Реферат: Информационная технология Методы и средства обеспечения безопасности Менеджмент инцидентов информационной безопасности

ГОСТ Р ИСО/МЭК 18044

(проект, первая редакция)

Экз. № ___




Федеральное агентство по техническому регулированию и метрологии




Логотип

национального органа по стандартизации





НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ





^ ГОСТ Р ИСО/МЭК 18044-

(проект, первая редакция)



Информационная технология

Методы и средства обеспечения безопасности


Менеджмент инцидентов информационной безопасности


^ ISO/IEC TR 18044:2004

Information technology – Security techniques – Information security incident management

(IDT)


Настоящий проект стандарта не подлежит применению до его принятия


Москва


2007


Предисловие


Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"


^ Сведения о стандарте


1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в п. 5

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от "___" ______ 200_ № _____
^ 4 ВВЕДЕН ВПЕРВЫЕ

5 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004 "Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2005 “Information technology – Security techniques – Information security incident management”).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении С.

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Распространение настоящего стандарта на территории Российской Федерации осуществляется с соблюдением правил, установленных Федеральным агентством по техническому регулированию и метрологии

Содержание


Введение…………………………………………………………………………………………..




1 Область применения…………………………………………………………………………




2 Нормативные ссылки………………………………………………………………..............




3 Термины и определения……………………………………………………………………..




3.1 Планирование непрерывности бизнеса…………………………………………………




3.2 Событие информационной безопасности………………………………………………




3.3 Инцидент информационной безопасности……………………………………………..




3.4 Группа реагирования на инциденты информационной безопасности……………..




3.5 Дополнительные определения……………………………………………………………




4 Исходные данные……………………………………………………………………………..




4.1 Цели……………………………………………………………………………………………




4.2 Процессы……………………………………………………………………………………..




5 Преимущества и ключевые вопросы………………………………………………………




5.1 Преимущества……………………………………………………………………………….




5.2 Ключевые вопросы………………………………………………………………………….




6 Примеры инцидентов информационной безопасности и их причины……………….




6.1 Отказ в обслуживании……………………………………………………………………...




6.2 Сбор информации…………………………………………………………………………..




6.3 Несанкционированный доступ…………………………………………………………….




7 Планирование и подготовка…………………………………………………………………




7.1 Обзор………………………………………………………………………………………….




7.2 Политика менеджмента инцидентов информационной безопасности…………….




7.3 Система менеджмента инцидентов информационной безопасности……………..




7.4 Политики менеджмента рисков и информационной безопасности………………...




7.5 Создание группы реагирования на инциденты информационной
безобезопасности………………………………………………………………………………………




7.6 Техническая и другая поддержка………………………………………………………….




7.7 Обеспечение осведомленности и обучение…………………………………………….




8 Использование………………………………………………………………………………….




8.1 Введение………………………………………………………………………………………




8.2 Обзор ключевых процессов………………………………………………………………..




8.3 Обнаружение и оповещение……………………………………………………………….




8.4 Оценка и принятие решений относительно событий/инцидентов…………………..




8.5 Реакция на инциденты………………………………………………………………………




9 Анализ…………………………………………………………………………………………….




9.1 Введение………………………………………………………………………………………




9.2 Дальнейшая судебная экспертиза………………………………………………………..




9.3 Полученные уроки……………………………………………………………………………




9.4 Идентификация улучшений безопасности………………………………………………




9.5 Идентификация улучшений системы…………………………………………………….




10 Улучшение……………………………………………………………………………………..




10.1 Введение…………………………………………………………………………………….




10.2 Улучшение анализа рисков и менеджмента безопасности………………………….




10.3 Внедрение улучшений безопасности……………………………………………………




10.4 Внедрение улучшений системы………………………………………………………….




10.5 Другие улучшения………………………………………………………………………….




11 Резюме………………………………………………………………………………………….




Приложение A (информативное) Примерные формы отчета о событиях и инцидентах ИБ…………………………………………………………………




Приложение B (информативное) Примерные общие рекомендации по оценке инцидентов ИБ………………..……………………………………………..




Приложение С (справочное) Сведения о соответствии национальных стандартов ссылочным международным стандартам……………………………….




