"НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)
9 Этап "Анализ"
9.1 Введение
После принятия решения о закрытии инцидента ИБ необходимо провести дальнейшую правовую экспертизу и анализ с целью определения извлеченных уроков и потенциальных улучшений общей безопасности и системы менеджмента инцидентов ИБ.
9.2 Дальнейшая правовая экспертиза
Иногда после закрытия инцидента ИБ может по-прежнему сохраняться необходимость проведения правовой экспертизы с целью определения свидетельств. Она должна проводиться ГРИИБ с использованием совокупности средств и процедур в соответствии с 8.5.5.
После завершения инцидента ИБ важно быстро идентифицировать уроки, извлеченные из его обработки, и предпринять соответствующие действия, которые могут рассматриваться с точки зрения:
- новых или изменившихся требований к мерам защиты ИБ. Это могут быть технические или нетехнические (включая физические) меры защиты. В зависимости от извлеченных уроков требования могут включать в себя необходимость быстрого обновления материалов и проведения инструктажа с целью обеспечения осведомленности в вопросах безопасности (для пользователей, а также для другого персонала) и выпуска руководств и (или) стандартов по безопасности;
- изменений в системе менеджмента инцидентов ИБ и ее процессах, формах отчета и базе данных событий/инцидентов ИБ.
Кроме того при изучении урока по инциденту ИБ необходимо рассматривать полученный опыт не только в рамках отдельного инцидента ИБ, но и проводить проверку наличия тенденций (закономерностей) появления предпосылок к инцидентам ИБ, которые могут быть использованы в интересах определения потребности в защитных мерах или изменениях подходов к устранению инцидента ИБ.
Целесообразно также проведение тестирования ИБ, в особенности оценки уязвимостей, после ориентированного на ИТ инцидента ИБ.
Поэтому необходимо регулярно анализировать базы данных событий/инцидентов ИБ для определения:
- тенденций/образцов;
- проблемных областей;
- областей деятельности, где можно предпринять предупредительные меры для снижения вероятности появления инцидентов в будущем.
Существенная информация, получаемая в процессе обработки инцидента ИБ, должна направляться для анализа тенденций (закономерностей), что может в значительной мере способствовать ранней идентификации инцидентов ИБ и обеспечивать предупреждение о том, какие следующие инциденты ИБ могут возникнуть на основе предшествующего опыта и документов.
Необходимо также использовать информацию об инцидентах ИБ и соответствующих им уязвимостях, полученную от государственных и коммерческих КГБР и поставщиков.
Тестирование безопасности и оценка уязвимостей информационной системы, сервиса и (или) сети, следующие за инцидентом ИБ, не должны ограничиваться только информационной системой, сервисом и (или) сетью, пораженных этим инцидентом ИБ. Тестирование безопасности и оценку уязвимостей необходимо распространить на любые связанные с ними информационные системы, сервисы и (или) сети. Детальная оценка уязвимостей используется для того, чтобы в ходе инцидента ИБ выявить существование уязвимостей на других информационных системах, сервисах и (или) сетях, и исключить вероятность появления новых уязвимостей.
Важно подчеркнуть, что оценка уязвимостей должна проводиться регулярно и повторная оценка уязвимостей, проводимая после инцидента ИБ, должна быть частью, а не заменой непрерывного процесса оценки.
Необходимо опубликовывать итоговый анализ инцидентов ИБ для обсуждения его на каждом совещании руководства организации по вопросам обеспечения ИБ и (или) на других совещаниях, касающихся вопросов по общей организационной политике ИБ.
9.4 Определение улучшений безопасности
В процессе анализа, проведенного после разрешения инцидента ИБ, новые или измененные защитные меры могут быть определены как необходимые. Рекомендации и соответствующие им требования к защитным мерам могут оказаться такими, что их немедленное внедрение будет невозможно по финансовым или эксплуатационным причинам; в этом случае они должны быть предусмотрены в более долгосрочных целях организации. Например, по финансовым соображениям невозможно за короткое время осуществить переход к более совершенным межсетевым экранам, тем не менее, решение этого вопроса необходимо внести в долговременные цели ИБ организации (см. 10.3).
9.5 Определение улучшений системы
После разрешения инцидента руководитель ГРИИБ или назначенное вместо него лицо должны проанализировать все произошедшее с целью оценки и определения степени результативности реагирования на инцидент ИБ. Подобный анализ предназначен для выявления успешно задействованных элементов системы менеджмента инцидентов ИБ и определения потребности в любых улучшениях.
Важным аспектом анализа, проводимого после реагирования на инцидент, является возвращение информации и полученных знаний в систему менеджмента инцидентов ИБ. Если инцидент ИБ достаточно серьезен, то вскоре после разрешения инцидента необходимо провести совещание всех заинтересованных сторон, владеющих информацией о нем. На этом совещании должны рассматриваться следующие вопросы:
- работали ли должным образом процедуры, принятые в системе менеджмента инцидентов ИБ;
- существуют ли процедуры или методы, которые способствовали бы обнаружению инцидентов;
- были ли определены процедуры или средства, которые использовались бы в процессе реагирования;
- применялись ли процедуры, помогающие восстановлению информационных систем после идентификации инцидента;
- была ли передача информации об инциденте всех причастных сторон эффективной в процессе обнаружения, сообщения и реагирования.
Результаты совещания должны быть документированы и по этим результатам осуществлены конкретные согласованные действия (см. 10.4).