- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
Система управления инцидентами
Система управления инцидентами информационной безопасности является основополагающей частью общей системы управления информационной безопасностью в компании. Она позволяет обнаруживать, учитывать, реагировать и анализировать события и инциденты информационной безопасности. На сегодняшний день существует большое количество различных стандартов и лучших практик в этой области. В качестве примера можно привести наиболее известные стандарты ISO: ISO\IEC 27001-2005, ISO/IEC TR 18044.
Так в рамках стандарта ISO\IEC 27001-2005 выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся, в том числе и к процессам управления инцидентами. Стандарт ISO/IEC TR 18044 в свою очередь описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA. В стандарте даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам. Также по тематике управления инцидентами существуют стандарты серии ITU-T для операторов связи, набор документов CERT, NIST и ряд других стандартов.
Таким образом, на сегодняшний день существует достаточно большой объем материалов, дающих рекомендации по построению системы управления инцидентами в рамках организации, которыми стоит воспользоваться как основой при планировании и построении системы управления инцидентами ИБ.
Стоит отметить, что построение процесса управления инцидентами своими силами задача довольно непростая, т.к. требует больших временных и человеческих затрат, а также определенных компетенций. Поэтому зачастую компании, которые приняли решение о том, что управление инцидентами должно быть внедрено, обращаются за помощью к сторонней компании-консультанту, в штате которой имеются специалисты-практики в данной области, способные выстроить процесс для организации с учетом её специфики.
Если говорить в общих чертах о создании системы управления инцидентами, то она может быть внедрена в несколько основных этапов. На первом этапе проводиться предпроектное обследование. В его рамках осуществляется сбор и анализ информации об имеющихся и используемых на данный момент регламентах, процедурах и средствах обеспечения информационной безопасности и управления инцидентами. Если какие-то наработки в направлении структурирования работы с инцидентами уже есть, то их следует проанализировать и по возможности использовать в дальнейшем проектировании. Также должны быть собраны сведения об используемых информационных системах и технологиях обработки информации, а также выявлены источники событий информационной безопасности (активы). Активам должны быть назначены владельцы, а также определена степень важности (критичности) каждого из них непосредственно для бизнес-деятельности организации. По завершении этапа определяется скоуп, т.е. область действия системы управления инцидентами информационной безопасности.
На следующем этапе осуществляется разработка процессов системы управления инцидентами информационной безопасности и написание соответствующих документов. Под процессами подразумеваются те основные виды деятельности, которые должны осуществляться в рамках всего жизненного цикла обработки инцидента, это: мониторинг и выявление инцидентов, их обработка (регистрация инцидента, реагирование и расследование инцидента), разработка и принятие корректирующих или превентивных мер для того, чтобы подобный инцидент не возникал в будущем. Помимо разработки процессов системы на данном этапе должен быть создан необходимый пакет нормативно-распорядительной и организационной документации. При его создании можно руководствоваться требованиями к документированию, выдвигаемыми международным стандартом ISO/IEC 27001-2005. В завершение этапа осуществляется выбор средств автоматизации и аппаратная платформа, которые будут служить основой системы управления инцидентами и осуществляется эскизное проектирование автоматизированной системы.
Следующий этап это уже непосредственно интеграция разработанных процессов управления инцидентами в существующую систему управления безопасностью компании. На этом этапе распределяются роли, т.е. помимо определения задействованных в процессе сотрудников осуществляется распределение ролей и функциональных обязанностей. Также необходимо провести обучение задействованного в процессе управлении инцидентами персонала и провести тестирование и отработку всех процессов. Это делается для того, чтобы быть уверенным, что каждый правильно понял и усвоил свои обязанности в рамках отведенной роли, а также отработать механизмы взаимодействия в рамках процесса. Также на данном этапе осуществляется технорабочее проектирование автоматизированной системы.
На последнем этапе осуществляется уже непосредственно внедрение автоматизированной системы мониторинга и управления инцидентами информационной безопасности, а именно: поставка компонент системы мониторинга и управления инцидентами, их установка и настройка, обучение персонала работе с системой, проведение опытной эксплуатации, устранение выявленных ошибок и сдача в промышленную эксплуатацию.