ГОСТ Р ИСО/МЭК ТО 18044—2007
- формы докладов1>о событиях2’ и инцидентах3’ ИБ (примеры форм приведены в приложении А),
соответствующие документированные процедуры и действия, связанные со ссылками на нормальные
процедуры использования данных и системы, сервисов и (или) сетевого резервирования, планами
обеспечения непрерывности бизнеса:
- операционные процедуры для ГРИИБ с документированными обязанностями и распределением
функций среди назначенных ответственных лиц4>для осуществления различных видов деятельности,
например таких, как:
- отключение атакованной системы, сервиса и (или) сети при определенных обстоятельствах по
согласованию с соответствующим руководством ИТ и (или) бизнеса и в соответствии с предваритель
ным соглашением;
- оставление атакованной системы, сервиса и(или) сети в работающем состоянии и подсоединен
ной к сети;
- ведение мониторинга потока входящих, выходящих или находящихся в атакованной системе,
сервисе и (или) сети данных:
- активация нормальных дублирующих процедур и действий по планированию непрерывности
бизнеса согласно политике безопасности системы, сервиса и (или) сети;
- ведение мониторинга и организация защищенного хранения свидетельств в электронном виде
на случай их востребования для судебного разбирательства или дисциплинарного расследования внут
ри организации;
- передача подробностей об инциденте ИБ сотрудникам своей организации и сторонним лицам
или организациям:
- тестирование функционирования системы менеджмента инцидентов ИБ. ее процессов и проце
дур (см. 7.3.5);
- обновление политик менеджмента и анализа рисков ИБ. корпоративной политики ИБ, специаль
ных политик ИБ для систем, сервисов и (или) сетей для включения ссылок на менеджмент инцидентов
ИБ и обеспечение регулярного пересмотра этих политик в контексте выходных данных системы
менеджмента инцидентов ИБ (см. 7.4);
- создание ГРИИБ с соответствующей программой обучения ее персонала (см. 7.5);
- технические и другие средства поддержки системы менеджмента инцидентов безопасности ИБ
(и деятельности ГРИИБ) (см. 7.6);
- проектирование и разработка программы обеспечения осведомленности о менеджменте инци
дентов ИБ (см. 7.7), ознакомление с этой программой всего персонала организации (и повторное прове
дение ознакомления в дальнейшем в случае кадровых изменений).
В следующих подразделах приведено описание каждого вида этой деятельности, включая содер
жание каждого требуемого документа.
7.2 Политика менеджмента инцидентов информационной безопасности
7.2.1 Назначение политики
Политика менеджмента инцидентов ИБ предназначена для всего персонала, имеющего авторизо
ванный доступ к информационным системам организации и местам их расположения.
7.2.2 Лица, связанные с политикой менеджмента инцидентов информационной безопас
ности
Политика менеджмента инцидентов ИБ утверждается старшим должностным лицом организации
с документально подтвержденными полномочиями, полученными от высшого руководства. Политика
должна бытьдоступнадля каждогосотрудника и подрядчика идоведена через инструктаж и обучение с
целью обеспечения их осведомленности в области ИБ (см. 7.7).
’• Если возможно, эти формы должны быть представлены в электронном виде (например, на защищенной
веб-странице) и связаны с базой данных, хранящей электронную информацию о событиях/инцидентах ИБ. В насто
ящее время бумажная технология требовала бы слишком много времени и была бы неэффективной.
2| Форму заполняет лицо, принимающее сообщение (то есть не член группы менеджмента инцидентов ИБ).
S| Эта форма используется персоналом менеджмента инцидентов ИБ для пополнения первоначальной ин
формацией о событии ИБ. текущего ведения записей оценок инцидента и пр. до полного разрешения инцидента. На
каждой стадии в базу данных событий/инцидентое ИБ включаются обновления. Запись в базе данных, содержащая
«заполненную» форму или сведения о событиях/инцидентах ИБ. далее используется в деятельности по разреше нию
инцидента.
4’ В небольших организациях одно и то же лицо может выполнять несколько функций.
13