ГОСТ Р ИСО/МЭК ТО 18044—2007
7.2.3 Содержание политики менеджмента инцидентов информационной безопасности
Политика менеджмента инцидентов ИБ должна включать в себя следующие вопросы:
- значимость менеджмента инцидентов ИБ дляорганизации, атакже обязательства высшего руко
водства относительно поддержки менеджмента и его системы;
- общее представление об обнаружении событий ИБ. оповещении о них исборе соответствующей
информации, а также о путях использования этой информации для определения инцидентов ИБ. Это
общее представлениедолжносодержать перечень возможных событий ИБ. а также информацию отом,
как сообщать о ней. что. где и кому сообщать, а также какобращаться с совершенно новыми событиями
ИБ;
- общее представление об оценке инцидентов ИБ. включая перечень ответственных лиц. необхо
димые для выполнения действия, уведомления об инцидентах идальнейшие действия ответственных
лиц;
- краткое изложение действий после подтверждения того, что событие ИБ является инцидентом
ИБ. Эти действия представляют:
- немедленное реагирование;
- правовую экспертизу;
- передачу информации соответствующему персоналу или сторонним организациям:
- проверку, находится ли инцидент ИБ под контролем;
- дальнейшее реагирование:
- объявление «кризисной ситуации»;
- определение критериев усиления реагирования на инциденты ИБ;
- определение ответственного за инцидент лица;
- ссылку на необходимость правильной регистрации всех действий для дальнейшего и непрерыв
ного мониторинга с целью обеспечения защищенного хранения свидетельств в электронном виде на
случай их востребования для судебного разбирательства или дисциплинарного расследования внутри
организации:
- действия, следующие за разрешением инцидента ИБ. включая извлечение урока из инцидента и
улучшение процесса, следующего за инцидентами ИБ;
- подробности места хранения документации о системе, включая процедуры хранения:
- общее представление о деятельности ГРИИБ. включающее в себя следующие вопросы:
- организационную структуру ГРИИБ и весь основной персонал группы, включая лиц, ответствен
ных за:
- краткое информирование высшего руководства об инцидентах:
- проведение расследований и другие действия персонала группы после объявления «кризисной
ситуации»;
- связь со сторонними организациями (при необходимости);
- положение о менеджменте ИБ. область деятельности ГРИИБ и полномочия, в рамках которых
она будет ее осуществлять. Это положениедолжно включать в себя, как минимум, формулировку целе
вого назначения, определениеобластидеятельности ГРИИБ и подробности об учредителе ГРИИБ и его
полномочиях;
- формулировку целей ГРИИБ применительно к основной деятельности группы персонала. Для
выполнения своих функций персонал должен участвовать в оценке инцидентов ИБ. реагировании на
них и управлении ими. а также в их успешном разрешении. Для целей и назначения ГРИИБ требуется
четкое и однозначное определение;
- определение сферы деятельности ГРИИБ. Обычно в сферу деятельности ГРИИБ организации
входят все информационные системы, сервисы и сети организации. В некоторых случаяхдля организа
ции может потребоваться сужение сферы действия ГРИИБ. При этом необходимо четко документиро
вать. что входит и что не входит в сферу ее деятельности;
- личность учредителя ГРИИБ — старшегодолжностного лица (член правления, старший руково
дитель). который санкционирует действия ГРИИБ и устанавливает уровни полномочий, переданных
ГРИИБ. Осведомленность об этом поможет всему персоналу организации понять предпосылки созда ния
и структуру ГРИИБ. что является крайне важной информацией для формирования доверия к ГРИИБ.
Следуетотметить, что перед обнародованием подробностей о создании и структуре ГРИИБ не обходимо
проверить законность этого действия. В некоторых обстоятельствах раскрытие полномочий группы
персонала может послужитьпричиной предъявления ей претензий понарушению обязательств;
14