Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Управление инцидентами Управление инцидентами информационной безопасности (BS ISO/IEC 27002:2005 RU, раздел 13)
Навигация
 

Управление инцидентами информационной безопасности (BS ISO/IEC 27002:2005 RU, раздел 13)

Операции с документом
Оповещение о событиях и слабостях информационной безопасности, Управление инцидентами и усовершенствованиями информационной безопасности.

Оповещение о событиях и слабостях информационной безопасности

Цель: Обеспечить обмен информацией о событиях и слабостях информационной безопасности, связанных с информационными системами, позволяющий своевременно предпринимать корректирующие меры.

Должны существовать формальные процедуры оповещения и реагирования на события. Все  сотрудники, подрядчики и пользователи третьей стороны должны быть осведомлены о процедурах оповещения о различных типах событий и слабостей, которые могут повлиять на безопасность ресурсов организации. От них требуется как можно быстрее сообщать обо всех событиях и слабостях информационной безопасности установленному контактному лицу.

Оповещение о событиях информационной безопасности

 

Механизм контроля

Оповещение о событиях информационной безопасности должно осуществляться по соответствующим каналам взаимодействия с руководством и как можно быстрее.

Руководство по внедрению

Должна быть установлена формальная процедура оповещения о событиях информационной безопасности вместе с процедурой реагирования на инциденты, определяющей действия, предпринимаемые после получения информации о событии информационной безопасности.  Должно быть назначено контактное лицо, которое будет принимать сообщения о событиях информационной безопасности. Это контактное лицо должно быть известно всей организации, должно быть всегда доступно и должно быть в состоянии осуществлять адекватное и своевременное реагирование.

Все сотрудники, подрядчики и пользователи третьей стороны должны быть осведомлены о своей ответственности за как можно более быстрое оповещение о событиях информационной безопасности. Они также должны быть осведомлены о процедуре оповещения о событиях информационной безопасности и контактном лице. Процедуры оповещения должны включать в себя следующее:

  • соответствующие процессы обратной связи, гарантирующие, что те, кто сообщает о событиях информационной безопасности, уведомляются о результатах, после того как проблема была решена и закрыта;
  • формы сообщения о событиях информационной безопасности упрощающие процесс оповещения и помогающие сообщающему лицу вспомнить все необходимые действия, которые следует предпринимать в случае события информационной безопасности;
  • правильные действия, предпринимаемые в случае события информационной безопасности, а именно:
    • немедленно записывать все важные детали (например, тип несоответствия или нарушения, нарушения работоспособности, сообщения на экране, странное поведение);
    • не предпринимать каких-либо самостоятельных действий, а немедленно сообщать контактному лицу;
  • ссылка на установленный формальный дисциплинарный процесс в отношении сотрудников, подрядчиков и пользователей третьей стороны, которые нарушают безопасность.

В средах с высоким риском может использоваться сигнал о принуждении, при помощи которого лицо, находящееся под принуждением, может сообщить об этой проблеме. Процедуры реагирования на сигналы о принуждении должны отражать ситуацию с высоким риском, о которой сообщают такие сигналы.

Дополнительная информация

Примерами событий и инцидентов информационной безопасности являются:

  • ущерб для сервиса, оборудования или помещений;
  • неправильное функционирование или перегрузки системы;
  • человеческие ошибки;
  • несоответствие политикам или руководствам;
  • нарушения физической безопасности;
  • неконтролируемые изменения системы;
  • неправильное функционирование программного обеспечения или технических средств;
  • нарушение правил доступа.

При соблюдении осторожности в вопросах конфиденциальности, инциденты информационной безопасности могут быть использованы при обучении пользователей в качестве примеров того, что может происходить, как реагировать на такие инциденты и как избежать их в будущем.  Для правильного реагирования на события и инциденты информационной безопасности может возникнуть необходимость приступить к сбору доказательств сразу же после инцидента.

Нарушения работоспособности и другое аномальное поведение системы могут являться индикатором атаки или нарушения безопасности и поэтому о них всегда следует сообщать как о событии информационной безопасности.