Библиография……………………………………………………………………………………






Введение


Никакие типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут гарантировать полную защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты ИБ возможными. Инциденты ИБ могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме этого, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к ИБ, важно применять структурный и плановый подход к следующему:

обнаружению, оповещению об инцидентах ИБ и их оценке;

реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);

извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и, со временем, улучшению общего подхода к менеджменту инцидентов информационной безопасности.



1 Область применения
Настоящий стандарт устанавливает рекомендации по менеджменту инцидентов информационной безопасности для руководителей подразделения по информационной безопасности, информационных систем, сервисов и сетей.

Настоящий стандарт состоит из 11 разделов и построен следующим образом. В разделе Error: Reference source not found приводится область применения, в разделе 2 – перечень ссылок, в разделе 3 – термины и определения. В разделе 9 представлены основы менеджмента инцидентов информационной безопасности, в разделе 16 – преимущества и ключевые вопросы. Далее, в разделе 35 приводятся примеры инцидентов ИБ и объясняются причины их возникновения. В разделе 39 описываются процессы планирования и подготовки к менеджменту инцидентов ИБ, включая составление документов. Функционирование системы менеджмента инцидентов ИБ описывается в разделе 61. Этап анализа менеджмента ИБ, включая изучение полученных уроков и улучшения (повышения) безопасности, а также системы менеджмента инцидентов ИБ, описываются в разделе 81. Этап улучшения, т. е., внедрение принятых улучшений в систему безопасности и систему менеджмента инцидентов ИБ, описывается в разделе 87. Настоящий стандарт завершается кратким резюме, представленным в разделе 93. Приложение  содержит примерные формы отчетов о событиях и инцидентах ИБ. Приложение   – некоторые примерные общие рекомендации для оценки негативных последствий инцидентов ИБ, включаемых в формы отчетов. За приложениями следует раздел Библиография.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие стандарты:

ИСО/МЭК 13335-1:2004, Методы и средства обеспечения безопасности ИТ – Менеджмент безопасности информационных и коммуникационных технологий – Часть 1: Понятия и модели для менеджмента безопасности информационных и коммуникационных технологий.

ИСО/МЭК 17799:2000, Информационная технология – Практические правила менеджмента информационной безопасности.

П р и м е ч а н и е – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов в информационной системе общего пользования – на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный документ заменен (изменен), то при пользовании настоящим стандартом, следует руководствоваться замененным (измененным) стандартом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины и определения
В данном отчете применяются термины и определения, заимствованные из ИСО/МЭК 13335-1, ИСО/МЭК 17799 и приводимые ниже.
4 Планирование непрерывности бизнеса
Планирование непрерывности бизнеса является процессом обеспечения гарантии восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов. Процесс должен также обеспечивать уверенность в том, что восстановление бизнеса достигается с учетом заданных очередностей и интервалов времени, и дальнейшее восстановление всех функций бизнеса в исходное состояние.

Ключевые элементы этого процесса должны обеспечивать уверенность в том, что применяются необходимые плановые и средства и то, что они включают в себя информацию, процессы бизнеса, информационные системы и сервисы, голосовую связь и передачу данных, персонал и физические устройства.
5 Событие информационной безопасности
Событием ИБ является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
6 Инцидент информационной безопасности
Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ (примеры инцидентов ИБ даются в разделе 35).
7 Группа реагирования на инциденты информационной безопасности
Группа реагирования на инциденты информационной безопасности (ГРИИБ) является группой (командой) соответственно обученных и доверенных членов организации, которая обрабатывает инциденты ИБ во время их жизненного цикла. Иногда эта группа может дополняться внешними экспертами, например, из официально признанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).
8 Дополнительные определения
См. также определения, содержащиеся в Глоссарии ИСО/МЭК СТК 1 ПК 27.
9 Исходные данные 10 Цели
В качестве основной части общей стратегии ИБ организации важно иметь структурированный, хорошо спланированный метод менеджмента инцидентов ИБ. Целями такого метода является обеспечение того, что:

события ИБ могут быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к категории инцидентов ИБ1);

идентифицированные инциденты ИБ оценены и разрешены (урегулированы) наиболее подходящим и результативным способом;

негативные воздействия инцидентов ИБ на организацию и ее бизнес-операции можно минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, возможно, наряду с применением соответствующих элементов из плана(ов) непрерывности бизнеса;

из инцидентов ИБ и их менеджмента можно быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.
11 Процессы
Для достижения целей, описанных в 10 , менеджмент инцидентов ИБ состоит из четырех отдельных процессов:

Планирование и подготовка;

Использование;

Пересмотр (анализ);

Улучшение2).

