Информационная технология Методы и средства обеспечения безопасности Менеджмент инцидентов информационной безопасности
| Вид материала | Документы |
| 12 Планирование и подготовка 13 Использование системы менеджмента инцидентов информационной безопасности |
- Направление 090305 «Информационная безопасность автоматизированных систем» Информационная, 17.19kb.
- Программа-минимум кандидатского экзамена по специальности 05. 13. 19 «Методы и системы, 67.78kb.
- Information technology. Security techniques. Evaluation criteria for it security Security, 4433.86kb.
- Национальный стандарт российской федерации информационная технология методы и средства, 1320.58kb.
- Темы курсовых работ (проектов) по курсу: «Программно-аппаратные средства обеспечения, 99.03kb.
- Аннотация, 418.67kb.
- Его использованию при задании требований, разработке, оценке и сертификации продуктов, 762.5kb.
- Современные методы и средства обеспечения информационной и инженерно-технической защиты, 337.78kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Титул, 215.18kb.
11 Процессы
Для достижения целей, описанных в 10 , менеджмент инцидентов ИБ состоит из четырех отдельных процессов:
- Планирование и подготовка;
- Использование;
- Пересмотр (анализ);
- Улучшение2).
(Необходимо отметить, что эти процессы аналогичны процессам модели PDCA, используемой в международных стандартах ИС 9000 и ИС 14000).
Примерное содержание этих процессов показано на рисунке 1, ниже.
12 Планирование и подготовка
Эффективный менеджмент инцидентов ИБ требует надлежащего планирования и подготовки. Чтобы реакция на инциденты ИБ была эффективной, необходимы следующие действия:
- разработка и документирование политики менеджмента инцидентов ИБ, а также очевидная поддержка этой политики со стороны основных акционеров и, в особенности, высшего руководства;
- разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки для обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также детали шкалы3) опасности инцидентов должны быть отражены в документации на систему. (Следует заметить, что в некоторых организациях такая система может называться планом реагирования на инциденты ИБ);
- обновлять политики менеджмента ИБ и рисков на всех уровнях, т. е., корпоративном, и для каждой системы, сервиса и сети, с учетом системы менеджмента инцидентов ИБ;
Рисунок 2 – Процессы менеджмента инцидентов ИБ
- создать в организации соответствующую организационную структуру менеджмента инцидентов ИБ, т. е., ГРИИБ, с определенными ролями и ответственностями персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является действующей группой состоящей из его руководителя, поддерживаемого группой специалистов, специализирующихся на конкретных областях,, например, при отражении атак вредоносной программы привлекается специалист по инцидентам подобного типа;
- оповещать весь персонал организации посредством инструктажей и (или) иных способов о существовании системы менеджмента инцидентов ИБ, ее преимуществах и о том, как надлежащим образом сообщать о событиях ИБ. Должно проводиться соответствующее обучение персонала, ответственного за управление системой менеджмента инцидентов ИБ, лицами, принимающими решения по определению того, являются ли события инцидентами, и лицами, исследующими инциденты;
- тщательно тестировать систему менеджмента инцидентов ИБ.
Фаза "Планирование и подготовка" далее описывается в разделе 39.
13 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимы следующие процессы:
- обнаружение и сообщение о возникновении событий ИБ (человеком или автоматическими средствами);
- сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
- реагирование на инциденты ИБ:
- немедленно, в реальном или почти реальном масштабе времени;
- если инциденты ИБ находятся под контролем, выполнять действия, которые могут потребоваться в более позднее время (например, при оказании помощи по полному восстановлению после катастрофы);
- если инциденты ИБ не находятся под контролем, то выполнять "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать план непрерывности бизнеса);
- сообщать о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (это может включать, по требованию, обострение инцидента с целью проведения дополнительных оценок и (или) принятия решения);
- судебная экспертиза;
- надлежащая регистрация всех действий и решений для последующего анализа;
- завершение решения проблемы инцидентов.
Этап "Использование" описывается далее в разделе 61.
14 Анализ
После разрешения/закрытия инцидентов ИБ необходимо предпринять следующие действия по анализу состояния ИБ:
- провести дальнейшую судебную экспертизу, если потребуется;
- изучить уроки, извлеченные из инцидентов ИБ;
- определить улучшения для внедрения защитных мер ИБ, как результат полученных уроков, извлеченных из одного или нескольких инцидентов ИБ;
- определить улучшения системы менеджмента инцидентов ИБ в целом, учитывая уроки, извлеченные из анализов гарантии качества предпринимаемого метода (например, из анализа результативности процессов, процедур, форм отчета и(или) организации.
Этап "Анализ" далее описывается в разделе 81.
15 Улучшение
Известно, что процессы менеджмента инцидентов ИБ являются итеративными, с регулярными улучшениями, вносимыми со временем в ряд элементов ИБ. Эти улучшения предлагаются на основе данных по инцидентам ИБ и реагированию на них, а также данных по динамике тенденций. Этап "Улучшение" включает:
- пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации;
- улучшение системы менеджмента инцидентов ИБ и ее документации;
- инициирование улучшений в области безопасности, включая внедрение новых и (или) обновленных защитных мер ИБ.
Этап "Улучшение" далее описывается в разделе 87.