Дополнительная информация о событиях информационной безопасности и управлении инцидентами информационной безопасности содержится в ISO/IEC TR 18044.

Оповещение о слабостях  защиты

 

Механизм контроля

Все сотрудники, подрядчики и пользователи информационных систем и сервисов  третьей стороны должны отмечать и сообщать обо всех замеченных или подозреваемых слабостях защиты в системах или сервисах.

Руководство по внедрению

Все сотрудники, подрядчики и пользователи третьей стороны должны оповещать своих руководителей или напрямую провайдеров услуг об этих ситуациях как можно быстрее, чтобы предотвратить инциденты информационной безопасности. Механизм оповещения должен быть как можно более простым, понятным и доступным. Они должны быть проинформированы о том, что им не следует, ни при каких обстоятельствах, пытаться получить подтверждения подозреваемой слабости.

Дополнительная информация

Сотрудникам, подрядчикам и пользователям третьей стороны должно быть рекомендовано самостоятельно не предпринимать попыток получения подтверждения подозреваемых слабостей безопасности. Тестирование уязвимостей может быть интерпретировано как потенциально недопустимое использование системы, а также может причинить вред информационной системе или сервису и повлечь юридическую ответственность лица, выполняющего тестирование.

Управление инцидентами и усовершенствованиями информационной безопасности

Цель: Обеспечить применение последовательного и эффективного подхода к управлению инцидентами информационной безопасности.

Должна быть определена ответственность и процедуры для эффективного реагирования на события и слабости информационной безопасности, после получения оповещения о них. Должен применяться процесс непрерывного совершенствования методов реагирования, мониторинга, оценки и общего управления инцидентами информационной безопасности.

Там, где требуются доказательства, они должны собираться для обеспечения соответствия требованиям законодательства.

Ответственность и процедуры

 

Механизм контроля

Должны быть установлены процедуры и ответственность руководства за обеспечение быстрого, эффективного и последовательного реагирования на инциденты информационной безопасности.

Руководство по внедрению

Помимо оповещения о событиях и слабостях информационной безопасности, для обнаружения инцидентов информационной безопасности должен использоваться мониторинг систем, сигналов тревоги и уязвимостей. Необходимо рассмотреть следующие рекомендации для процедур управления инцидентами информационной безопасности:

  • должны быть установлены процедуры, охватывающие все возможные типы инцидентов безопасности, включая:
    • сбои информационной системы и потеря сервиса;
    • вредоносный код;
    • отказ в обслуживании;
    • ошибки в результате неполных или неточных бизнес данных;
    • нарушения конфиденциальности или целостности;
    • недопустимое использование информационных систем;
  • в дополнение к типовым планам действий в аварийных ситуациях, процедуры также должны охватывать:
    • анализ и определение причины инцидента;
    • сдерживание;
    • в случае необходимости, планирование и реализация мер по предотвращению повторения инцидентов;
    • взаимодействие с лицами, затронутыми инцидентом или привлеченными к восстановлению после инцидента;
    • информирование о предпринятых действиях уполномоченных лиц;
  • данные аудита и аналогичные свидетельства должны быть собраны и соответствующим образом защищены, с целью:
    • анализа внутренних проблем;
    • использования в качестве доказательств в отношении возможного нарушения договора, нарушения требований законодательства или в случае гражданских или уголовных дел, например в случае неправомерного использования компьютера или нарушения закона о защите данных;
    • ведения переговоров о компенсациях со стороны поставщиков программного обеспечения и сервисов.
  • должны осторожно и формально контролироваться действия по восстановлению после нарушений безопасности и сбоев систем; процедуры должны гарантировать, что:
    • доступ к рабочим системам и данным предоставлен только четко идентифицированным и авторизованным сотрудникам;
    • все предпринятые аварийные действия подробно документируются;
    • руководство оповещается обо всех аварийных действиях и надлежащим образом их анализирует;
    • целостность бизнес систем и механизмов контроля подтверждается с минимальной задержкой.

Цели управления инцидентами информационной безопасности должны быть согласованы с руководством, а также должно гарантироваться, что ответственные за управление инцидентами информационной безопасности понимают приоритеты организации в этой области.

