой программы осведомленности в вопросах ИБ.

5.2.3 Правовые и нормативные аспекты

В политике менеджмента инцидентов ИБ и соответствующей системе необходимо учитывать следующие правовые и нормативные аспекты менеджмента инцидентов ИБ.

Обеспечение адекватной защиты персональных данных и неприкосновенность персональной информации

В странах, где существует специальное законодательство, защищающее конфиденциальность и целостность данных, оно часто ограничено контролем за персональными данными. Поскольку инциденты ИБ обычно возникают в результате деятельности персонала или посторонних лиц, то может потребоваться соответствующая регистрация информации личного характера и управление ею. Следовательно, при структурном подходе к менеджменту инцидентов ИБ следует учитывать необходимость в соответствующей защите персональных данных, а также следующие условия:

- лица, имеющие доступ к персональным данным, не должны лично знать тех людей, информация о которых изучается;

- лица с доступом к личным данным должны подписать соглашение об их неразглашении до того, как получат доступ к ним;

- персональные данные должны использоваться исключительно для тех целей, для которых они были получены, то есть для расследования инцидентов ИБ.

Соответствующее хранение записей

Некоторые федеральные законы Российской Федерации требуют от компаний ведения соответствующих записей своей деятельности для анализа в процессе ежегодного аудита организации. Такие же требования существуют для правительственных организаций. В некоторых странах от организаций требуется составление отчетов или создание архивов для правоохранительных органов (например, в случае совершения серьезного преступления или проникновения в правительственную систему, содержащую конфиденциальную информацию).

Наличие защитных мер для обеспечения выполнения коммерческих договорных обязательств

При наличии обязывающих требований по предоставлению услуг по менеджменту инцидентов ИБ (например требования ко времени реагирования) организация должна предусматривать обеспечение соответствующей ИБ в целях обеспечения выполнения этих обязательств при любых обстоятельствах (в связи с этим в случае заключения организацией контракта со сторонней организацией (см. 7.5.4), например КГБР, необходимо включение всех необходимых требований, наряду с временем реагирования, в контракт со сторонней организацией).

Правовые вопросы, связанные с политиками и процедурами

Необходима проверка политик и процедур, связанных с системой менеджмента инцидентов ИБ, на предмет наличия правовых и нормативных проблем, например, имеются ли уведомления о дисциплинарных взысканиях и (или) судебном преследовании сотрудников, виновных в создании инцидентов, так как в некоторых странах увольнение сотрудников является довольно сложным процессом.

Проверка на законность непризнания ответственности

Все заявления об ограничении ответственности за действия, предпринятые группой менеджмента инцидентов ИБ или внешним вспомогательным персоналом, должны быть проверены на законность.

Включение в контракты со сторонним персоналом всех необходимых аспектов

Контракты со сторонним вспомогательным персоналом, например КГБР, должны тщательно проверяться на предмет внесения в контракт ответственности за нарушение обязательств по неразглашению, доступности услуг и последствия неправильных консультаций.

Соглашения о неразглашении конфиденциальной информации

От членов группы менеджмента инцидентов ИБ может потребоваться подписание соглашения о неразглашении конфиденциальной информации как при устройстве на работу, так и при увольнении. В некоторых странах такие соглашения могут не иметь юридической силы; данный аспект необходимо подвергать проверке.

Исполнение требований правоприменяющих органов

Необходимо обеспечить ясность в вопросах, связанных с возможностью того, что правоприменяющие органы на законном основании могут затребовать информацию от системы менеджмента инцидентов ИБ. В некоторых случаях может потребоваться ясность о минимальном уровне, определяемом законом, на котором инциденты необходимо документировать, и о сроке хранения этой документации.

Ясность в вопросах ответственности

Необходимо уточнить вопросы потенциальной ответственности и необходимые соответствующие защитные меры. Ниже приведены примеры событий, имеющих отношение к возложению ответственности:

- если инцидент ИБ может повлиять на деятельность другой организации (например раскрытие совместно используемой информации), которая вовремя не оповещается и в результате несет ущерб;

- если в продукции обнаружена новая уязвимость без уведомления об этом поставщика, что привело к возникновению серьезного связанного с этой уязвимостью инцидента, в результате которого значительно пострадали одна или несколько организаций;

- если в какой-либо стране, где от организаций требуется информирование или создание архивов для правоохранительных органов в отношении всех случаев, которые могут быть связаны с тяжким преступлением или проникновением в правительственную систему, содержащую информацию ограниченного доступа или элементы критически важной национальной инфраструктуры, соответствующие требования не выполнены;

- если информация раскрыта и появилось указание на причастность некоторого лица или организации к атаке на информационные ресурсы организации. Этот факт может нанести ущерб репутации и бизнесу конкретных лиц или организации;

- если раскрыта информация, что в определенном элементе программного обеспечения произошел сбой, но впоследствии эта информация оказалась ложной.

Специальные нормативные требования

Об инцидентах ИБ следует информировать соответствующий контрольный орган, если это предусмотрено специальными и нормативными требованиями, например, как это предусмотрено в атомной промышленности.