(Необходимо отметить, что эти процессы аналогичны процессам модели PDCA, используемой в международных стандартах ИС 9000 и ИС 14000).

Примерное содержание этих процессов показано на рисунке 1, ниже.
^ 12 Планирование и подготовка
Эффективный менеджмент инцидентов ИБ требует надлежащего планирования и подготовки. Чтобы реакция на инциденты ИБ была эффективной, необходимы следующие действия:

разработка и документирование политики менеджмента инцидентов ИБ, а также очевидная поддержка этой политики со стороны основных акционеров и, в особенности, высшего руководства;

разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки для обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также детали шкалы3) опасности инцидентов должны быть отражены в документации на систему. (Следует заметить, что в некоторых организациях такая система может называться планом реагирования на инциденты ИБ);

обновлять политики менеджмента ИБ и рисков на всех уровнях, т. е., корпоративном, и для каждой системы, сервиса и сети, с учетом системы менеджмента инцидентов ИБ;



Рисунок 2 – Процессы менеджмента инцидентов ИБ

создать в организации соответствующую организационную структуру менеджмента инцидентов ИБ, т. е., ГРИИБ, с определенными ролями и ответственностями персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является действующей группой состоящей из его руководителя, поддерживаемого группой специалистов, специализирующихся на конкретных областях,, например, при отражении атак вредоносной программы привлекается специалист по инцидентам подобного типа;

оповещать весь персонал организации посредством инструктажей и (или) иных способов о существовании системы менеджмента инцидентов ИБ, ее преимуществах и о том, как надлежащим образом сообщать о событиях ИБ. Должно проводиться соответствующее обучение персонала, ответственного за управление системой менеджмента инцидентов ИБ, лицами, принимающими решения по определению того, являются ли события инцидентами, и лицами, исследующими инциденты;

тщательно тестировать систему менеджмента инцидентов ИБ.

Фаза "Планирование и подготовка" далее описывается в разделе 39.
^ 13 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимы следующие процессы:

обнаружение и сообщение о возникновении событий ИБ (человеком или автоматическими средствами);

сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;

реагирование на инциденты ИБ:

немедленно, в реальном или почти реальном масштабе времени;

если инциденты ИБ находятся под контролем, выполнять действия, которые могут потребоваться в более позднее время (например, при оказании помощи по полному восстановлению после катастрофы);

если инциденты ИБ не находятся под контролем, то выполнять "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать план непрерывности бизнеса);

сообщать о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (это может включать, по требованию, обострение инцидента с целью проведения дополнительных оценок и (или) принятия решения);

судебная экспертиза;

надлежащая регистрация всех действий и решений для последующего анализа;

завершение решения проблемы инцидентов.

Этап "Использование" описывается далее в разделе 61.
14 Анализ
После разрешения/закрытия инцидентов ИБ необходимо предпринять следующие действия по анализу состояния ИБ:

провести дальнейшую судебную экспертизу, если потребуется;

изучить уроки, извлеченные из инцидентов ИБ;

определить улучшения для внедрения защитных мер ИБ, как результат полученных уроков, извлеченных из одного или нескольких инцидентов ИБ;

определить улучшения системы менеджмента инцидентов ИБ в целом, учитывая уроки, извлеченные из анализов гарантии качества предпринимаемого метода (например, из анализа результативности процессов, процедур, форм отчета и(или) организации.

Этап "Анализ" далее описывается в разделе 81.
15 Улучшение
Известно, что процессы менеджмента инцидентов ИБ являются итеративными, с регулярными улучшениями, вносимыми со временем в ряд элементов ИБ. Эти улучшения предлагаются на основе данных по инцидентам ИБ и реагированию на них, а также данных по динамике тенденций. Этап "Улучшение" включает:

пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации;

улучшение системы менеджмента инцидентов ИБ и ее документации;

инициирование улучшений в области безопасности, включая внедрение новых и (или) обновленных защитных мер ИБ.

