Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович
Если уязвимость / инцидент / событие ИБ регистрируют через общую систему управления проблемами, то конфиденциальные подробности, возможно, придется опустить. Кроме того, организация должна гарантировать, что схема управления инцидентами ИБ обеспечивает контроль за передачей сообщений об инцидентах и уязвимостях ИБ сторонними организациями, включая СМИ, партнеров по бизнесу, потребителей, юридические организации и общественность.
1.4. Создание ГРИИБ
Цель создания ГРИИБ – обеспечение организации специальным персоналом для оценки инцидентов ИБ, реагирования на них и извлечения соответствующих уроков, а также необходимой координации, управления, обратной связи и передачи информации. ГРИИБ содействует снижению физического и финансового ущерба, а также ущерба для репутации организации, связанного с инцидентами ИБ.
Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и структуре организации. ГРИИБ может быть штатной или внештатной, или иметь смешанную структуру. Штатная ГРИИБ может иметь и внештатных сотрудников для решения специальных задач (ИКТ, правовая экспертиза, связи с общественностью, аутсорсинг и т.п.), которые тесно сотрудничают с ГРИИБ в период обработки инцидента ИБ.
В зависимости от размера, структуры и природы бизнеса организации, член ГРИИБ может также выполнять более, чем одну роль в пределах ГРИИБ. Внештатная группа может также возглавляться руководителем ГРИИБ, который будет руководить группами специалистов в областях специфических знаний, например, обработка атак вредоносного ПО в зависимости от типа инцидента ИБ.
Члены группы должны быть доступны для контакта так, чтобы их имена и имена лиц, их замещающих, а также подробности о контакте с ними были доступными внутри организации. В документации схемы управления инцидентами ИБ (а не в положениях политики) должны быть четко указаны необходимые детали, включая любые документы по процедурам и формы отчетов.
ГРИИБ может состоять из специальных групп с обозначенными для каждой обязанностями, например:
– планирования;
– мониторинга;
– реагирования;
– анализа и т. п.
Группа планирования отвечает за планы действий ГРИИБ. Она разрабатывает различные политики и планы ИБ, предоставляет их для утверждения вышестоящему руководству, сотрудничает со всеми заинтересованными лицами и организациями, регистрирует и утверждает отчеты об уязвимостях;
Группа мониторинга отвечает в реальном времени за контроль и фактическую операционную деятельность, как например, мониторинг / обнаружение / идентификация событий ИБ, регистрация инцидента и его предотвращение;
Группа реагирования принимает отчет группы контроля о возникновении инцидента, выполняет повторный анализ и действия по расследованию и восстановлению, а также разрабатывает адекватную стратегию;
Группа анализа в сотрудничестве с группой реагирования выполняет углубленный анализ, в том числе сравнительный анализ инцидентов.
Руководитель ГРИИБ обязан:
– немедленно принимать меры для решения инцидента на основании заранее делегированных полномочий;
– иметь отдельную линию для связи с руководством, изолированную от обычных бизнес-коммуникаций;
– обеспечить высокий уровень знаний и мастерства всех членов ГРИИБ, а также постоянную поддержку этого уровня;
– поручать расследование каждого инцидента наиболее компетентному члену ГРИИБ.
Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать необходимые действия для решения инцидента ИБ. Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточнить, кого в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ.
Взаимодействие с заинтересованными сторонами
Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством и задокументированы. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Организация должна установить взаимодействие ГРИИБ с внешними организациями (заинтересованными сторонами), в число которых входят следующие:
– контрактный персонал внешней поддержки,
– национальная ГРИИБ,
– сервис-провайдеры, в том числе поставщики телекоммуникационных и интернет-услуг,
– службы охраны правопорядка,
– аварийные службы,
– соответствующие правительственные органы,
– юридические службы,
– официальные лица по связям с общественностью и/или представители СМИ,
– бизнес-партнеры,
– потребители,
– общественность.
1.5. Техническая и другая поддержка
Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы.
Мероприятия поддержки включают в себя:
– доступ к деталям активов, которые своевременно обновляются, и их связям с бизнес-функциями;
– доступ к задокументированным процедурам кризисного управления;
– документированные и опубликованные процессы коммуникаций;
– использование базы данных уязвимостей / событий / инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (иногда сделанные вручную записи также оказываются востребованными и используются организацией);
– использование стандартного формата и протокола обмена для получения и обработки тревоги или информации об уязвимостях / событиях / инцидентах с целью оперативного обеспечения осведомленности персонала и возможности повторного использования;
– средства сбора и анализа правовых доказательств;
– адекватные соглашения кризисного управления для базы данных уязвимостей / событий / инцидентов ИБ.
Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны поддерживать:
– быстрое получение отчетов о уязвимости / инциденте / событии ИБ;
– уведомление предварительно отобранного внешнего персонала соответствующими средствами (например электронная почта, факс или телефон), то есть запрашивая поддержку надежной доступной базы данных (включая бумажные и другие резервные копии) и средство передачи информации безопасным способом (при необходимости);
– соблюдение мер предосторожности, соответствующих оцененным рискам, для гарантирования, что линия коммуникации или интернет не прослушиваеться и остается доступной во время атаки на систему, сервис и/или сеть (возможно, потребуется предварительное планирование механизмов альтернативной связи);
– соблюдение предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и/или сеть;
– процесс сбора всех данных об ИС, сервисе и/или сети и всех обрабатываемых и сохраненных данных;
– использование криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и/или сети и данные подверглись изменениям;
– упрощение архивирования и защиты собранной информации (например, применяя ЭЦП к лог-файлам и другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);
– подготовка распечаток (например, лог-файлов), в том числе, демонстрирующих процессы развития и разрешения инцидента ИБ и системы охраны вещественных доказательств при их передаче;
– восстановление штатного режима работы системы, сервиса и/или сети с помощью процедур, связанных с кризисным управлением: