"НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)

7 Этап "Планирование и подготовка"

Этап "Планирование и подготовка" менеджмента инцидентов ИБ включает в себя:

- документирование политики обработки сообщений о событиях и инцидентах ИБ и системе, соответствующей этой политике (включая родственные процедуры);

- создание подходящей структуры менеджмента инцидентов ИБ в организации и подбор соответствующего персонала;

- создание программы обучения и проведения инструктажа с целью обеспечения осведомленности о менеджменте инцидентов.

После завершения этого этапа организация должна быть полностью готова к надлежащей обработке инцидентов ИБ.

7.1 Общее представление о менеджменте инцидентов информационной безопасности

Для результативного и эффективного ввода менеджмента инцидентов ИБ в эксплуатацию после необходимого планирования следует выполнить ряд подготовительных действий. Эти подготовительные действия включают в себя:

- формулирование и разработку политики менеджмента инцидентов ИБ, а также получение от высшего руководства утверждения этой политики (см. 7.2);

- разработку и документирование подробной системы менеджмента инцидентов ИБ (см. 7.3).

Документация системы менеджмента инцидентов ИБ должна содержать следующие элементы:

- шкалу серьезности для классификации инцидентов ИБ. Как указано в 4.2.1, такая шкала может состоять, например, из двух положений: "значительные" и "незначительные". В любом случае положение шкалы основано на фактическом или предполагаемом ущербе для бизнес-операций организации;

- формы докладов <*> о событиях <**> и инцидентах <***> ИБ (примеры форм приведены в приложении А), соответствующие документированные процедуры и действия, связанные со ссылками на нормальные процедуры использования данных и системы, сервисов и (или) сетевого резервирования, планами обеспечения непрерывности бизнеса;

---

<*> Если возможно, эти формы должны быть представлены в электронном виде (например, на защищенной веб-странице) и связаны с базой данных, хранящей электронную информацию о событиях/инцидентах ИБ. В настоящее время бумажная технология требовала бы слишком много времени и была бы неэффективной.

<**> Форму заполняет лицо, принимающее сообщение (то есть не член группы менеджмента инцидентов ИБ).

<***> Эта форма используется персоналом менеджмента инцидентов ИБ для пополнения первоначальной информацией о событии ИБ, текущего ведения записей оценок инцидента и пр. до полного разрешения инцидента. На каждой стадии в базу данных событий/инцидентов ИБ включаются обновления. Запись в базе данных, содержащая "заполненную" форму или сведения о событиях/инцидентах ИБ, далее используется в деятельности по разрешению инцидента.

- операционные процедуры для ГРИИБ с документированными обязанностями и распределением функций среди назначенных ответственных лиц <*> для осуществления различных видов деятельности, например таких, как:

---

<*> В небольших организациях одно и то же лицо может выполнять несколько функций.

- отключение атакованной системы, сервиса и (или) сети при определенных обстоятельствах по согласованию с соответствующим руководством ИТ и (или) бизнеса и в соответствии с предварительным соглашением;

- оставление атакованной системы, сервиса и (или) сети в работающем состоянии и подсоединенной к сети;

- ведение мониторинга потока входящих, выходящих или находящихся в атакованной системе, сервисе и (или) сети данных;

- активация нормальных дублирующих процедур и действий по планированию непрерывности бизнеса согласно политике безопасности системы, сервиса и (или) сети;

- ведение мониторинга и организация защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;

- передача подробностей об инциденте ИБ сотрудникам своей организации и сторонним лицам или организациям;

- тестирование функционирования системы менеджмента инцидентов ИБ, ее процессов и процедур (см. 7.3.5);

- обновление политик менеджмента и анализа рисков ИБ, корпоративной политики ИБ, специальных политик ИБ для систем, сервисов и (или) сетей для включения ссылок на менеджмент инцидентов ИБ и обеспечение регулярного пересмотра этих политик в контексте выходных данных системы менеджмента инцидентов ИБ (см. 7.4);

- создание ГРИИБ с соответствующей программой обучения ее персонала (см. 7.5);

- технические и другие средства поддержки системы менеджмента инцидентов безопасности ИБ (и деятельности ГРИИБ) (см. 7.6);

- проектирование и разработка программы обеспечения осведомленности о менеджменте инцидентов ИБ (см. 7.7), ознакомление с этой программой всего персонала организации (и повторное проведение ознакомления в дальнейшем в случае кадровых изменений).

В следующих подразделах приведено описание каждого вида этой деятельности, включая содержание каждого требуемого документа.

7.2 Политика менеджмента инцидентов информационной безопасности

7.2.1 Назначение политики

Политика менеджмента инцидентов ИБ предназначена для всего персонала, имеющего авторизованный доступ к информационным системам организации и местам их расположения.

7.2.2 Лица, связанные с политикой менеджмента инцидентов информационной безопасности

Политика менеджмента инцидентов ИБ утверждается старшим должностным лицом организации с документально подтвержденными полномочиями, полученными от высшего руководства. Политика должна быть доступна для каждого сотрудника и подрядчика и доведена через инструктаж и обучение с целью обеспечения их осведомленности в области ИБ (см. 7.7).

7.2.3 Содержание политики менеджмента инцидентов информационной безопасности

Политика менеджмента инцидентов ИБ должна включать в себя следующие вопросы:

- значимость менеджмента инцидентов ИБ для организации, а также обязательства высшего руководства относительно поддержки менеджмента и его системы;

- общее представление об обнаружении событий ИБ, оповещении о них и сборе соответствующей информации, а также о путях использования этой информации для определения инцидентов ИБ. Это общее представление должно содержать перечень возможных событий ИБ, а также информацию о том, как сообщать о ней, что, где и кому сообщать, а также как обращаться с совершенно новыми событиями ИБ;

- общее представление об оценке инцидентов ИБ, включая перечень ответственных лиц, необходимые для выполнения действия, уведомления об инцидентах и дальнейшие действия ответственных лиц;

- краткое изложение действий после подтверждения того, что событие ИБ является инцидентом ИБ. Эти действия представляют:

- немедленное реагирование;

- правовую экспертизу;

- передачу информации соответствующему персоналу или сторонним организациям;

- проверку, находится ли инцидент ИБ под контролем;

- дальнейшее реагирование;

- объявление "кризисной ситуации";

- определение критериев усиления реагирования на инциденты ИБ;

- определение ответственного за инцидент лица;

- ссылку на необходимость правильной регистрации всех действий для дальнейшего и непрерывного мониторинга с целью обеспечения защищенного хранения свидетельств в электронном виде на случай их востребования для судебного разбирательства или дисциплинарного расследования внутри организации;

- действия, следующие за разрешением инцидента ИБ, включая извлечение урока из инцидента и улучшение процесса, следующего за инцидентами ИБ;

- подробности места хранения документации о системе, включая процедуры хранения;

- общее представление о деятельности ГРИИБ, включающее в себя следующие вопросы:

- организационную структуру ГРИИБ и весь основной персонал группы, включая лиц, ответственных за:

- краткое информирование высшего руководства об инцидентах;

- проведение расследований и другие действия персонала группы после объявления "кризисной ситуации";

- связь со сторонними организациями (при необходимости);

- положение о менеджменте ИБ, область деятельности ГРИИБ и полномочия, в рамках которых она будет ее осуществлять. Это положение должно включать в себя, как минимум, формулировку целевого назначения, определение области деятельности ГРИИБ и подробности об учредителе ГРИИБ и его полномочиях;

- формулировку целей ГРИИБ применительно к основной деятельности группы персонала. Для выполнения своих функций персонал должен участвовать в оценке инцидентов ИБ, реагировании на них и управлении ими, а также в их успешном разрешении. Для целей и назначения ГРИИБ требуется четкое и однозначное определение;

- определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации входят все информационные системы, сервисы и сети организации. В некоторых случаях для организации может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документировать, что входит и что не входит в сферу ее деятельности;

- личность учредителя ГРИИБ - старшего должностного лица (член правления, старший руководитель), который санкционирует действия ГРИИБ и устанавливает уровни полномочий, переданных ГРИИБ. Осведомленность об этом поможет всему персоналу организации понять предпосылки создания и структуру ГРИИБ, что является крайне важной информацией для формирования доверия к ГРИИБ. Следует отметить, что перед обнародованием подробностей о создании и структуре ГРИИБ необходимо проверить законность этого действия. В некоторых обстоятельствах раскрытие полномочий группы персонала может послужить причиной предъявления ей претензий по нарушению обязательств;

- общее представление о программе обеспечения осведомленности и обучения менеджменту инцидентов ИБ;

- перечень правовых и нормативных аспектов, предполагаемых к рассмотрению (см. 5.2.3).

7.3 Программа менеджмента инцидентов информационной безопасности

7.3.1 Назначение системы

Программа менеджмента инцидентов ИБ предназначена для создания подробной документации, описывающей процессы и процедуры обработки инцидентов ИБ и оповещения (информирования) об инцидентах ИБ. Программа менеджмента ИБ приводится в действие при обнаружении события ИБ. Она используется в качестве руководства при:

- реагировании на события ИБ;

- определении того, становятся ли события ИБ инцидентами ИБ;

- менеджменте инцидентов ИБ до их разрешения;

- идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений системы и (или) безопасности в целом;

- реализации идентифицированных улучшений.

7.3.2 Лица, связанные с программой менеджмента инцидентов информационной безопасности

Программа менеджмента инцидентов ИБ предназначена для всего персонала организации, включая лиц, ответственных за:

- обнаружение и оповещение о событиях ИБ. Эти лица могут быть служащими, работающими на постоянной основе или по контракту;

- оценку и реагирование на события ИБ и инциденты ИБ, которые участвуют в извлечении уроков на этапе разрешения инцидентов ИБ и в улучшениях ИБ и самой программы менеджмента инцидентов ИБ. Этими лицами являются члены группы обеспечения эксплуатации (или подобной группы), ГРИИБ, руководство организации, персонал отделов по связям с общественностью и юристы.

Следует также учитывать пользователей третьей стороны, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях, и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.

7.3.3 Содержание программы менеджмента инцидентов информационной безопасности

В содержание программы менеджмента инцидентов ИБ должны быть включены:

- обзор политики менеджмента инцидентов ИБ;

- общее представление о программе менеджмента инцидентов ИБ в целом;

- детальные процессы и процедуры <*>, информация о соответствующих сервисных программах и шкалах, связанных:

---

<*> Организация может принимать решения о включении всех процедур в программу или подробном изложении в дополнительных документах всех или некоторых процедур.

для этапа "Планирование и подготовка":

с обнаружением и оповещением о появлении событий ИБ (человеком или автоматическими средствами), со сбором информации о событиях ИБ, с проведением оценок событий ИБ (включая, если потребуется, их детализацию), используя принятую шкалу серьезности событий/инцидентов, и определением их способности к изменению своей категории на категорию инцидентов ИБ,

для этапа "Использование" (в случае подтверждения инцидентов ИБ):

с оповещением сотрудников своей организации и сторонних лиц или организаций о наличии инцидентов ИБ или любых важных деталях, касающихся инцидентов,

с осуществлением немедленного реагирования, которое может включать в себя активизацию процедур восстановления и (или) передачу сообщений соответствующему персоналу согласно анализу и принятым степенями шкалы серьезности инцидентов,

с проведением правовой экспертизы (при необходимости) по степеням шкалы серьезности инцидентов ИБ и изменением этих степеней,

с определением наличия контроля над инцидентами ИБ,

с созданием дополнительных реагирований (если требуется), включая те, которые могут потребоваться гораздо позднее (например, при устранении последствий какого-либо бедствия),

в случае отсутствия контроля над инцидентами ИБ с инициированием антикризисных действий (например, вызов пожарной команды или активизация плана обеспечения непрерывности бизнеса),

с детализацией дальнейшей оценки и (или), если потребуется, дальнейших решений,

с проверкой правильности регистрации всей деятельности для дальнейшего анализа,

с обновлением базы данных событий/инцидентов ИБ.

