9.5 Идентификация улучшений системы
После разрешения инцидента руководитель ГИИБ или назначенное лицо должны проанализировать все произошедшее, чтобы оценить и определить степень результативности полной реакции на инцидент ИБ. Подобный анализ имеет целью определить, какие части системы менеджмента инцидентов ИБ работали успешно и определить потребность в каких-либо улучшениях.
Важным аспектом анализа, проводимого после реакции на инцидент, является возвращение информации и знаний обратно в систему менеджмента инцидентов ИБ. Если опасность инцидента достаточно высока, то вскоре после разрешения инцидента должно быть назначено совещание всех заинтересованных сторон, пока информация еще свежа в памяти людей. На этом собрании должны рассматриваться следующие факторы:
– Работали ли должным образом процедуры, принятые в системе менеджмента инцидентов ИБ?
– Существуют ли процедуры или методы, которые способствовали бы обнаружению инцидентов?
– Были ли определены процедуры или средства, которые использовались бы в процессе реагирования?
– Применялись ли процедуры, помогающие восстановлению информационных систем после идентификации инцидента?
– Была ли передача информации об инциденте всех причастных сторон эффективной в процессе обнаружения, сообщения и реагирования?
Результаты совещания должны быть документированы, и соответствующим образом осуществлены некоторые согласованные действия (см. подраздел 10.4 ниже).
10 Улучшение
10.1 Введение
Этап "Улучшение" охватывает внедрение рекомендаций этапа "Анализ", т. е., рекомендаций по улучшению результатов менеджмента и анализа рисков ИБ, по улучшению безопасности и системы менеджмента инцидентов ИБ. Каждая из этих тем рассматривается ниже.
10.2 Улучшение анализа рисков и менеджмента безопасности
В зависимости от опасности и воздействия инцидента ИБ, при оценке результатов анализа рисков ИБ и менеджмента ИБ может потребоваться принятие в расчет новых угроз и уязвимостей. Результатом завершения обновленного анализа рисков ИБ и анализа менеджмента ИБ может возникнуть необходимость введения измененных или новых защитных мер.
10.3 Внедрение улучшений безопасности
Следуя рекомендациям, сделанным в процессе этапа "Анализ" (см. подраздел 9.4 выше), необходимо осуществить анализ ряда инцидентов ИБ и внедрить обновленные и (или) новых защитных мер. Как обсуждалось ранее в подразделе 9.3, это могут быть технические (включая физические) защитные меры, которые могут включать в себя потребность быстрого обновления материала для проведения инструктажей с целью обеспечения осведомленности в вопросах безопасности (для пользователей и другого персонала), и быстрого анализа и выпуска рекомендаций и (или) стандартов по безопасности. Далее, информационные системы, сервисы и сети организации должны регулярно анализировать на предмет уязвимостей с целью определения уязвимостей и обеспечения процесса непрерывного улучшения систем/сервисов/сетей.
В то время, когда может проводиться анализ связанных с безопасностью процедур и документации сразу после инцидента, наиболее вероятно, что это потребуется как более поздняя реакция. После инцидента ИБ необходимо обновить, если потребуется, политики и процедуры ИБ, чтобы учесть собранную информацию и любые проблемные вопросы, обнаруженные в процессе менеджмента инцидента. Долговременной целью ГРИИБ вместе с руководителем ИБ организации является обеспечение распространения в организации этих обновлений политики и процедур ИБ.
10.4 Внедрение улучшений системы
Области, обозначенные для улучшения системы менеджмента инцидентов ИБ (см. подраздел 9.5), должны быть проанализированы, и обоснованные изменения внесены в обновление документации системы. Изменения в процессах, процедурах и в формах отчета системы менеджмента инцидентов ИБ должны быть тщательно проверены и протестированы до введения в эксплуатацию.
10.5 Другие улучшения
Другие улучшения на этапе "Анализ" могли быть определены, например, изменения в политиках, стандартах и процедурах ИБ, а также изменения в конфигурациях аппаратного и программного обеспечения.
11 Резюме
Настоящий технический отчет дает общее представление о менеджменте инцидентов ИБ, выгодах от принятия системы менеджмента инцидентов ИБ и ключевые проблемы, связанные с ее принятием. В отчете подробно описываются четкие этапы планирования и документирования системы и политики менеджмента инцидентов ИБ, наряду с соответствующими процессами и процедурами управления инцидентами ИБ и деятельность после разрешения инцидента.
