Информационная безопасность: Обработка инцидентов
- 19.03.2013 10:20
После того, как событие ИБ зафиксировано и помещено в базу данных, оно подвергается процедуре обработки, которая принята в организации. Процедура может быть произвольной, в зависимости от масштабов и значимости инцидента – от автоматического блокирования учетной записи до приостановки бизнес-процессов с информированием правоохранительных органов и высшего руководства компании.
Существующие стандарты для данной процедуры базируются на стандартной модели непрерывного совершенствования процессов – PDCA (Plan, Do, Check, Act) - Планируй, Выполняй, Проверяй, Действуй.
В рамках ISO 27001 данная модель описана как основа функционирования системы управления ИБ в целом, посему не является исключением и управление инцидентами. Для эффективной работы схемы необходимо придерживаться определенных формальных принципов, которые должны быть приняты в компании. Роль руководства предприятия в ИБ велика, поскольку полностью делегировать решение данной группы вопросов IT-специалистам невозможно.
Условия эффективной работы процедуры
обработки инцидентов
Чтобы процедура обработки инцидентов давала результаты, кроме непосредственного факта фиксации инцидента, необходимо сделать следующее:
Разработать и применять детальную политику реагирования на события ИБ.
Создать формализованную процедуру обработки инцидентов.
Оговорить юридические аспекты расследования инцидента.
Утвердить структуру подразделения, которое будет заниматься реагированием на инциденты. Основные типы подобных структур: централизованная и корпоративная модель.
Организовать взаимодействие подразделения по расследованию инцидентов со всеми профильными специалистами: юристами, кадровиками, службой информационной безопасности и прочие.
Провести техническое оснащение и обучение подразделения расследования, разграничить зоны ответственности.
Подобный комплекс мер сделает обработку инцидентов непрерывной, принимаемые меры максимально эффективными и своевременными, оптимизированными с точки зрения вовлекаемых ресурсов и сроков. Кроме этого, необходимо предпринять усилия для предотвращения инцидентов, что позволит сократить их количество и уменьшит риски при возникновении инцидента. Следует помнить, что превентивные меры являются значительно менее дорогостоящими относительно последствий инцидента ИБ. При этом формальные регламенты ИБ и средства технической защиты должны быть адекватны ресурсам, которые они призваны защищать.