ГОСТ Р ИСО/МЭК ТО 18044—2007
Если расследование проводится больше недели, то должен быть составлен промежуточный от
чет.
Важно, чтобы сотрудник группы обеспечения эксплуатации, оценивающий инцидент ИБ, основы
ваясь на руководстве, содержащемся в документации системы менеджмента инцидентов ИБ. был осве
домлен о том:
- когда и кому необходимо направлять материалы об инциденте;
- что при осуществлении всех действий, выполняемых группой обеспечения эксплуатации, необ
ходимо выполнять документированные процедуры контроля изменений.
При наличии проблем или мнения о том. чтосуществуют проблемы с установленными по умолчанию
механизмами электронного оповещения (например электронной почтой), включая случаи атаки на инфор
мационную систему и считывание несанкционированными лицами формы отчета об инцидентах ИБ. дол
жны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть:
телефон, текстовые сообщения, а также курьеры. Такие альтернативные средства должны использоваться
на ранних стадиях расследования, когда становится очевидным, что событие ИБ будет переведено в кате
горию инцидента ИБ, особенно такого инцидента ИБ, который может считаться «значительным».
8.4.2 Вторая оценка и подтверждение инцидента информационной безопасности
Вторая оценка и подтверждение инцидента ИБ или какое-либодругое решениеотносительно того,
надо ли отнести событие ИБ к инциденту ИБ, должны входить в обязанности ГРИИБ. Принимающий от
четы сотрудник ГРИИБ должен:
- подтвердить получение формы отчета, заполненной по возможности наиболее подробно, груп
пой обеспечения эксплуатации;
- ввести эту форму в базу данных событий/инцидентое ИБ;
- обратиться за уточнениями к группе обеспечения эксплуатации;
- проанализировать содержание отчетной формы.
- собрать дополнительную необходимую информацию о событии ИБ (если существует) от группы
обеспечения эксплуатации, лица, заполнившего отчетную форму, или из какого-либо иного источника.
Если все еще остается какая-либо неопределенность относительно аутентичности инцидента ИБ
или полноты полученной информации, то сотрудник ГРИИБ должен провести вторую оценку для опре
деления реальности или ложности инцидента ИБ. Если инцидент ИБ определен как «ложный», необхо
димо заполнить отчет о событии ИБ. добавить его в базу данных событий/инццдентов ИБ и передать
руководителю ГРИИБ. Копии отчета необходимо передать группе обеспечения эксплуатации, лицу, со
общившему о событии, и его/ее местному руководителю.
Если инцидент ИБ определяется как «реальный», то сотрудник ГРИИБ. при необходимости при
влекая коллег, должен провести дальнейшую оценку. Целью оценки является максимально быстрое
подтверждение:
- того, что представляет собой инцидент ИБ. что явилось его причиной, чем или кем был вызван,
на что повлиял или мог повлиять, воздействие или потенциальное воздействие инцидента ИБ на бизнес
организации, указание на вероятную значительность/незначительность инцидента (по шкале серьез
ности инцидентов, принятой в организации):
- предумышленной технической атаки нарушителя на некоторую информационную систему, сер
вис и (или) сеть, например:
глубины проникновения нарушителя в систему, сервис и (или) сеть истепень контроля, которой он
обладает,
данных об информации, к которой получил доступ нарушитель, были ли они скопированы, измене
ны или удалены,
о том. какое программное обеспечение былоскопировано, измененоили разрушено нарушителем;
в отношении предумышленной физической атаки нарушителя на любую информационную систе
му аппаратной части, сервиса и (или) на сеть, и (или) на физическое месторасположение, например:
масштаба прямых икосвенных последствий нанесенногофизическогоущерба (при отсутствии фи
зической защиты доступа),
прямых и косвенных последствий в отношении инцидентов ИБ, косвенно созданных действиями
нарушителя (например, стал ли физический доступ возможным по причине пожара, является ли уязви
мость информационной системы следствием неправильного функционирования программного обеспе
чения. линии связи или ошибки оператора),
- используемого до настоящего времени способа обработки инцидента ИБ.
25