Судебные преследования или внутренние дисциплинарные разбирательства

Для успешного судебного преследования или проведения дисциплинарных разбирательств внутри организации в отношении злоумышленников, независимо от того, были ли эти атаки техническими или физическими, необходимо применять соответствующие меры защиты ИБ, включая доказуемо защищенные от внесения изменений журналы аудита. Для обеспечения успешного судебного преследования или проведения дисциплинарных разбирательств внутри организации в отношении злоумышленников, независимо от того, были ли эти атаки техническими или физическими, необходимо собрать свидетельства для федеральных судов или других административных органов. Необходимо показать, что:

- документация не подвергалась искажениям и является полной;

- копии электронного свидетельства доказуемо идентичны оригиналам;

- все системы ИТ, от которых были получены свидетельства, во время регистрации работали в штатном режиме.

Правовые аспекты, связанные с методами мониторинга

Последствия использования методов мониторинга должны быть рассмотрены в контексте национального законодательства. Законность различных методов может меняться в зависимости от страны. Например, в некоторых странах необходимо информировать людей о ведении мониторинга, в том числе методами наблюдения. Необходимо учесть несколько факторов, определяющих, кто (что) подвергается мониторингу, каким образом они (оно) подвергаются мониторингу и когда проводится мониторинг. Необходимо также отметить, что мониторинг/наблюдение в контексте систем обнаружения вторжений (СОВ) специально рассматривается в [3].

Подготовка правил пользования информационными ресурсами и ознакомление с ними

Порядок использования информационных систем и ресурсов в организации должен быть определен, документирован и доведен до сведения всего предполагаемого персонала (например, персонал необходимо проинформировать о допустимой политике использования и потребовать письменное подтверждение понимания и принятия ими этой политики при устройстве на работу в организацию или получении доступа к информационным системам).

5.2.4 Эффективность эксплуатации и качество

Эффективность эксплуатации и качество структурного подхода к менеджменту инцидентов ИБ зависит от ряда факторов, включающих в себя обязательность уведомления об инцидентах, качество уведомления, простоту использования, быстродействие и обучение. Некоторые из этих факторов связаны с обеспечением осведомленности пользователей о важности менеджмента инцидентов ИБ и их мотивированностью сообщать об инцидентах. Что касается быстродействия, то время, используемое на сообщение об инциденте ИБ, - не единственный фактор, важно также учитывать время, необходимое для обработки данных и распространения обработанной информации (особенно в случае с сигналами аварийности).

Для минимизации задержек соответствующие программы обеспечения осведомленности и обучения пользователей должны дополняться поддержкой по "горячей линии", которая обеспечивается персоналом, осуществляющим менеджмент инцидентов ИБ.

5.2.5 Анонимность

Вопрос обеспечения анонимности является основополагающим для успеха менеджмента инцидентов ИБ. Пользователи должны быть уверены, что информация об инцидентах ИБ, которую они сообщают, полностью защищена, а при необходимости обезличена, с тем чтобы ее невозможно было связать с их организацией или ее подразделением без их согласия.

Система менеджмента инцидентов ИБ должна учитывать ситуации, когда важно обеспечить анонимность лица или организации, сообщающих о потенциальных инцидентах ИБ при особых обстоятельствах.

У каждой организации должны быть положения, в которых четко разъяснялись бы важность сохранения анонимности или ее отсутствия для лиц и организаций, сообщающих о потенциальном инциденте ИБ. ГРИИБ может потребоваться дополнительная информация, не сообщенная изначально информирующим об инциденте лицом или организацией. Более того, важная информация об инциденте ИБ может быть получена от первого обнаружившего его лица.

5.2.6 Конфиденциальность

В системе менеджмента инцидентов ИБ может содержаться конфиденциальная информация, и лицам, занимающимся инцидентами, может потребоваться доступ к ней. Поэтому во время обработки необходимо обеспечивать анонимность этой информации, или персонал должен подписать соглашение о конфиденциальности (неразглашении) при получении доступа к ней. Если события ИБ регистрируют через общую систему менеджмента проблем, то конфиденциальные подробности, возможно, придется опустить.

Кроме того, система менеджмента инцидентов ИБ должна обеспечивать контроль за передачей сообщений об инцидентах сторонними организациями, включая СМИ, партнеров по бизнесу, потребителей, регулирующие организации и общественность.

5.2.7 Независимость деятельности группы реагирования на инциденты информационной безопасности

Группа менеджмента инцидентов ИБ должна быть способна эффективно удовлетворять функциональные, финансовые, правовые и политические потребности конкретной организации и быть в состоянии соблюдать осторожность при управлении инцидентами ИБ. Деятельность группы менеджмента инцидентов ИБ должна также подвергаться независимому аудиту с целью проверки эффективности ее функционирования. Эффективным способом реализации независимости контроля является отделение цепочки сообщений о реагировании на инцидент ИБ от общего оперативного руководства и возложение на вышестоящего руководителя непосредственных обязанностей по управлению реагированием на инциденты.

Финансирование работы группы, во избежание чрезмерного влияния на нее со стороны, также должно быть отдельным.

5.2.8 Типология

Общая типология, отражающая структуру подхода к менеджменту инцидентов ИБ, является одним из ключевых факторов обеспечения последовательных надежных результатов. Типология <*>, наряду с общепринятыми метриками и стандартной структурой баз данных, обеспечивает возможность сравнивать результаты, улучшать предупреждающую информацию и получать более точное представление об угрозах для информационных систем и их уязвимостях.