ГОСТ Р ИСО/МЭК ТО 18044—2007
- неправильному использованию информационных систем (например, с нарушением закона или
политики организации).
Инциденты могут вызываться, например, следующими факторами:
- нарушениями физической защиты безопасности, приводящими к несанкционированному досту
пу к информации и хищению устройств хранения данных, содержащих значимые данные, например
ключи шифрования:
- неудачно и (или) неправильно конфигурированными операционными системами по причине не
контролируемых изменений в системе или неправильным функционированием программного или аппа
ратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал
получает доступ к информации, не имея на это разрешения.
6.3 Несанкционированный доступ
Несанкционированныйдоступ как тип инцидента включает в себя инциденты, не вошедшие в пер
вые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа
в системуили неправильного использования системы, сервиса или сети. Некоторые примеры несанкци
онированного доступа с помощью технических средств включают в себя:
- попытки извлечь файлы с паролями.
- атаки переполнения буфера с целью получения привилегированного (например, на уровне сис
темного администратора) доступа к сети;
- использование уязвимостей протоколадля перехвата соединения или ложного направления ле
гитимных сетевых соединений;
- попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно
имеющимися у пользователя или администратора.
Инциденты несанкционированного доступа, создаваемые нетехническими средствами, которые
приводят к прямому или косвенному раскрытию или модификации информации, нарушениям учетности
или неправильному использованию информационных систем, могут вызываться следующими
факторами:
- разрушением устройств физической защиты с последующим несанкционированным доступом к
информации;
- неудачной и (или) неправильной конфигурацией операционной системы вследствие неконтроли
руемых изменений в системе или неправильного функционирования программного или аппаратного
обеспечения, приводящих к результатам, подобным тем. которые описаны в последнем абзаце 6.2.
7 Этап «Планирование и подготовка»
Этап «Планирование и подготовка» менеджмента инцидентов ИБ включает в себя:
- документирование политики обработки сообщений о событиях и инцидентах ИБ исистеме, соот
ветствующей этой политике (включая родственные процедуры);
- создание подходящей структуры менеджмента инцидентов ИБ в организации и подбор соответ
ствующего персонала;
- создание программы обучения и проведения инструктажа с целью обеспечения осведомленнос
ти о менеджменте инцидентов.
После завершения этого этапа организация должна быть полностью готова к надлежащей обра
ботке инцидентов ИБ.
7.1 Общее представление о менеджменте инцидентов информационной безопасности
Для результативного и эффективного ввода менеджмента инцидентов ИБ в эксплуатацию после
необходимого планирования следует выполнить ряд подготовительных действий. Эти подготовитель
ные действия включают в себя:
- формулирование и разработку политики менеджмента инцидентов ИБ, а также получение от
высшего руководства утверждения этой политики (см. 7.2);
- разработку и документирование подробной системы менеджмента инцидентов ИБ (см. 7.3).
Документация системы менеджмента инцидентов ИБ должна содержать следующие элементы:
- шкалу серьезности для классификации инцидентов ИБ. Как указано в 4.2.1. такая шкала может
состоять, например, издвух положений: «значительные» и «незначительные». Влюбом случае положе
ние шкалы основано на фактическом или предполагаемом ущербе для бизнес-операций организации;
12