Этап "Улучшение" далее описывается в разделе 87.
16 Преимущества и ключевые вопросы
В данном разделе представлена информация о:

преимуществах, получаемых от оптимальной системы менеджмента инцидентов ИБ;

ключевых вопросах, которые необходимо рассмотреть, чтобы убедить в преимуществах высшее корпоративное руководство и персонал, который будет предоставлять отчеты в систему и получать от нее информацию.
17 Преимущества
Любая организация, использующая структурный подход к менеджменту инцидентов ИБ, может извлечь из этого значительные преимущества, которые можно объединить в следующие группы:

улучшение ИБ;

уменьшение последствий негативных воздействий на бизнес, например, прерывание бизнеса и финансовые потери, как последствия инцидентов ИБ;

концентрация внимания по вопросам предотвращения инцидентов;

концентрация внимания на установление приоритетов и свидетельств;

вклад в обоснование бюджета и ресурсов;

обновление результатов менеджмента и анализа рисков на более совершенном уровне;

предоставление материала для программ повышения осведомленности и обучения в области ИБ;

предоставление входных данных для анализа политики ИБ и соответствующей документации.

Каждый из этих вопросов рассматривается ниже.
18 Улучшение безопасности
Структурный процесс обнаружения, оповещения, оценки и менеджмента инцидентов и событий ИБ позволяет быстро идентифицировать и реагировать на любое событие или инцидент ИБ, тем самым, улучшая общую безопасность за счет быстрого определения и реализации правильного решения, а также обеспечивая средства предотвращения подобных инцидентов ИБ в будущем.
19 Снижение негативных воздействий на бизнес
Структурный подход к менеджменту инцидентов ИБ может способствовать снижению уровня негативных воздействий на бизнес, связанных с инцидентами ИБ. Эти воздействия могут включать в себя непосредственные финансовые потери, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности.
20 Концентрация внимания на предотвращении инцидентов
Использование структурного подхода к менеджменту инцидентов ИБ может помочь сконцентрировать внимание на предотвращении инцидентов внутри организации. Анализ данных, связанных с инцидентами позволит определить модели и тенденции, тем самым, способствуя более точной концентрации на предотвращении инцидентов и, следовательно, идентификации соответствующих действий для предотвращения возникновения инцидентов.
21 Усиление системы установления приоритетов и свидетельств
Структурный подход к менеджменту инцидентов ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ.

При отсутствии четких процедур, существует риск того, что деятельность по расследованию будет проводиться в активном режиме, когда реагирование на инциденты будет осуществляться по мере их появления, и на "окрик" соответствующего руководителя. Однако это может помешать осуществлению деятельности по расследованию там, где она действительно необходима, причем в последовательности, соответствующей идеальной установки приоритетов.

Четкие процедуры расследования инцидентов могут обеспечить уверенность в том, что сбор данных и их обработка очевидно правильны и допустимы юридически. Это имеет большое значение в случае возникновения судебного преследования или дисциплинарного взыскания. Однако, следует признать, что есть вероятность того, что действия, необходимые для восстановления после инцидента ИБ, могут подвергнуть риску целостность любого полученного свидетельства.
22 Бюджет и ресурсы
Хорошо определенный и структурированный подход к менеджменту инцидентов ИБ поможет обосновать и упростить распределение бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система менеджмента инцидентов ИБ. Такие выгоды связаны с:

использованием менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;

обеспечением лучшего руководства действий квалифицированного персонала;

привлечением квалифицированного персонала только для тех процессов, где требуется его навыки, и только на той стадии процесса, где его содействие необходимо.

Кроме того, структурный подход к менеджменту инцидентов ИБ может включать в себя процедуру "отметки времени", так что обеспечивает возможность делать "количественные" оценки обработки инцидентов ИБ в организации. Это сделает возможным, например, получение информации о времени разрешения инцидентов с различными приоритетами на различных платформах. При наличии узких мест в процессе менеджмента инцидентов ИБ, эти узкие места они также должны быть идентифицируемы.
23 Менеджмент и анализ рисков ИБ
Использование структурного подхода к менеджменту инцидентов ИБ способствует:

сбору лучших данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;

предоставление данных о частоте возникновения идентифицированных типов угроз.

Данные, полученные о негативных последствиях воздействия инцидентов ИБ на бизнес, будут полезны для анализа воздействия на него. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.

