- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
Взаимодействие со структурой организации
Финансовая организация, вне зависимости от выбранной модели обработки инцидентов информационной безопасности, должна иметь в своём штате минимум двух специалистов, способных обеспечить работоспособность системы в процессе обработки инцидента. Данный персонал призван осуществлять связь с поставщиком услуг, оценивать качество их работы, знать систему и быть способным восстановить в короткий срок её работоспособность.
От компетентности специалистов поддержки зависит работоспособность процедуры обработки инцидентов в организации. Хорошим качеством является коммуникабельность, поскольку расследование инцидента связано с общением с персоналом, в том числе, руководством организации.
Для поддержания процедуры обработки инцидентов информационной безопасности организация должна проводить следующую политику в отношении команды реагирования на инциденты:
финансирование процедуры обработки инцидентов
обучение сотрудников профилирующим и смежным дисциплинам, в частности юридическим аспектам деятельности команды реагирования
вовлечение специалистов в процесс обучения сотрудников, написания нормативной и технической документации
штат команды должен быть полностью укомплектован, должен соблюдаться принцип сегрегации обязанностей
должна поддерживаться практика ротации персонала
перманентное вовлечение в процесс экспертов по профилирующим областям деятельности с целью поднятия уровня компетенции сотрудников
проведение тренингов и тестирования сценариев обработки инцидентов
вовлечение в процесс расследования инцидентов специалистов других подразделений: управление, информационная безопасность, телекоммуникации, IT поддержка, юристы, отдел по связям и общественностью и СМИ, отдел по работе с персоналом, отдел планирования непрерывности функционирования организации, служба содействия бизнесу и т.д.
Жизненный цикл процедуры реагирования на инциденты информационной безопасности
Процедура реагирования на инциденты информационной безопасности состоит из нескольких фаз, начиная с обучения персонала и сбора необходимого инструментария, до выхода из инцидента (завершения расследования и устранения последствий). В процессе подготовки организация стремиться ограничить потенциальное число подозрительных событий, настраивая систему корреляции и тщательно прорабатывая процедуры хождения информации внутри организации и вовне. В процессе подготовки, организация оценивает риски информационной безопасности. Хорошей практикой является внедрение Системы Менеджмента Информационной Безопасностью (СМИБ), которая существенно облегчит процесс обработки инцидентов. Расследование инцидента завершается процедурой оценки остаточных рисков и извлечения практической пользы для дальнейшей работы.
Для внедрения процедуры реагирования на инциденты информационной безопасности в структуру вспомогательных процессов, обеспечивающих сопровождение и поддержку процесса управления финансовой организации, требуется пересмотреть подход к проблеме обеспечения информационной безопасности в рамках организации, заручившись соответствующей поддержкой руководства.
Механизмы внедрения процедур обеспечения информационной безопасности в структуру процессов организации является достаточно ёмким, требует отдельного обсуждения и не входит в рамки данной статьи.