В программе менеджмента инцидентов ИБ предусматривается возможность как немедленного, так и более длительного реагирования на инциденты ИБ. Для всех инцидентов ИБ требуется своевременная оценка потенциальных негативных воздействий, как кратковременных, так и более длительных (например, крупномасштабное бедствие может произойти через некоторое время после первого инцидента ИБ). Более того, некоторые виды реагирования могут потребоваться для совершенно непредвиденных инцидентов ИБ, когда возникнет необходимость в специальных защитных мерах. Даже в такой ситуации в документации программы должны содержаться общие рекомендации по действиям, которые могут стать необходимыми:

- для этапа "Анализ":

с проведением, если потребуется, дальнейшей правовой экспертизы,

с идентификацией и документированием опыта, извлеченного из инцидентов ИБ,

с определением и анализом улучшений ИБ на основе полученного опыта,

с анализом эффективности процессов и процедур реагирования на инциденты ИБ, оценкой инцидентов ИБ и восстановления после каждого из них, а также определением улучшений программы менеджмента инцидентов ИБ в целом (на основе полученного опыта),

с обновлением базы данных событий/инцидентов ИБ;

- для этапа "Улучшение" - уточнение на основе полученного опыта:

с результатами анализа и менеджмента рисков ИБ,

с программой менеджмента инцидентов ИБ (например, процессами и процедурами, формой оповещения и (или) структурой организации),

с общей безопасностью внедрения новых и (или) улучшенных защитных мер,

с градацией шкалы серьезности событий/инцидентов (например, значительный, незначительный; существенный, экстренный, незначительный, неэкстренный) и соответствующими руководствами,

с руководством для решения о необходимости интенсификации каждого процесса, для кого должна проводиться интенсификация и в соответствии с какими процедурами. Персонал, оценивающий событие или инцидент ИБ, должен знать, основываясь на руководствах из документации программы менеджмента инцидентов ИБ, когда при нормальных обстоятельствах необходимо переходить к интенсификации процессов и для кого. Кроме того, возможно возникновение непредвиденных обстоятельств, когда интенсификация процессов может стать необходимой. Например, незначительный инцидент ИБ может перейти в категорию "существенный" или в "кризисную ситуацию" в случае его неправильной обработки, или незначительный инцидент ИБ, не обработанный в течение недели, может стать "значительным " инцидентом ИБ. В руководстве должны определяться типы событий и инцидентов ИБ, типы интенсификации процессов и лица, которые могут ее проводить,

с необходимыми процедурами для надлежащей регистрации всех действий в соответствующей форме и проведением анализа журнала регистрации назначенным персоналом,

с процедурами и механизмами поддержания режима контроля изменений, который включает в себя прослеживание событий и инцидентов ИБ, обновление отчета об инцидентах ИБ и обновление самой программы,

с процедурами правовой экспертизы,

с процедурами и руководством по использованию систем обнаружения вторжений (СОВ), обеспечивающими соблюдение связанных с ними правовых и нормативных аспектов (см. 5.2.3). Руководство должно включать в себя рассмотрение преимуществ и недостатков действий по наблюдению за злоумышленником.

Дополнительная информация по системам обнаружения вторжений (СОВ) содержится в ИСО/МЭК ТО 15947 [2] и ИСО/МЭК ТО 18043 [3],

со структурой организации программы,

с компетенцией и обязанностями членов ГРИИБ в целом и ее отдельных членов,

с важной информацией о контактах группы.

7.3.4 Процедуры

Перед тем как приступить к работе с программой менеджмента инцидентов ИБ, необходимо иметь в наличии документированные и проверенные процедуры. В документации по каждой процедуре должны указываться лица из группы эксплуатационной поддержки и (или) из ГРИИБ, ответственные за использование и менеджмент этой процедуры. Такие процедуры должны включать в себя процедуры сбора и защищенного хранения электронных свидетельств, которые должны непрерывно контролироваться на случай судебного разбирательства или дисциплинарного расследования внутри организации.

Более того, должны существовать документированные процедуры, включающие в себя не только действия группы эксплуатационной поддержки и ГРИИБ, но и процедуры, задействованные в правовой экспертизе и "антикризисной" деятельности, если они не задействованы где-либо еще, например, в плане обеспечения непрерывности бизнеса. Очевидно, что эти документированные процедуры должны полностью соответствовать документированной политике менеджмента инцидентов ИБ и другой документации программы менеджмента инцидентов ИБ.

