- •Тема 1.6 Структура та організація системи управління комп’ютерними інцидентами іб. Система управления компьютерными инцидентами информационной безопасности
- •1. Що таке інцидент?
- •2. Управління інцидентами інформаційної безпеки
- •3. Ознаки інциденту інформаційної безпеки
- •4. Аналіз інцидентів інформаційної безпеки
- •5. Документування інциденту інформаційної безпеки
- •6. Концепція і структура побудови системи управління інцидентами іб
- •7. Пріоретизація інцидентів інформаційної безпеки
- •8. Розповсюдження повідомлень про інцидент інформаційної безпеки
- •9. Розробка політики реакції на інцидент
- •10. Як управляти інцидентами інформаційної безпеки?
- •11. Планування та підготовка
- •12. Експлуатація
- •13. Аналіз
- •14. Поліпшення
- •15. Виявлення і реєстрація інциденту
- •16. Усунення причин, наслідків інциденту і його розслідування
- •17. Коректуючі та превентивні дії
- •18. Рекомендації і можливі труднощі
- •19. Ефект від впровадження процесу управління інцидентами
- •20. Ефект від впровадження процесу управління проблемами
- •Завдання на самостійну роботу
- •Питання для самоконтролю л-6
- •Рекомендована література
11. Планування та підготовка
Даний етап є підготовчим і призначений для організації і регламентації діяльності щодо реагування на інциденти. На цьому етапі необхідно:
виділити людські і матеріальні ресурси;
розробити схему реагування на інциденти;
розробити і затвердити ряд організаційно-регламентуючих документів;
провести необхідне навчання персоналу та апробацію вибраної схеми реагування на інциденти.
Відповідно до ISO/IEC TR 18044 необхідно створити групу щодо розслідування інцидентів ІБ. Основні цілі:
забезпечення організації кваліфікованим персоналом для обліку, реагування та аналізу інцидентів;
забезпечення необхідної координації і управління процесом реагування на інциденти;
забезпечення належного рівня інформування керівництва і зацікавлених осіб;
забезпечення максимального зниження наслідків інцидентів як в матеріальній сфері, так і для підтримки репутації організації.
До складу групи рекомендується включити представників наступних підрозділів організації:
служба інформаційної безпеки: забезпечення координаційної, адміністративної, експертної і технологічної діяльності;
служба інформаційних технологій: забезпечення експертної і технологічної діяльності;
служба персоналу: забезпечення адміністративної і процедурної діяльності;
юридична служба: забезпечення експертної і нормативно-правої діяльності;
бізнес-менеджери профільних підрозділів: залучаються на тимчасовій основі для підтримки забезпечення адміністративної, експертної і технологічної діяльності;
зовнішні експерти: забезпечення консультативної, експертної і технологічної діяльності.
Основними процесами підготовчого етапу можуть бути:
виділення людських і матеріальних ресурсів;
розробка і затвердження організаційно-розпорядчої документації;
навчання персоналу;
тестування схеми реагування на інциденти.
12. Експлуатація
На даному етапі здійснюються виявлення інциденту ІБ, його ідентифікація, попередній аналіз і реагування на інцидент.Основні процеси етапу:
виявлення та ідентифікація інциденту;
попередній аналіз інциденту;
початкове реагування на інцидент;
реагування на інцидент.
13. Аналіз
Група з реагування на інциденти проводить поглиблений аналіз інциденту, на основі результатів аналізу робляться висновки і складаються рекомендації щодо поліпшення процесу забезпечення ІБ та реагування на інциденти. Формується звіт про інцидент. Основним процесом етапу є поглиблений аналіз інциденту.
14. Поліпшення
На даному етапі здійснюється реалізація рекомендацій щодо поліпшення процесів забезпечення ІБ та реагування на інцидент. Затверджені уповноваженою особою організації рекомендації передаються на виконання відповідальним особам.
15. Виявлення і реєстрація інциденту
Інцидент інформаційної безпеки може помітити користувач або адміністратор системи. Як правило, адміністратори знають, що слід робити у разі виявлення інцидентів, чого не завжди можна сказати про користувачів. Для користувачів слід розробити інструкцію, яка, як правило, містить опис, в якому вигляді співробітник повинен повідомити про виникнення інциденту, координати відповідальних осіб, а також перелік дій, які співробітник може виконати самостійно (або попередити про те, що виконувати які-небудь дії самостійно заборонено). Такий звіт повинен містити докладний опис інциденту, перелік співробітників, залучених до інциденту, прізвище співробітника, що зафіксував інцидент та дату виникнення і реєстрації інциденту. Таким чином, кожний співробітник одержує інструкцію, що визначає, які повинні бути його дії, наприклад, у випадку, якщо він продовжив роботу з документом і помітив, що з минулого разу в його документ були внесені зміни, що не відповідають дійсності, при цьому автор змін невідомий.
Далі вимагається розробити інструкцію для фахівця, до обов'язків якого входить реєстрація інциденту. Співробітник, що знайшов інцидент, зв'язується із співробітником, відповідальним за реєстрацію інциденту і виконання подальших дій. В невеликих організаціях співробітники звертаються напряму до фахівця, який може усунути наслідки й причини інциденту (наприклад, до системного адміністратора або адміністратора безпеки). В достатньо крупних організаціях, як правило, виділяють співробітника, який реєструє інцидент і передає інформацію про інцидент відповідним фахівцям. Така інструкція може містити, наприклад, правила і термін реєстрації інциденту, перелік необхідних первинних інструкцій для співробітника, що виявив інцидент, крім того, опис порядку передачі інформації про інцидент відповідному фахівцю, порядок контролю за усуненням наслідків і причин інциденту.