Дополнительная информация

Инциденты информационной безопасности могут выходить за границы организации или государства. Для реагирования на такие инциденты существует возрастающая потребность в координации ответных действий и обмене информацией об этих инцидентах с внешними организациями соответствующим образом.

Обучение на примере инцидентов информационной безопасности

 

Механизм контроля

Должны существовать механизмы, позволяющие осуществлять оценку и мониторинг типов, объемов и стоимости инцидентов информационной безопасности.

Руководство по внедрению

Информация, полученная во время анализа инцидентов информационной безопасности, должна использоваться для определения повторяющихся или особенно критичных инцидентов.

Дополнительная информация

Анализ инцидентов информационной безопасности может выявить необходимость улучшения или внедрения дополнительных механизмов контроля с целью уменьшения частоты и величины ущерба от будущих происшествий или будет учтен при пересмотре политики безопасности.

Сбор свидетельств

 

Механизм контроля

В случаях, когда возбуждаемое дело в отношении лица или организации после инцидента информационной безопасности основано на законодательстве (гражданском, либо уголовном), для обеспечения соответствия правилам, предусмотренным соответствующей юрисдикцией, должны собираться, сохраняться и представляться  свидетельства.

Руководство по внедрению

Для привлечения сотрудников организации к дисциплинарной ответственности должны быть разработаны и выполняться внутренние процедуры по сбору и предоставлению свидетельств.

В целом, эти правила охватывают следующее:

  • приемлемость свидетельств: может ли свидетельство использоваться в суде;
  • весомость свидетельств: качество и полнота свидетельств.

Для достижения приемлемости свидетельств, организации должны обеспечить соответствие информационных систем любым опубликованным стандартам или практике получения приемлемых свидетельств.

Весомость предоставляемых свидетельств должна соответствовать всем применимым в данном случае требованиям. Для достижения весомости свидетельств, качество и полнота механизмов контроля, используемых для правильной и последовательной защиты свидетельств (т.е. процесса контроля свидетельств) на протяжении периода их хранения и обработки, должно быть подкреплено цепью веских доказательств. В общем случае, наличие такой цепи веских доказательств может быть обеспечено при соблюдении следующих условий:

  • для бумажных документов: оригинал должен храниться в безопасном месте с указанием нашедшего его лица, когда, где и в присутствии каких свидетелей это произошло; любое расследование должно гарантировать, что оригиналы не были искажены;
  • для информации на компьютерных носителях: для обеспечения доступности свидетельств должны быть сделаны зеркальные образы или копии (в зависимости от применимых в данной ситуации требований) любых переносных носителей, информации на жестких дисках или информации, хранящейся в памяти; необходимо вести журнал всех действий, предпринимаемых в ходе копирования, а сам процесс копирования должен происходить в присутствии свидетелей; оригинальный носитель и журнал (если это невозможно, по крайней мере,  один зеркальный образ или копия) должны храниться в надежном месте.

Любая работа по расследованию должна выполняться только над копиями материала свидетельств. Должна быть обеспечена целостность всех материалов свидетельств. Копирование материалов свидетельств должно контролироваться доверенным персоналом, а информация о том, когда и где выполнялось копирование, кто выполнял копирование, и какие инструменты и программы для этого использовались, должна протоколироваться.

Дополнительная информация

Когда инцидент обнаружен впервые, может не быть очевидным, что он приведет к возможным судебным разбирательствам. Таким образом, существует опасность того, что необходимые свидетельства будут намеренно или случайно уничтожены до того как будет осознана серьезность инцидента. Рекомендуется обратиться к юристу или в полицию на раннем этапе любого предполагаемого судебного разбирательства и следовать их совету относительно требуемых свидетельств.

Свидетельства могут распространяться за пределы границ организации и/или юрисдикции. В этих случаях, необходимо убедиться в том, что организация имеет право собирать требуемую информацию в качестве свидетельств. Требования различных юрисдикций также должны учитываться, чтобы максимизировать шансы принятия свидетельств в относящихся к делу юрисдикциях.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex