ГОСТ Р ИСО/МЭК ТО 18044—2007
определяется как ложное, необходимо заполнить форму отчета и передать в ГРИИБ для записи в базу
данных и дальнейшего анализа, а также создать копии для сообщившего о событии лица и его/ее мес
тного руководителя.
Информация и другие свидетельства, собранные на этом этапе, могут потребоваться в будущем
для дисциплинарного или судебного разбирательства. Лицо или лица, выполняющие задачи сбора и
оценки информации, должны хорошо знать требования по сбору и сохранению свидетельств.
Дополнительно к дате (датам) и времени выполнения действий необходимо полностью докумен
тировать:
- проведенные мероприятия (включая использованные средства) и их цели;
- место хранения свидетельства наличия события.
- способ архивирования свидетельства (если оно уместно);
- способ верификации свидетельства (если оно уместно);
- детали хранения материалов и последующего доступа к ним.
Если событие ИБ определено как вероятный инцидент ИБ. а сотрудник группы обеспечения экс
плуатации имеет соответствующий уровень компетентности, то проводится дальнейшая оценка. В ре
зультате могут потребоваться корректирующие действия, например идентификация дополнительных
«аварийных» защитных мер и обращение за помощью в их реализации к соответствующему лицу. Со
бытие ИБ может быть определено как инцидент ИБ. причем значительный (по шкале серьезности, при
нятой в организации), в этом случае необходимо проинформировать непосредственно руководителя
ГРИИБ. Может потребоваться объявление «кризисной ситуации» и. как следствие, уведомление руко
водителя обеспечения непрерывности бизнеса о возможной активизации плана обеспечения непре
рывности бизнеса с одновременным информированием руководителя ГРИИБ и вышестоящего
руководства. Однако наиболее вероятна ситуация передачи инцидента ИБ непосредственно в ГРИИБ
для дальнейшей оценки и выполнения соответствующих действий.
Каким бы ни был следующий шаг. сотрудник группы обеспечения эксплуатации должен заполнить
формуотчета повозможности наиболее подробно. Образец формы отчета по инциденту ИБ приведен в
приложении А. Отчет должен содержать информацию в описательном виде и. насколькоэто возможно,
характеризовать:
- что представляет собой инцидент ИБ;
- что явилось его причиной, чем или кем он был вызван;
- на что он влияет или может повлиять;
- реальное или потенциальное воздействие инцидента ИБ на бизнес организации;
- указание на вероятную значительность или незначительность инцидента ИБ (по шкале серьез
ности, принятой в организации);
- как инцидент ИБ обрабатывался до этого времени.
При рассмотрении потенциального или фактического негативного воздействия инцидента на биз
нес организации в результате несанкционированного раскрытия информации, несанкционированной
модификации информации, отказа от имеющейся информации, недоступности информации и(или) сер
виса. уничтожения информации и(или) сервиса в первую очередь необходимо определить, какое из пе
речисленных ниже последствий будет иметь инцидент ИБ.
Примерами последствий ИБ являются:
- финансовые убытки^лрерывание бизнес-операций;
- ущерб коммерческим и экономическим интересам;
- ущерб информации, содержащей персональные данные;
- нарушение правовых и нормативных обязательств;
- сбои операций по менеджменту и бизнес-операций;
- утрата престижа организации.
Для категорий, отнесенных к инциденту ИБ. должны использоваться соответствующие рекоменда
ции по категорированию потенциальныхили фактических воздействийдля внесения их в отчет по инци
дентам ИБ. Примеры рекомендаций приведены в приложении В.
Если инцидент ИБ был разрешен, то отчет долженсодержатьдетали предпринятых защитных мер
и извлеченных уроков (например защитные меры, которые должны быть приняты для предотвращения
повторного появления подобных инцидентов ИБ).
После наиболее подробного, по мере возможности, заполнения форма отчета должна быть пред
ставлена в ГРИИБ для ввода в базу данных инцидентов и событий ИБ и анализа в будущем.
24