Необходимо иметь в виду, что не все процедуры являются общедоступными. Например, нежелательно, чтобы весь персонал организации знал подробности о работе ГРИИБ при взаимодействии с ней. ГРИИБ должна обеспечивать наличие "общедоступного" руководства, включая информацию, полученную из результатов анализа инцидентов ИБ, которая находится в легкодоступной форме, например в интранете организации. Более того, иногда нежелательно раскрывать некоторые детали программы менеджмента инцидентов ИБ, чтобы лицо, обладающее конфиденциальной информацией внутри организации (инсайдер), не могло помешать процессу расследования. Например, если банковский служащий, присваивающий денежные средства, осведомлен о некоторых деталях программы, то он может лучше скрывать свою деятельность от следствия или иным образом препятствовать обнаружению и расследованию инцидента ИБ и восстановлению после него.

Содержание рабочих процедур зависит от многих критериев, особенно связанных с характером уже известных потенциальных событий и инцидентов ИБ и типами задействованных активов информационных систем и их средой. Так, некая рабочая процедура может быть связана с определенным типом инцидентов или с типом продукции (например межсетевые экраны, базы данных, операционные системы, приложения), или со специфической продукцией. В каждой рабочей процедуре должно быть четко определено, какие шаги необходимо предпринять и кем. Она должна отражать опыт, полученный как из внутренних, так и внешних источников (например государственные или коммерческие КГБР, или аналогичные группы, а также поставщики).

Для обработки уже известных типов событий и инцидентов ИБ должны существовать рабочие процедуры.

Необходимы также рабочие процедуры, которым надо следовать, если тип обнаруженного инцидента ИБ или события неизвестен. В этом случае рассматривают следующие аспекты:

- процесс оповещения для обработки таких "исключительных случаев";

- указания, определяющие время для получения одобрения реагирования на инцидент со стороны руководства с целью избежания задержки реагирования;

- предварительно одобренное делегирование принятия решения без обычного процесса одобрения.

7.3.5 Тестирование программы

Для выявления потенциальных дефектов и проблем, которые могут возникнуть в процессе менеджмента событий и инцидентов ИБ, необходимо запланировать регулярные проверки и тестирование процессов и процедур менеджмента инцидентов ИБ. Любые изменения, возникающие в результате анализа реагирований на инциденты ИБ, должны подвергаться строгой проверке и тестированию.

7.4 Политики менеджмента рисков и информационной безопасности

7.4.1 Назначение

Целями включения содержания менеджмента инцидентов ИБ в корпоративные политики менеджмента рисков и ИБ и специальные политики ИБ систем, сервисов и сетей являются:

- описание значимости менеджмента инцидентов ИБ, особенно системы оповещения и обработки инцидентов ИБ;

- указание обязанностей высшего руководства относительно надлежащей подготовки к инцидентам ИБ и реагированию на них, то есть относительно системы менеджмента инцидентов ИБ;

- обеспечение согласованности различных политик;

- обеспечение планового и систематического реагирования на инцидент ИБ для минимизации негативного воздействия инцидентов.

7.4.2 Содержание

Корпоративная политика менеджмента рисков и ИБ, а также специальные политики ИБ для систем, сервисов или сетей должны обновляться с целью обеспечения точного соответствия общей политике менеджмента инцидентов ИБ и соответствующей ей системе. В соответствующие разделы

необходимо включать обязательства высшего руководства и описание:

- политики;

- процессов системы и соответствующей инфраструктуры;

- требований по обнаружению, оповещению, оценке и управлению инцидентами и

- четкого определения персонала, ответственного за авторизацию и (или) проведение определенных важных действий (например перевод информационной системы в режим off-line или даже отключение системы).

Кроме того, корпоративная политика должна содержать требование о создании соответствующих механизмов анализа для обеспечения использования любой информации, полученной в результате процессов обнаружения, мониторинга и разрешения инцидентов ИБ, в качестве входных данных для обеспечения стабильной результативности корпоративных политик менеджмента рисков ИБ, а также специальных политик ИБ для систем, сервисов и сетей.

7.5 Создание группы реагирования на инциденты информационной безопасности

7.5.1 Назначение группы реагирования на инциденты информационной безопасности

Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для оценки, реагирования на инциденты ИБ и извлечения уроков из них, а также необходимой координации, менеджмента, обратной связи и процесса передачи информации. Члены ГРИИБ могут участвовать в снижении физического и финансового ущерба, а также ущерба для репутации организации, связанного с инцидентами ИБ.

7.5.2 Члены группы реагирования на инциденты информационной безопасности и структура этой группы

Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и структуре организации. ГРИИБ может представлять собой изолированную команду или отдел, персонал этой группы может выполнять и другие обязанности, а также привлекать сотрудников из различных подразделений организации. В соответствии с 4.2.1 и 7.1 во многих случаях ГРИИБ может быть действующей группой, возглавляемой старшим руководителем. Вышестоящему руководителю оказывают помощь специалисты по конкретным вопросам, например, по отражению атак вредоносных программ, которые привлекаются в зависимости от типа инцидента ИБ. В зависимости от численного состава организации сотрудники ГРИИБ могут также выполнять несколько функций внутри ГРИИБ. В ГРИИБ могут также привлекаться служащие из различных подразделений организации (например бизнес-операций, ИТ/телекоммуникаций, аудита, отдела кадров и маркетинга).

Члены группы должны быть доступны для контакта так, чтобы их имена и имена лиц, их замещающих, а также подробности о контакте с ними были доступными внутри организации. Например, в документации системы менеджмента инцидентов ИБ должны быть четко указаны необходимые детали, включая любые документы по процедурам и формы отчетов, но не в положениях политики.

Руководитель ГРИИБ должен:

- иметь делегированные полномочия немедленного принятия решения о том, какие меры предпринять относительно инцидента;

- как правило, иметь отдельную линию для оповещения высшего руководства, которая должна быть изолирована от обычных бизнес-операций;

- обеспечивать необходимый уровень знаний и мастерства для всех членов ГРИИБ, а также поддержание этого уровня;

- поручать расследование каждого инцидента наиболее компетентному члену группы.

7.5.3 Взаимодействие с другими подразделениями организации

Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать необходимые действия, адекватные инциденту ИБ.

Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточнить, какой орган в системе обеспечения политики менеджмента инцидентов ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ.

Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы со старшим руководством, документированы и определять:

- представителя организации по работе со средствами массовой информации;

- метод взаимодействия подразделения организации с ГРИИБ.

7.5.4 Отношения со сторонними лицами и организациями

Необходимо установить отношения между ГРИИБ и соответствующими сторонними лицами и организациями.

К сторонним лицам и организациям могут относиться:

- сторонний вспомогательный персонал, работающий по контракту, например КГБР;

- ГРИИБ сторонних организаций, а также КГБР;

- правоприменяющие организации;

- аварийные службы (например пожарная бригада/отделение);

- соответствующие государственные организации;

- юридический персонал;

- официальные лица по связям с общественностью и (или) представителями средств массовой информации;

- партнеры по бизнесу;

- потребители;

- общественность.

7.6 Техническая и другая поддержка реагирования на инциденты информационной безопасности

Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы.

Эти мероприятия включают в себя:

- доступ к деталям активов организации (предпочтительно иметь обновленный перечень активов) и информацию по их связям с бизнес-функциями;

- доступ к документированной стратегии обеспечения непрерывности бизнеса и соответствующим планам;

- документированные и опубликованные процессы передачи информации;

- использование электронной базы данных событий/инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (хотя общепризнанно, что иногда сделанные вручную записи также оказываются востребованными и используются организацией);

- адекватные меры по обеспечению непрерывности бизнеса для базы данных событий/инцидентов ИБ.

Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа содержания информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны содействовать:

- быстрому получению отчетов о событиях и инцидентах ИБ;

- уведомлению ранее отобранного персонала (соответствующих сторонних лиц) подходящими для этого средствами (например, через электронную почту, факс, телефон и т. д.), то есть запрашивая поддержку надежной контактной базы данных (которая должна быть всегда легкодоступной и должна включать в себя бумажные и другие копии) и средство передачи информации безопасным способом (при необходимости);

- соблюдению предосторожностей, соответствующих оцененным рискам, избежанию прослушивания электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;

- соблюдению предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и (или) сеть;

- процессу сбора всех данных об информационной системе, сервисе и (или) сети и всех обрабатываемых данных;

- использованию криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и(или) сети и данные подверглись изменениям;