Такие данные значительно улучшат результаты анализа менеджмента и анализа рисков ИБ.
24 Осведомленность в вопросах ИБ
Структурный подход к менеджменту инцидентов ИБ дает сконцентрированную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта сконцентрированная информация является источником реальной примерной информации, способной продемонстрировать, что инциденты ИБ действительно происходят именно в данной организации и не всегда "где-то у других". Этим также демонстрируют выгоды быстрого получения информации, необходимой для принятия решений. Более того, подобная осведомленность в вопросах ИБ позволяет снизить вероятность ошибки, паники/растерянности в случае возникновения инцидента ИБ.
25 Входные данные для пересмотра политики ИБ
Информация, представляемая системой менеджмента инцидентов ИБ, может обеспечить ценные входные данные для анализов результативности и последующего усовершенствования политик ИБ (и другой документации, связанной с ИБ). Это относится к политикам и другой документации как на уровне организации, так и для отдельных систем, сервисов и сетей.
^ 26 Ключевые вопросы
Обратная связь менеджмента инцидентов ИБ обеспечивает уверенность персонала в том, что его работа остается сфокусированной на реальных рисках для систем, сервисов и сетей организации. Эта важная обратная связь не может быть результативной, реализована, если инциденты ИБ обрабатываются по мере их появления на специально разработанной основе. Такая связь может быть более результативной в случае структурной, хорошо спроектированной системы менеджмента инцидентов ИБ, которая применяет общую структуру для всех частей организации. Данная структура должна непрерывно обеспечивать получение от системы более полных результатов и представлять надежную основу для быстрого определения возможных условий инцидента ИБ до его появления, и которые иногда называются "тревожными сигналами".

Менеджмент и аудит системы менеджмента ИБ обеспечивают основу доверия, необходимого для расширения совместной работы с персоналом и снижения недоверия относительно сохранения анонимности, безопасности и доступности полезных результатов. Например, руководящий и рабочий персонал должны быть уверены в том, что "тревожные сигналы" сообщат своевременную, точную и полную информацию относительно ожидаемого инцидента.

При внедрении систем менеджмента инцидентов ИБ организациям следует избегать таких потенциальных проблем, как отсутствие полезных результатов и озабоченности, касающейся вопросов, связанных с неприкосновенностью информации о персональных данных. Необходимо убедить заинтересованные стороны в том, что для предотвращения появления таких проблем были предприняты определенные шаги.

Таким образом, для построения оптимальной системы менеджмента инцидентов ИБ нужно рассмотреть большое число ключевых вопросов, включая:

обязательства руководства;

осведомленность;

правовые и нормативные аспекты;

эксплуатационную результативность и качество;

анонимность;

конфиденциальность;

доверие к работе;

типологию.

Каждый из этих вопросов обсуждается ниже.
^ 27 Обязательства менеджмента (руководства)
Обеспечение непрерывной поддержки со стороны менеджмента жизненно необходимо для принятия структурного подхода к менеджменту инцидентов ИБ. Персонал должен распознавать инциденты и знать, что делать, и осознавать большие преимущества такого подхода для организации. Однако это станет маловероятным при отсутствии поддержки со стороны руководства. Эту мысль надо внушить руководству, чтобы организация занималась обеспечением ресурсами и поддержкой способности реагирования на инциденты.
28 Осведомленность
Другим важным элементом принятия структурного подхода к менеджменту инцидентов ИБ является осведомленность. Пока будет потребность в участии пользователей, они вряд ли будут эффективно участвовать в работе организации, если не будут осведомлены о том, какую выгоду они и их подразделение получат от участия в структурном подходе к управлению инцидентами информационной безопасности.

Любая система менеджмента инцидентов ИБ должна сопровождаться документом с определением программы осведомленности, включающим следующее:

преимущества, получаемые от структурного подхода к менеджменту инцидентов ИБ, как для организации, так и для ее персонала;

информацию об инцидентах, хранящуюся в базе данных событий/инцидентов ИБ, и выходные данные из нее;

стратегию и механизмы программы обеспечения осведомленности, которая, в зависимости от организации, может быть отдельной программой или частью более широкой программы обеспечения осведомленности в вопросах ИБ.
^ 29 Правовые и нормативные аспекты
Следующие правовые и нормативные аспекты менеджмента инцидентов ИБ должны быть рассмотрены в политике менеджмента инцидентов ИБ и в соответствующей системе.

