Please enable JavaScript.
Coggle requires JavaScript to display documents.
Система управління інцидентами інформаційної безпеки - Coggle Diagram
Система управління інцидентами інформаційної безпеки
Управління інцидентами – одна з найважливіших процедур управління інформаційною безпекою. Перш за все, важливо правильно і своєчасно усунути наслідки інциденту, а також мати нагоду проконтролювати, які дії були виконані для цього. Необхідно також розслідувати інцидент, що включає визначення причин його виникнення, винних осіб і конкретних дисциплінарних стягнень.
Для обробки подій та інцидентів інформаційної безпеки необхідно організувати процес реагування на інциденти. Основними задачами процесу реагування на інциденти ІБ є:
мінімізація наслідків порушення конфіденційності, цілісності і
доступності інформації ІТ-систем;
захист прав організації, встановлених законом; створення умов для
порушення цивільної або кримінальної справи проти зловмисників;
мінімізація порушень порядку роботи і пошкодження даних ІТсистеми, відновлення в найкоротші терміни працездатності організації при її порушенні в результаті інциденту;
захист репутації організації та її ресурсів;
забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти ІБ, що мали місце, про корисні рекомендації;
швидке виявлення та/або попередження подібних інцидентів в
майбутньому;
підтвердження/спростування факту виникнення інциденту ІБ;
навчання персоналу компанії діям з виявлення, усунення наслідків і
запобігання інцидентів ІБ;
забезпечення координації реагування на інцидент;
своєчасне інформування керівництва про стан інформаційної безпеки
В якості прикладу основних процесів системи управління інцидентами
інформаційної безпеки можна навести наступні процеси:
Стадія експлуатації
Реагування на інцидент
Розслідування інциденту
Початкове реагування на інцидент
Аналіз інциденту
Попередній аналіз інциденту
Розробка рекомендацій
Виявлення та ідентифікація інциденту
Стадія аналізу
Аналіз метрик ефективності досягнення цілей процесів
Аналіз відгуків зацікавлених осіб
Аналіз метрик внутрішньої ефективності процесів
Розробка рекомендацій
Стадія планування
Розробка схеми управління інцидентами
Розробка і затвердження організаційно-регламентуючих документів
Виділення людських і матеріальних ресурсів
Навчання персоналу та апробація обраної схеми реагування на
інциденти
Стадія поліпшення
Узгодження і апробація поліпшень
Перехід на стадію планування процесу впровадження поліпшень
Відповідно до ISO/IEC TR 18044 необхідно створити групу щодо
розслідування інцидентів ІБ.
Основні цілі
забезпечення необхідної координації і управління процесом
реагування на інциденти
забезпечення належного рівня інформування керівництва і
зацікавлених осіб
забезпечення організації кваліфікованим персоналом для обліку, реагування та аналізу інцидентів;
забезпечення максимального зниження наслідків інцидентів як в
матеріальній сфері, так і для підтримки репутації організації
До складу групи рекомендується включити представників наступних
підрозділів організації:
служба персоналу: забезпечення адміністративної і процедурної
діяльності;
юридична служба: забезпечення експертної і нормативно-правої
діяльності;
служба інформаційних технологій: забезпечення експертної і
технологічної діяльності;
бізнес-менеджери профільних підрозділів: залучаються на тимчасовій основі для підтримки забезпечення адміністративної, експертної і технологічної діяльності;
служба інформаційної безпеки: забезпечення координаційної,
адміністративної, експертної і технологічної діяльності;
зовнішні експерти: забезпечення консультативної, експертної і
технологічної діяльності
Типовою практикою є ведення журналу розслідування інциденту, який не
має стандартної форми і розроблюється командою реагування.Ключовими позиціями подібних журналів є:
дії, проведенні командою реагування в процесі обробки ІІБ
перелік свідоцтв(з обов‘язковою вказівкою джерел), зібраних в
процесі обробки інциденту
опис інциденту
коментарі учасників розслідування інциденту
статус розслідування, який є на даний момент
опис послідуючих дій
Система управління інцидентами інформаційної безпеки повинна включати в себе широкий перелік нормативно-розпорядчої та організаційної документації. При документуванні системи необхідно враховувати вимоги з документування, що висуваються міжнародним стандартом ISO/IEC 27001- 2005. До складу документації системи можуть входити наступні документи:
Нормативні документи:
Політика моніторингу подій інформаційної безпеки
Політика управління інцидентами
Політика аудиту дій користувачів і адміністраторів
Робочі документи:
Форми записів щодо інцидентів
Форми звітності для керівництва і зацікавлених осіб
Журнали реєстрації інцидентів
Документація на систему автоматизації управління інцидентами
Перелік осіб, відповідальних за експлуатацію ІТ-систем
Документи техніко-робочого проекту
Перелік типових загроз активам
Інструкції користувачів і адміністраторів
Перелік активів організації та їх власників
Організаційно-розпорядчі документи:
Процедура реагування на інциденти ІБ
Процедура аналізу і службового розслідування інцидентів ІБ
Процедура виявлення і сповіщення про інциденти ІБ.
Процедура взаємодії з суміжними підрозділами
Опис ролей процесу управління інцидентами ІБ
Посадові інструкції
Опис процесу управління інцидентами ІБ