ГОСТ Р ИСО/МЭК ТО 18044—2007
8.2 Обзор ключевых процессов
В этапе «Использование» ключевыми процессами являются:
- обнаружение события ИБ и оповещениео нем одним из сотрудников персонала/клиентом органи
зации или автоматически (например, сигналом тревоги от межсетевого экрана);
- сбор информации о событии ИБ и проведение первичной оценки персоналом" группы обеспече
ния эксплуатации организации с целью определения, является ли событие инцидентом ИБ или ложным
сигналом тревоги;
- проведение второй оценки ГРИИБ с целью подтвердить, что событие является инцидентом ИБ и,
в положительном случае, инициировать немедленное реагирование, а также необходимость правовой
экспертизы и действий по передаче информации;
- анализ, проводимый ГРИИБ с целью определить, находится ли инцидент под контролем:
в положительном случае инициируетсядальнейшее необходимое реагирование и обеспечивается
готовность всей информации для использования в процессе анализа последствий инцидента.
при отрицательном ответе инициируются антикризисные действия с привлечением соответству
ющего персонала, например руководителя и группы обеспечения непрерывности бизнеса организа
ции;
- расширение области действия дальнейших оценок и (или) принятия решений, проводимое в те
чение всего этапа по требованию:
- обеспечение надлежащей регистрации всеми причастными лицами, в особенности членами
ГРИИБ. всей деятельности для дальнейшего анализа;
- обеспечение сбора изащищенногохранения свидетельств в электронном виде и постоянного мо
ниторинга защищенного хранения этих свидетельств на случай их востребованностидля судебного пре
следования или внутреннего дисциплинарного разбирательства;
- поддержка режима контроля изменений, включая отслеживание инцидентов ИБ и обновления от
четов поинцидентам с тем. чтобы базаданныхсобытий/инцидентов ИБ постоянно соответствоваладей
ствительности.
Вся собранная информация, касающаяся событий или инцидентов ИБ. должна храниться в базе
данных событий/инцидентов ИБ. управляемой ГРИИБ. Информация, сообщаемая в течение каждого
процесса, должна быть как можно более полной в любое время, чтобы обеспечить наиболее прочную
основу для оценок и принятия решений, а также для предпринимаемых действий.
После обнаружения события ИБ и сообщения о нем целями последующих процессов являются:
- распределениеответственности задеятельность, связанную с менеджментом инцидентов, через
соответствующую иерархию персонала вместе с оценкой и принятием решений, а также за действия с
привлечением персонала как связанного, так и не связанного с обеспечением безопасности;
- обеспечение формальных процедур для каждого оповещенного лица, включая анализ и коррек
тировку сделанного сообщения, оценку ущерба и уведомление соответствующего персонала (действия
каждого лица зависят от типа и опасности инцидента);
- использование рекомендаций для тщательного документирования событий ИБ. а позднее, если
событие будет отнесено к инциденту ИБ. то идля последующихдействий в отношении инцидента ИБ и
обновления базы данных событий/инцидентов ИБ.
Рекомендации приведены:
по обнаружению и оповещению о событиях ИБ — в 8.3. оценке и принятию решений (является ли
событие инцидентом ИБ) — в 8.4. реагированию на инциденты ИБ — в 8.5 и включают в себя:
- немедленное реагирование.
- анализ с целью определения, находится ли инцидент ИБ под контролем.
- последующие реагирования,
- антикризисные действия,
- правовую экспертизу.
- передачу информации.
- комментарий по вопросам расширения сферы менеджмента инцидентов ИБ.
- регистрацию деятельности.
8.3 Обнаружение и оповещение о событиях информационной безопасности
События ИБ могутбыть обнаружены непосредственнолицом или лицами, заметившими что-либо,
вызывающее беспокойствои имеющее технический,физический или процедурный характер. Обнаруже-
11 Не следует ожидать, что персонал группы обеспечения эксплуатации будет иметь квалификацию экспер
тов в сфере безопасности.
22