"НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)
Приложения
Приложение А
(справочное)
Рекомендации по заполнению
Назначением данной формы (формы отчета о событиях и инцидентах ИБ) является обеспечение информацией о событии ИБ, а затем, если оно определено как инцидент ИБ, то и об инциденте ИБ, для определенных лиц.
Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям или ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации.
Представленная информация будет использована для инициирования соответствующего процесса оценки, которая определит, должно ли это событие категорироваться как инцидент ИБ и (в случае положительного ответа), какие корректирующие меры, необходимые для предотвращения или ограничения потерь или ущерба, следует предпринять. Поскольку процесс оценки по своему характеру является краткосрочным, то в данный момент необязательно заполнять все поля формы отчета.
Если сотрудник является членом группы обеспечения эксплуатации, анализирующим полностью/частично заполненные формы отчета, то он должен принять решение, надо ли отнести данное событие к категории инцидента ИБ. При положительном решении сотрудник должен внести в форму отчета об инциденте ИБ как можно больше информации и передать формы отчетов о событии и инциденте ИБ в ГРИИБ. Независимо от того, будет ли событие ИБ отнесено к категории инцидента ИБ, база данных событий/инцидентов ИБ должна быть обновлена.
Если сотрудник является сотрудником ГРИИБ, анализирующим формы отчетов о событиях и инцидентах ИБ, переданные членом группы обеспечения эксплуатации, то форма отчета об инциденте ИБ должна обновляться по ходу расследования и, соответственно, должна обновляться база данных событий/инцидентов ИБ.
При заполнении форм следует соблюдать следующие рекомендации:
- по возможности формы отчета должны заполняться и передаваться в электронном виде <*>. В случае, если существуют проблемы или считается, что существуют проблемы с принятыми по умолчанию механизмами электронного оповещения (например электронная почта), включая случаи, когда система может подвергаться атаке и формы отчета могут быть прочитаны несанкционированными лицами, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть телефон или текстовые сообщения, а также использование курьеров;
<*> Если возможно, то формы отчетов должны быть, например, на безопасной web-странице с привязкой к электронной базе данных событий инцидентов ИБ. В настоящее время основанная на бумажной технологии система является слишком медленно действующей и далеко не самой эффективной в эксплуатации.
- следует представить информацию, основанную на фактах, в которой сотрудник уверен, не следует что-либо придумывать для того, чтобы заполнить все формы. Если сотрудник считает уместным включить иную информацию, которую не может подтвердить, следует указать, что это неподтвержденная информация, и причину убежденности в ее недостоверности;
- следует подробно указать, как можно связаться с сотрудником. Немедленно или спустя некоторое время может возникнуть необходимость контакта с ним для получения дальнейшей информации, касающейся Вашего отчета.
Если позднее сотрудник обнаружит, что какая-либо представленная им информация неточна, неполна или ошибочна, то следует внести поправки в отчет и представить его повторно.
Отчет
\r\n о событии информационной безопасности
\r\n
\r\n Дата события
\r\nНомер события <*>: Соответствующие идентификационные
\r\n номера событий и
\r\n (или) инцидентов (если требуется):
\r\n
\r\n Информация о сообщающем лице
\r\n
\r\nФамилия _____________________ Адрес ______________________________
\r\nОрганизация ______________________________________________________
\r\nТелефон __________________ Электронная почта _____________________
\r\n
\r\n Описание события ИБ
\r\nОписание события:
\r\n
\r\nЧто произошло
\r\nКак произошло
\r\nПочему произошло
\r\nПораженные компоненты
\r\nНегативное воздействие на бизнес
\r\nЛюбые идентифицированные уязвимости
\r\n
\r\n Подробности о событии ИБ
\r\n
\r\nДата и время наступления события
\r\nДата и время обнаружения события
\r\nДата и время сообщения о событии
\r\nЗакончилось ли событие? (отметить в квадрате) Да [ ] Нет [ ]
\r\nЕсли "да", то уточнить длительность
\r\nсобытия в днях/часах/минутах
\r\n
\r\n_____________________________
\r\n<*> Номера событий назначаются руководителем ГРИИБ организации.
