Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников
Шрифт:
Интервал:
Закладка:
Руководитель ГРИИБ обязан:
— немедленно принимать меры для решения инцидента на основании заранее делегированных полномочий;
— иметь отдельную линию для связи с руководством, изолированную от обычных бизнес-коммуникаций;
— обеспечить высокий уровень знаний и мастерства всех членов ГРИИБ, а также постоянную поддержку этого уровня;
— поручать расследование каждого инцидента наиболее компетентному члену ГРИИБ.
Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать необходимые действия для решения инцидента ИБ. Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточнить, кого в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ.
Взаимодействие с заинтересованными сторонами
Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством и задокументированы. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Организация должна установить взаимодействие ГРИИБ с внешними организациями (заинтересованными сторонами), в число которых входят следующие:
— контрактный персонал внешней поддержки,
— национальная ГРИИБ,
— сервис-провайдеры, в том числе поставщики телекоммуникационных и интернет-услуг,
— службы охраны правопорядка,
— аварийные службы,
— соответствующие правительственные органы,
— юридические службы,
— официальные лица по связям с общественностью и/или представители СМИ,
— бизнес-партнеры,
— потребители,
— общественность.
1.5. Техническая и другая поддержка
Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы.
Мероприятия поддержки включают в себя:
— доступ к деталям активов, которые своевременно обновляются, и их связям с бизнес-функциями;
— доступ к задокументированным процедурам кризисного управления;
— документированные и опубликованные процессы коммуникаций;
— использование базы данных уязвимостей / событий / инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (иногда сделанные вручную записи также оказываются востребованными и используются организацией);
— использование стандартного формата и протокола обмена для получения и обработки тревоги или информации об уязвимостях / событиях / инцидентах с целью оперативного обеспечения осведомленности персонала и возможности повторного использования;
— средства сбора и анализа правовых доказательств;
— адекватные соглашения кризисного управления для базы данных уязвимостей / событий / инцидентов ИБ.
Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны поддерживать:
— быстрое получение отчетов о уязвимости / инциденте / событии ИБ;
— уведомление предварительно отобранного внешнего персонала соответствующими средствами (например электронная почта, факс или телефон), то есть запрашивая поддержку надежной доступной базы данных (включая бумажные и другие резервные копии) и средство передачи информации безопасным способом (при необходимости);
— соблюдение мер предосторожности, соответствующих оцененным рискам, для гарантирования, что линия коммуникации или интернет не прослушиваеться и остается доступной во время атаки на систему, сервис и/или сеть (возможно, потребуется предварительное планирование механизмов альтернативной связи);
— соблюдение предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и/или сеть;
— процесс сбора всех данных об ИС, сервисе и/или сети и всех обрабатываемых и сохраненных данных;
— использование криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и/или сети и данные подверглись изменениям;
— упрощение архивирования и защиты собранной информации (например, применяя ЭЦП к лог-файлам и другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);
— подготовка распечаток (например, лог-файлов), в том числе, демонстрирующих процессы развития и разрешения инцидента ИБ и системы охраны вещественных доказательств при их передаче;
— восстановление штатного режима работы системы, сервиса и/или сети с помощью процедур, связанных с кризисным управлением:
• тестирование резервных копий,
• защита от вредоносного ПО,
• хранение исходных носителей с системным и прикладным ПО,
• хранение загрузочного носителя системы,
• хранение безопасных патчей для системы и приложений.
Атакованная ИС, сервис и/или сеть могут функционировать неправильно. Поэтому работа технического средства (программного или аппаратного обеспечения), необходимого для реагирования на инцидент ИБ, не должна быть основана на системах, сервисах и/или сетях, используемых в организации.
Все технические средства должны быть тщательно отобраны, правильно внедрены и регулярно тестироваться (включая тестирование полученных резервных копий). По возможности, технические средства реагирования на инциденты должны быть полностью автономными.
Группа поддержки организации обеспечивает поддержку всех аспектов информационных технологий и связанной с ними обработки информации, поэтому играет ключевую роль в управлении инцидентами ИБ. Как только приходит сообщение о событиях ИБ, группа поддержки обрабатывает их в фазе обнаружении и оповещения.
Группа поддержки должна рассмотреть собранную информацию и сделать первичную оценку события ИБ, является ли оно инцидентом. Если событие не является инцидентом, группа поддержки им занимается. Если событие является инцидентом, группа поддержки может им заниматься, однако в большинстве случаев ответственность за работу с инцидентом необходимо передать ГРИИБ.
Группа поддержки на каждом предприятии может быть построена разнообразными способами (имеется в виду реализации процессов поддержки). Существует несколько моделей службы поддержки, например: централизованная, локальная, виртуальная — с единым телефонным центром и т. д. Группа поддержки может быть организована как в целях обслуживания внешних клиентов (аутсорсинг и т. п.), так и внутренних (подразделение ИТ-департамента на крупных предприятиях).
Правильно организованная техподдержка (Help Desk, Service Desk) всегда начинается с регистрации всех обращений конечных пользователей, служит единой точкой для общения пользователя с подразделением ИТ.
На больших предприятиях техподдержка часто организована по двухуровневому принципу:
— пользователь обращается с вопросом в службу поддержки по телефону или с помощью электронной заявки (электронная почта, или специальные сервисы подачи заявок);
— оператор (1-я линия поддержки, Call-center) регистрирует обращение, при возможности помогает пользователю самостоятельно, либо передаёт заявку на 2-ю линию поддержки и контролирует ее выполнение;
— 2-я линия поддержки получает заявки от 1-й линии, работает по ним, при необходимости привлекая к решению проблемы специалистов из других отделов предприятия (системные и сетевые администраторы, поддержка специального ПО и оборудования и т. д.).
Основные механизмы технической поддержки должны быть следующими:
— внутренний аудит ИБ (для оценки уровня безопасности и отслеживаемых уязвимых систем);
— системы обнаружения вторжения;
— устройства мониторинга и защиты сети;
— антивредоносное ПО.
Дополнительные механизмы технической поддержки могут быть следующими:
— технологическое отслеживание новых видов угроз и атак;
— управление уязвимостями (включая безопасное обновление и исправление уязвимых систем);
— логи аудита и ПО их мониторинга.
Эти механизмы должны содержать документированные ответственности и оперативные процедуры действий группы поддержки.
1.6. Осведомленность и обучение персонала
Весь персонал должен пройти обязательное обучение и все виды инструктажей, чтобы быть осведомленным о функционировании схемы управления инцидентами ИБ, ее выгодах и как обнаруживать, анализировать, оценивать события, инциденты и уязвимости ИБ и