Please enable JavaScript.
Coggle requires JavaScript to display documents.
СИСТЕМА УПРАВЛІННЯ ІНЦИДЕНТАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (Складнощі при…
СИСТЕМА УПРАВЛІННЯ ІНЦИДЕНТАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Відповідно до ISO/IEC TR 18044 необхідно створити групу щодо розслідування інцидентів ІБ
Основні цілі:
– забезпечення організації кваліфікованим персоналом для обліку, реагування та аналізу інцидентів;
– забезпечення необхідної координації і управління процесом реагування на інциденти;
– забезпечення належного рівня інформування керівництва і зацікавлених осіб;
– забезпечення максимального зниження наслідків інцидентів як в матеріальній сфері, так і для підтримки репутації організації.
Cклад групи:
– служба інформаційної безпеки: забезпечення координаційної, адміністративної, експертної і технологічної діяльності;
– служба інформаційних технологій: забезпечення експертної і технологічної діяльності;
– служба персоналу: забезпечення адміністративної і процедурної діяльності;
– юридична служба: забезпечення експертної і нормативно-правої діяльності;
– бізнес-менеджери профільних підрозділів: залучаються на тимчасовій основі для підтримки забезпечення адміністративної, експертної і технологічної діяльності;
– зовнішні експерти: забезпечення консультативної, експертної і технологічної діяльності.
Процес:
збір даних
криміналістичний аналіз
Журнал розслідування:
– статус розслідування, який є на даний момент;
– опис інциденту;
– дії, проведенні командою реагування в процесі обробки ІІБ;
– перелік свідоцтв(з обов‘язковою вказівкою джерел), зібраних в процесі обробки інциденту;
– коментарі учасників розслідування інциденту;
– опис послідуючих дій.
Документація системи управління інцидентами
Організаційно-розпорядчі документи:
– Опис процесу управління інцидентами ІБ.
– Опис ролей процесу управління інцидентами ІБ.
– Процедура виявлення і сповіщення про інциденти ІБ.
– Процедура реагування на інциденти ІБ.
– Процедура аналізу і службового розслідування інцидентів ІБ.
– Процедура взаємодії з суміжними підрозділами.
– Посадові інструкції.
Нормативні документи:
– Політика управління інцидентами.
– Політика моніторингу подій інформаційної безпеки.
– Політика аудиту дій користувачів і адміністраторів.
Робочі документи:
– Перелік активів організації та їх власників.
– Перелік типових загроз активам.
– Перелік осіб, відповідальних за експлуатацію ІТ-систем.
– Журнали реєстрації інцидентів.
– Форми записів щодо інцидентів.
– Форми звітності для керівництва і зацікавлених осіб.
– Документація на систему автоматизації управління інцидентами.
– Документи техніко-робочого проекту.
– Інструкції користувачів і адміністраторів.
Складнощі при управлінні інцидентами:
Визначення інциденту. В компанії відсутня методика визначення інцидентів, а співробітники не знають, які події є інцидентами.
Сповіщення про виникнення інциденту. Співробітники компанії часто не обізнані про те, кого і в якій формі слід ставити перед фактом при виникненні інциденту.
Реєстрація інциденту. Відповідальним особам (навіть якщо такі призначені) часто не надається методика реєстрації інцидентів – не існує спеціальних журналів їх реєстрації, а також правил і термінів заповнення.
Усунення наслідків і причин інциденту. В організаціях, як правило, відсутня документально зафіксована процедура, що описує дії, які необхідно виконати з метою усунення наслідків і причин інциденту.
Розслідування інциденту. На етапі розслідування інцидентів основну роль відіграють: ведення журналів реєстрації подій, чітке розділення повноважень користувачів, відповідальність за виконані дії – важливі докази того, хто приймав участь в інциденті і які дії він виконував.
Реалізація дій, що застерігають повторне виникнення інциденту.