ГОСТ Р ИСО/МЭК ТО 18044—2007
литике менеджмента инцидентов ИБ и соответствующей ей системе. В соответствующие разделы
необходимо включать обязательства высшего руководства и описание:
- политики:
- процессов системы и соответствующей инфраструктуры;
- требований по обнаружению, оповещению, оценке и управлению инцидентами и
- четкого определения персонала, ответственного за авторизацию и (или) проведение определен
ных важных действий (например перевод информационной системы в режим off-line или даже отключе
ние системы).
Кроме того, корпоративная политика должна содержать требование о создании соответствующих
механизмов анализа для обеспечения использования любой информации, полученной в результате
процессов обнаружения, мониторинга и разрешения инцидентов ИБ, в качестве входных данных для
обеспечения стабильной результативности корпоративных политик менеджмента рисков ИБ. а также
специальных политик ИБ для систем, сервисов и сетей.
7.5 Создание группы реагирования на инциденты информационной безопасности
7.5.1 Назначение группы реагирования на инциденты информационной безопасности
Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для
оценки, реагирования на инциденты ИБ и извлечения уроков из них. а также необходимой координации,
менеджмента, обратной связи и процесса передачи информации. Члены ГРИИБ могут участвовать в
снижении физического и финансового ущерба, а также ущерба для репутации организации, связанного с
инцидентами ИБ.
7.5.2 Члены группы реагирования на инциденты информационной безопасности и структу
ра этой группы
Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и
структуреорганизации. ГРИИБ можетпредставлятьсобой изолированную команду или отдел, персонал
этой группы может выполнять идругие обязанности, а также привлекать сотрудников из различных под
разделений организации. В соответствии с 4.2.1 и 7.1 во многих случаях ГРИИБ может быть действую
щей группой, возглавляемой старшим руководителем. Вышестоящему руководителю оказывают
помощь специалисты по конкретным вопросам, например, по отражению атак вредоносных программ,
которые привлекаются в зависимости оттипа инцидента ИБ. Взависимости от численного состава орга
низации сотрудники ГРИИБ могут также выполнять несколько функций внутри ГРИИБ. В ГРИИБ могут
также привлекаться служащие из различных подразделений организации (например бизнес-операций,
ИТ/телекоммуникаций, аудита, отдела кадров и маркетинга).
Члены группы должны быть доступны для контакта так, чтобы их имена и имена лиц. их замещаю
щих, а также подробности о контакте с ними были доступными внутри организации. Например, в доку
ментации системы менеджмента инцидентов ИБ должны быть четко указаны необходимые детали,
включая любые документы по процедурам и формы отчетов, но не в положениях политики.
Руководитель ГРИИБ должен:
- иметь делегированные полномочия немедленного принятиярешенияо том. какие меры предпри
нять относительно инцидента;
- как правило, иметь отдельную линию для оповещения высшего руководства, которая должна
быть изолирована от обычных бизнес-операций;
- обеспечивать необходимый уровень знаний и мастерства для всех членов ГРИИБ. а также под
держание этого уровня;
- поручать расследование каждого инцидента наиболее компетентному члену группы.
7.5.3 Взаимодействие с другими подразделениями организации
Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать
необходимые действия, адекватные инциденту ИБ.
Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отноше
нии финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточ
нить. какой орган в системе обеспечения политики менеджмента инцидентов ИБ руководитель ГРИИБ
оповещает о серьезных инцидентах ИБ.
Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы
со старшим руководством, документированы и определять:
- представителя организации по работе со средствами массовой информации;
- метод взаимодействия подразделения организации с ГРИИБ.
18