• ссылку на формальный дисциплинарный процесс в отношении сотрудников, допустивших бреши ИБ;

• соответствующие процессы обратной связи, обеспечивающие информирование тех, кто оповестил о событии ИБ, о результатах решения и закрытии проблемы.

Цели управления инцидентами ИБ должны быть согласованы с общим управлением и гарантировать, что ответственность за управление инцидентами ИБ является приоритетом организации для обработки инцидентов ИБ.

Оповещение о событиях ИБ

Меры и средства

События ИБ должны быть сообщены по соответствующим управляемым каналам, как можно быстрее.

Рекомендации по реализации

Все сотрудники должны знать о своей обязанности оповещения о событиях ИБ как можно быстрее. Они должны быть ознакомлены с процедурой оповещения о событиях ИБ и контактным лицом, кого надо оповестить.

Ситуации, относящиеся к событиям ИБ, включают:

– неэффективную меру защиты;

– брешь в целостности, конфиденциальности и доступности информации;

– человеческие ошибки;

– несоответствие политике и правилам;

– бреши в мерах физической безопасности;

– неконтролируемые системные изменения;

– сбои системного или прикладного ПО;

– нарушения доступа.

Сбои или другое аномальное поведение системы могут быть индикатором тайной атаки или существующей бреши в безопасности, и об этом надо сообщать как о событии ИБ.

Оповещение о недостатках ИБ

Меры и средства

Сотрудники и подрядчики, использующие ИС и сервисы организации обязаны сообщать о любых наблюдаемых или предполагаемых недостатках ИБ в системах или сервисах.

Рекомендации по реализации

Все сотрудники и представители сторонних организаций должны, как можно быстрее, сообщать о недостатках ИБ своему руководству или непосредственно поставщику услуг, чтобы предотвратить инциденты ИБ. Механизм сообщения должен быть, насколько возможно, простым, доступным и применимым.

Оценка событий и решения

Меры и средства

События ИБ должны быть оценены и по ним должно быть принято решение, если они классифицированы как инциденты ИБ.

Рекомендации по реализации

Контактное лицо должно оценить каждую информацию о событии ИБ, используя согласованную шкалу классификации событий и инцидентов ИБ, и решить, является ли событие инцидентом ИБ. Классификация и приоритетность инцидентов может помочь идентифицировать влияние и масштаб инцидента.

Если организация имеет свою группу реагирования на инциденты ИБ (далее – ГРИИБ), оценка и решения могут быть переданы в ГРИИБ для повторной оценки и утверждения результатов.

Результаты оценки и решения должны быть детально зафиксированы для дальнейшего изучения и анализа.

Реагирование на инциденты ИБ

Меры и средства

На инциденты ИБ надо реагировать в соответствии с документированными процедурами.

Рекомендации по реализации

На инциденты ИБ должны реагировать ответственный за это сотрудник и другие специалисты организации или сторонние специализированные группы.

Реагирование должно содержать следующее:

– сбор доказательств сразу после появления инцидента;

– проведение, при необходимости, правового анализа инцидента;

– эскалацию, при необходимости;

– уверенность, что все предпринятые действия правильно зафиксированы для дальнейшего анализа;

– передача информации об инциденте и его деталях всем заинтересованным сторонам (внутренним и внешним);

– выявление уязвимости ИБ, которая привела или способствовала инциденту;

– формальное завершение инцидента и фиксация всех данных сразу после успешного его решения.

Первой задачей реагирования на инцидент является возобновление нормального уровня безопасности, а затем инициация необходимого восстановления.

Извлечение уроков из инцидентов ИБ