Приложение AA
(информативное)
Примерные формы отчета о событиях и инцидентах ИБ
Отчеты о событиях и инцидентах ИБ
Рекомендации по заполнению
Назначением этих форм (форм отчета о событиях и инцидентах ИБ) является обеспечение информации о событии ИБ, а затем, если оно определено как инцидент, то и об инциденте ИБ для определенных лиц.
Если Вы подозреваете, что событие ИБ развивается или уже произошло, особенно такое, которое может нанести существенные потери или ущерб собственности или репутации организации, то Вы должны немедленно заполнить и передать форму отчета о событии ИБ (см. первую часть данного Приложения A) в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации.
Представленная Вами информация будет использована для начала соответствующего процесса оценки, которая определяет, должно ли это событие категорироваться как инцидент ИБ или нет, и в случае положительного ответа будут приняты необходимые корректирующие меры для предотвращения или ограничения потерь или ущерба. Поскольку этот процесс по своему характеру является критичным по времени, то необязательно заполнять все поля в форме отчета в данный момент времени.
Если Вы являетесь членом группы обеспечения эксплуатации, просматривающим уже заполненные/частично заполненные формы, то Вы должны решить, надо ли категорировать данное событие как инцидент ИБ. Если надо, то Вы должны заполнить форму для инцидента ИБ насколько возможно подробно направить и передать и форму для события, и инцидент ИБ ГРИИБ. Независимо от того, будет ли событие ИБ категорировано как инцидент или нет, в любом случае база данных событий/инцидентов ИБ должна быть обновлена.
Если Вы являетесь сотрудником ГРИИБ, просматривающим формы для событий и инцидентов ИБ, переданные членом группы обеспечения эксплуатации, то форма инцидента ИБ должна далее обновляться по мере прогресса в исследовании, и соответствующие обновления должны проводиться в базе данных событий/инцидентов ИБ.
При заполнении форм, пожалуйста, соблюдайте следующие рекомендации:
– если возможно, то формы должны заполняться и передаваться в электронном виде[11]). (Если существуют проблемы или считается, что существуют проблемы с установленными по умолчанию механизмами электронного оповещения (например, электронная почта), включая случаи, когда система, возможно, подвергается атаке, и формы отчета могут быть прочитаны неавторизованными лицами, тогда должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть на́рочные, телефон или текстовые сообщения.);
– представляйте информацию, основанную только на фактах, в которой Вы уверены, ничего не придумывайте для того, чтобы заполнить все поля. Где уместно включить информацию, которую Вы не можете подтвердить, четко укажите, что это неподтвержденная информация и почему Вы считаете, что она верная;
– вы должны подробно указать, как можно с Вами связаться. Очень скоро или спустя некоторое время может возникнуть необходимость контакта с Вами для дальнейшей информации, касающейся Вашего отчета;
Если позже Вы обнаружите, что некоторая представленная Вами информация неточна, неполна или ошибочна, то Вы должны внести поправки в Ваш отчет и представить его повторно.
Отчет о событии ИБ
Дата события | Стр. 1 из 1 | ||
Номер события:[12]) | (Если требуется) соответствующие идентификационные номера событий и (или) инцидентов: | ||
Информация о сообщающем лице | |||
Фамилия | ______________ | Адрес | ______________ |
Организация | ______________ | ______________ | |
Телефон | ______________ | Электронная почта | ______________ |
_______________________________________________ | |||
Описание события ИБ | |||
Описание события: | |||
· Что произошло | |||
· Как произошло | |||
· Почему произошло | |||
· Пораженные компоненты | |||
· Негативное воздействие на бизнес | |||
· Любые идентифицированные уязвимости | |||
Детали события ИБ | |||
Дата и время возникновения события | |||
Дата и время обнаружения события | |||
Дата и время сообщения о событии | |||
Закончилось ли событие? (отметить квадрат) | Да ð Нет ð | ||
Если «да», то уточнить, как долго длилось событие в днях/часах/минутах |
Отчет об инциденте ИБ
Дата инцидента | Стр. 1 из 5 | ||
Номер инцидента[13]) : | (Если требуется) соответствующие идентификационные номера событий и (или) инцидентов: | ||
Информация о сотруднике группы обеспечения эксплуатации | |||
Фамилия | ______________ | Адрес | ______________ |
Телефон | ______________ | Электронная почта | ______________ |
Информация о сотруднике ISIRT | |||
Фамилия | ______________ | Адрес | ______________ |
Телефон | ______________ | Электронная почта | ______________ |
_______________________________________________ | |||
Описание инцидента ИБ | |||
Дальнейшее описание инцидента: | |||
· Что произошло | |||
· Как произошло | |||
· Почему произошло | |||
· Пораженные компоненты | |||
· Негативное воздействие на бизнес | |||
· Любые идентифицированные уязвимости | |||
Детали инцидента ИБ | |||
Дата и время возникновения инцидента | |||
Дата и время обнаружения инцидента | |||
Дата и время сообщения об инциденте | |||
Закончился ли инцидент? (отметить квадрат) | Да ð Нет ð | ||
Если «да», то уточнить, как долго длился инцидент в днях/часах/минутах. Если «нет», то уточнить, как долго он уже длится |
Отчет об инциденте ИБ
Стр. 2 из 5 | |||||||||||
Тип инцидента ИБ | |||||||||||
(Отметить один квадрат, затем заполнить соответствующие поля ниже) | Действительный ð | Попытка ð | Подозрение ð | ||||||||
(Один из) | Намеренная ð | (указать типы угрозы) | |||||||||
Хищение (TH) | ð | Хакерство/Логическое проникновение (HA) | ð | ||||||||
Мошенничество (FR) | ð | Неправильное использование ресурсов (MI) | ð | ||||||||
Саботаж/физический ущерб (SA) | ð | Другой ущерб (OD) | ð | ||||||||
Вредоносная программа (MC) | ð | ||||||||||
Определить: | |||||||||||
(Один из) | Случайная ð | (указать типы угрозы) | |||||||||
Отказ аппаратуры (HF) | ð | Другие природные события (NE) | ð | ||||||||
Отказ ПО (SF) | ð | Определить: | |||||||||
Отказ связи (CF) | ð | Потеря существенных сервисов (LE) | ð | ||||||||
Пожар (HE) | ð | Недостаточное кадровое обеспечение (SS) | ð | ||||||||
Наводнение (FL) | ð | Другие случаи (OA) | ð | ||||||||
Определить: | |||||||||||
(Один из) | Ошибка ð | (указать типы угрозы) | |||||||||
Операционная ошибка (OE) | ð | Ошибка пользователя (UE) | ð | ||||||||
Ошибка аппаратной поддержки (HE) | ð | Ошибка конструкции (DE) | ð | ||||||||
Ошибка поддержки ПО (SE) | ð | Другие случаи (включая истинные заблуждения) (OA) | ð | ||||||||
Определить: | |||||||||||
Неизвестно ð | (Если еще не установлен тип инцидента (намеренный, случайный, ошибка), то следует отметить квадрат «неизвестно» и, по возможности, указать тип угрозы, ,используя сокращения, приведенные выше) | ||||||||||
Определить: | |||||||||||
Отчет об инциденте ИБ
Стр. 3 из 5 | |||||||||||
Пораженные активы | |||||||||||
Пораженные активы (если есть) | (Дать описания активов, пораженных инцидентом, или связанных с ним, включая серийные, лицензионные номера и номера версий, по возможности) | ||||||||||
Информация/Данные | ________________________________ | ||||||||||
Аппаратура | ________________________________ | ||||||||||
Программное обеспечение | ________________________________ | ||||||||||
Средства связи | ________________________________ | ||||||||||
Документация | ________________________________ | ||||||||||
Негативное воздействие/влияние инцидента на бизнес | |||||||||||
Отметить соответствующие квадраты для указанных ниже нарушений, затем в колонке «значимость» указать уровень негативного воздействия на бизнес по шкале 1¸10, используя сокращения (указатели категорий): (FD) – финансовые потери/разрушение бизнес-операций, (CE) – коммерческие и экономические интересы, (PI) – информация, содержащая персональные данные, (LR) – правовые и нормативные обязательства(это необходимо сличить с английским оригиналом),(МО) – менеджмент и бизнес-операции, (LG) – потеря престижа (см. примеры в Приложении B). Запишите кодовые буквы в колонке «указатели», а если известны действительные стоимости, то указать их в колонке «стоимость» | |||||||||||
Значимость | Указатели | Стоимость | |||||||||
Нарушение конфиденциальности (т. е., несанкционированное раскрытие) | ð | ||||||||||
Нарушение целостности (т. е., несанкционированная модификация) | ð | ||||||||||
Нарушение доступности (т. е., недоступность) | ð | ||||||||||
Нарушение неотказуемости | ð | ||||||||||
Уничтожение | ð | ||||||||||
Полные стоимости восстановления после инцидента | |||||||||||
(Где возможно, необходимо указать общие расходы на восстановление после инцидента в целом по шкале 1¸10 для «значимости» и в деньгах для «стоимости») | Значимость | Указатели | Стоимость | ||||||||
Отчет об инциденте ИБ
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