\r\n
\r\n
\r\n
\r\n Отчет
\r\n об инциденте информационной безопасности
\r\n
\r\nДата инцидента
\r\nНомер инцидента <*>: Соответствующие идентификационные
\r\n номера событий и
\r\n (или) инцидентов (если требуется):
\r\n
\r\n Информация о сотруднике группы обеспечения эксплуатации
\r\n
\r\nФамилия _________________________ Адрес __________________________
\r\nТелефон __________________ Электронная почта _____________________
\r\n
\r\n Информация о сотруднике ГРИИБ
\r\n
\r\nФамилия _________________________ Адрес __________________________
\r\nТелефон __________________ Электронная почта _____________________
\r\n
\r\n Описание инцидента ИБ
\r\n
\r\nДополнительное описание инцидента:
\r\nЧто произошло
\r\nКак произошло
\r\nПочему произошло
\r\nПораженные компоненты
\r\nНегативное воздействие на бизнес
\r\nЛюбые идентифицированные уязвимости
\r\n
\r\n Подробности об инциденте ИБ
\r\n
\r\nДата и время возникновения инцидента
\r\nДата и время обнаружения инцидента
\r\nДата и время сообщения об инциденте
\r\nЗакончился ли инцидент? (отметить в квадрате) Да [ ] Нет [ ]
\r\nЕсли "Да", то уточнить длительность инцидента
\r\nв днях/часах/минутах. Если "Нет", то уточнить,
\r\nкак долго он уже длится
\r\n
\r\n_____________________________
\r\n<*> Номера инцидентов назначаются руководителем ГРИИБ организации
\r\nи привязываются к номеру(ам) соответствующих событий.
\r\n
\r\n
\r\n
\r\n Отчет
\r\n об инциденте информационной безопасности
\r\n
\r\n Тип инцидента ИБ
\r\n
\r\n(Сделать отметку в одном из квадратов, затем
\r\nзаполнить ниже соответствующие поля)
\r\n
\r\n Действительный [ ] Попытка [ ] Предполагаемый [ ]
\r\n(Один из) Намеренная [ ] (указать типы угрозы)
\r\n
\r\nХищение (TH) [ ] Хакерство/логическое проникновение (HA) [ ]
\r\nМошенничество (FR) [ ] Неправильное использование ресурсов
\r\n (MI) [ ]
\r\nСаботаж/физический ущерб (SA) [ ] Другой ущерб (OD) [ ]
\r\nВредоносная программа (MC) [ ]
\r\n
\r\n Определить:
\r\n
\r\n(Один из) Случайная [ ] (указать типы угрозы)
\r\nОтказ аппаратуры (HF) [ ] Другие природные события (NE) [ ]
\r\nОтказ ПО (SF) [ ] Определить:
\r\nОтказ системы связи (CF) [ ] потеря значимых сервисов (LE) [ ]
\r\nПожар (HE) [ ] недостаточное кадровое обеспечение
\r\n (SS) [ ]
\r\nНаводнение (FL) [ ] Другие случаи (OA) [ ]
\r\n
\r\n Определить:
\r\n
\r\n(Один из) Ошибка [ ] (указать типы угрозы)
\r\nОперационная ошибка (OE) [ ] Ошибка пользователя (UE) [ ]
\r\nОшибка в эксплуатации аппаратных Ошибка проектирования (DE) [ ]
\r\nсредств (HE) [ ]
\r\n
\r\nОшибка в эксплуатации ПО (SE) [ ] Другие случаи (включая
\r\n ненамеренные ошибки) (OA) [ ]
\r\n
\r\n Определить:
\r\n
\r\nНеизвестно [ ] (Если еще не установлен тип инцидента ИБ
\r\n (намеренный, случайный, ошибка), то следует
\r\n сделать отметку в квадрате "неизвестно" и, по
\r\n возможности, указать тип угрозы, используя сокращения,
\r\n приведенные выше)
\r\n Определить:
\r\n
\r\n
\r\n
\r\n Отчет
\r\n об инциденте информационной безопасности
\r\n
\r\n Пораженные активы
\r\nПораженные активы (Дать описания активов, пораженных инцидентами
\r\n(при наличии) ИБ или связанных с ним,
\r\n включая (где требуются), серийные,
\r\n лицензионные номера и номера версий)
\r\n
\r\nИнформация/данные ________________________________________________
\r\nАппаратные средства ______________________________________________
\r\nПрограммное обеспечение __________________________________________
\r\nСредства связи ___________________________________________________
\r\nДокументация _____________________________________________________
\r\n
\r\n Негативное воздействие/влияние инцидента на бизнес
\r\n
\r\nСделать отметку в соответствующих квадратах для указанных ниже
\r\nнарушений, затем в колонке "значимость" указать степень
\r\nнегативного воздействия на бизнес по шкале 1 + 10, используя
\r\nследующие сокращения (указатели категорий): (FD) - финансовые
\r\nубытки/разрушение бизнес-операций, (CE) - коммерческие и
\r\nэкономические интересы, (PI) - информация, содержащая персональные
\r\nданные, (LR) - правовые и нормативные обязательства (это
\r\nнеобходимо сравнить с английским оригиналом), (МО) - менеджмент и
\r\nбизнес-операции, (LG) - потеря престижа (см. примеры в
\r\nприложении B). Записать кодовые буквы в колонке "указатели", а
\r\nесли известны действительные издержки, - указать их в колонке
\r\n"стоимость".
\r\n
\r\n Значимость Указатели Издержки
\r\nНарушение
\r\nконфиденциальности
\r\n(то есть
\r\nнесанкционированное
\r\nраскрытие) [ ]
\r\nНарушение
\r\nцелостности
\r\n(то есть
\r\nнесанкционированная
\r\nмодификация) [ ]
\r\nНарушение
\r\nдоступности
\r\n(то есть
\r\nнедоступность) [ ]
\r\nНарушение
\r\nнеотказуемости [ ]
\r\nУничтожение [ ]
\r\n
\r\n Общие расходы на восстановление после инцидента ИБ
\r\n
\r\n Значимость Указатели Издержки
\r\n(Там, где
\r\nвозможно,
\r\nнеобходимо
\r\nуказать общие
\r\nрасходы на
\r\nвосстановление
\r\nпосле инцидента
\r\nИБ в целом
\r\nпо шкале 1 + 10
\r\nдля "значимости" и в
\r\nденьгах для
\r\n"стоимости")
\r\n
\r\n
\r\n
\r\n Отчет
\r\n об инциденте информационной безопасности
\r\n
\r\n Разрешение инцидента
\r\n
\r\nДата начала расследования инцидента ИБ __________________________
\r\nФамилия (ии) лица (лиц), проводившего (их) расследование
\r\nинцидента __________________________________________
\r\nДата завершения инцидента ИБ _____________________________________
\r\nДата окончания воздействия _______________________________________
\r\nДата завершения расследования инцидента ИБ _______________________
\r\nМесто хранения отчета о расследовании ____________________________
\r\n
\r\n Причастные к инциденту лица/нарушители
\r\n
\r\n(Один из) Лицо (PE) [ ] Легально учрежденная организация/
\r\n учреждение (OI) [ ]
\r\nОрганизованная группа (GR) [ ] Случайность (AC) [ ]
\r\n Отсутствие нарушителя (NP)
\r\n Например, природные факторы,
\r\n отказ оборудования,
\r\n человеческий фактор [ ]
\r\n
\r\n Описание нарушителя
\r\n
\r\n Действительная или предполагаемая мотивация
\r\n
\r\n(Один из) Криминальная/финансовая Развлечение/хакерство (PH) [ ]
\r\n выгода(CG) [ ]
\r\n
\r\nПолитика/терроризм (PT) [ ] Месть (RE) [ ]
\r\n Другие мотивы (OM)
\r\n Определить:
\r\n
\r\n Действия, используемые для разрешения инцидента ИБ
\r\n
\r\n(например, "никаких действий", "подручными
\r\nсредствами", "внутреннее расследование
\r\n", "внешнее расследование с привлечением…
\r\n")
\r\n
\r\n Действия, запланированные для разрешения инцидента
\r\n
\r\n(включая возможные приведенные выше
\r\nдействия)
\r\n
\r\n Прочие действия
\r\n
\r\n(например, по-прежнему требуется проведение
\r\nрасследования, но другим персоналом)
\r\n
\r\n
\r\n
\r\n Отчет