- упрощению архивирования и защиты собранной информации (например, применяя цифровые подписи в записях в журнале регистрации или другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);

- подготовке распечаток (например, журналов регистрации), демонстрирующих развитие инцидента ИБ, процесс разрешения инцидента и обеспечивающих сохранность информации;

- восстановлению штатного режима работы информационной системы, сервиса и (или) сети с помощью:

оптимальных процедур резервирования,

четких и надежных резервных копий,

тестирования резервных копий,

контроля вредоносных программ,

исходных носителей информации с системным и прикладным программным обеспечением,

надежных и обновленных исправлений ("патчей") для систем и приложений, согласованных с соответствующим планом обеспечения непрерывности бизнеса.

Атакованная информационная система, сервис и (или) сеть могут функционировать неверно. Поэтому работа технического средства (программного или аппаратного обеспечения), необходимого для реагирования на инцидент ИБ, не должна быть основана на системах, сервисах и (или) сетях, используемых в организации. По возможности, технические средства реагирования на инциденты должны быть полностью автономными.

Все технические средства должны быть тщательно отобраны, правильно внедрены и регулярно тестироваться (включая тестирование полученных резервных копий).

Следует заметить, что технические средства, описанные в настоящем подразделе, не включают в себя технические средства, используемые непосредственно для обнаружения инцидентов ИБ и вторжений и автоматического оповещения соответствующих лиц. Данные технические средства описаны в [1], [2].

7.7 Обеспечение осведомленности и обучение

Менеджмент инцидентов ИБ - это процесс, включающий в себя не только технические средства, но также персонал, и, следовательно, этот процесс должен поддерживаться лицами, соответствующим образом обученными для работы в организации и осведомленными в вопросах безопасности информации.

Осведомленность и участие всего персонала организации очень важны для обеспечения успеха структурного подхода к менеджменту инцидентов ИБ. Поэтому роль менеджмента инцидентов ИБ должна активно поддерживаться как часть общей программы обучения и обеспечения осведомленности в вопросах ИБ. Программа обеспечения осведомленности и соответствующий материал должны быть доступны для всего персонала, включая новых служащих, пользователей сторонних организаций и подрядчиков.

Должна существовать специальная программа обучения для группы обеспечения эксплуатации, для членов ГРИИБ, а при необходимости - для персонала, ответственного за ИБ, и специальных администраторов. Следует заметить, что для каждой группы, непосредственно участвующей в менеджменте инцидентов, могут потребоваться различные уровни подготовки, зависящие от типа, частоты и значимости их взаимодействия с системой менеджмента инцидентов ИБ.

Инструктажи по обеспечению осведомленности должны включать в себя:

- основы работы системы менеджмента инцидентов ИБ, включая сферу ее действия и технологию работ по менеджменту инцидентов и событий ИБ;

- способы оповещения о событиях и инцидентах ИБ;

- защитные меры по обеспечению конфиденциальности источников (по необходимости);

- соглашения об уровнях сервиса системы;

- уведомление о результатах - на каких условиях будут информированы источники;

- любые ограничения, налагаемые соглашениями о неразглашении;

- полномочия организации менеджмента инцидентов ИБ и ее линия оповещения;

- кто и как получает отчеты от системы менеджмента инцидентов ИБ.

В некоторых случаях желательно специально включать подробности обеспечения осведомленности о менеджменте инцидентов ИБ в другие программы обучения (например, в программы ориентирования персонала или в общие корпоративные программы обеспечения осведомленности в вопросах ИБ). Этот подход к обеспечению осведомленности может предоставить ценную информацию, связанную с определенными группами сотрудников, и может улучшить эффективность и результативность программы обучения.

До ввода в эксплуатацию системы менеджмента инцидентов ИБ весь соответствующий персонал должен ознакомиться с процедурами обнаружения и оповещения о событиях ИБ, а специально отобранный персонал должен быть хорошо осведомлен в отношении последующих процессов. Затем проводят регулярные инструктажи по обеспечению осведомленности и курсы подготовки. Подготовка должна сопровождаться специальными упражнениями и тестированием членов группы обеспечения эксплуатации и ГРИИБ, а также персонала, ответственного за ИБ, и специальных администраторов.