^ Обеспечение адекватной защиты персональных данных и неприкосновенность персональной информации. В странах, где существует специальное законодательство, защищающее конфиденциальность и целостность данных, этот аспект часто ограничен контролем персональных данных. Поскольку инциденты ИБ обычно связаны с неким лицом, то такая информация личного характера может потребовать соответствующей регистрации и управления. Следовательно, при структурном подходе к менеджменту инцидентов ИБ следует учитывать соответствующую защиту информации о персональных данных. Этот факт включает следующее:

лица, имеющие доступ к личным данным, не должны лично знать тех людей, информация о которых изучается;

лица, имеющие доступ к личным данным, должны подписать соглашение об их неразглашении до того, как получат доступ к этим данным;

информация о персональных данных должна использоваться исключительно для тех целей, для которых она была получена, т. е., для расследования инцидентов ИБ.

^ Соответствующее хранение записей. Некоторые федеральные законы требуют, чтобы компании вели соответствующие записи своей деятельности для анализа в процессе ежегодного аудита организации. Подобные требования существуют для правительственных организаций. В некоторых странах от организаций требуется информирование или создание архивов для обеспечения правопорядка (например, в любом случае совершения серьезного преступления или проникновение в засекреченную правительственную систему).

^ Защитные меры для обеспечения выполнения коммерческих договорных обязательств. Там, где существуют обязывающие требования по предоставлению услуг по менеджменту инцидентов ИБ (например, требования ко времени реагирования), организация должна гарантировать предоставление соответствующей ИБ для обеспечения выполнения таких обязательств при любых обстоятельствах. (В связи с этим, если организация заключает контракт со сторонней организацией (см. 58), например, КГБР, должна быть гарантия, что все требования, включая время реагирования, включены в контракт со сторонней организацией).

^ Правовые вопросы, связанные с политиками и процедурами. Необходима проверка политик и процедур, связанных с системой менеджмента инцидентов ИБ, на наличие правовых и нормативных вопросов, например, имеются ли уведомления о дисциплинарных взысканиях и (или) судебные иски, принимаемые к лицам, создающим инциденты. В некоторых странах вопрос с увольнением решить довольно трудно.

^ Проверка на законность непризнания. Все непризнания действий, предпринятых группой менеджмента инцидентов ИБ или внешним вспомогательным персоналом, должны быть проверены на законность.

^ Включение в контракты со сторонним персоналом всех необходимых аспектов. Контракты со сторонним вспомогательным персоналом, например, КГБР, должны тщательно проверяться на наличие отказов за несение ответственности за нарушение обязательств неразглашения, доступности услуг и от последствий за неправильные консультации.

^ Соглашения о неразглашении. От членов группы менеджмента инцидентов ИБ могут потребовать подписать соглашения о неразглашении как при устройстве на работу, так и при увольнении. В некоторых странах такие соглашения могут не иметь юридической силы; данный аспект необходимо подвергать проверке.

^ Требования применения закона. Необходимо, обеспечить ясность вопросов, связанных с возможностью того, что правоприменяющие органы на законном основании могут затребовать информацию от системы менеджмента инцидентов ИБ. Может случиться так, что такая ясность потребуется на минимальном уровне, требуемом законом, по которому инциденты должны документироваться, и насколько долго документация должна храниться.

^ Аспекты ответственности. Необходимо уточнить вопросы потенциальной ответственности и соответствующих необходимых защитных мер. Примерами событий, связанных с вопросами ответственности, являются следующие:

если некоторый инцидент может повлиять на деятельность другой организации (например, раскрытие общей информации), но она вовремя не оповещается и несет ущерб;

если в продукции обнаружена новая уязвимость, но поставщик не был уведомлен об этом, в результате имел место главный инцидент, который позже нанес сильное воздействие на одну или несколько организаций;

если не было сделано сообщение в конкретной стране, где, от организаций требуется информирование или создание архивов для правоохранительных агентств касательно всех случаев, которые могут повлечь за собой тяжкое преступление или вторжение в правительственные системы с ограниченным доступом или часть важной государственной инфраструктуры;

если информация раскрыта, то это может указывать на то, что некое лицо или некоторая организация могли быть причаст