ГОСТ Р ИСО/МЭК ТО 18044—2007
9 Этап «Анализ»
9.1 Введение
После принятия решения о закрытии инцидента ИБ необходимо провести дальнейшую правовую
экспертизу и анализ с целью определения извлеченных уроков и потенциальных улучшений общей бе
зопасности и системы менеджмента инцидентов ИБ.
9.2 Дальнейшая правовая экспертиза
Иногда после закрытия инцидента ИБ может по-прежнему сохраняться необходимость проведе
ния правовой экспертизы с целью определения свидетельств. Она должна проводиться ГРИИБ с ис
пользованием совокупности средств и процедур в соответствии с 8.5.5.
9.3 Извлеченные уроки
После завершения инцидента ИБ важно быстро идентифицировать уроки, извлеченные из его об
работки. и предпринять соответствующие действия, которые могут рассматриваться с точки зрения:
- новых или изменившихся требований к мерам защиты ИБ. Это могут бытьтехнические или нетех
нические (включая физические) меры защиты. В зависимости от извлеченных уроков требования могут
включать в себя необходимость быстрого обновления материалов и проведения инструктажа с целью
обеспечения осведомленности в вопросах безопасности (для пользователей, а также для другого пер
сонала) и выпуска руководств и (или) стандартов по безопасности:
- изменений в системе менеджмента инцидентов ИБ иее процессах, формахотчета и базеданных
событий/инцидентов ИБ.
Кроме того при изучении урока по инциденту ИБ необходимо рассматривать полученный опыт не
только в рамках отдельного инцидента ИБ, но и проводитьпроверку наличия тенденций (закономернос
тей) появления предпосылок к инцидентам ИБ. которые могут быть использованы в интересах опреде
ления потребности в защитных мерах или изменениях подходов к устранению инцидента ИБ.
Целесообразно также проведение тестирования ИБ. в особенности оценки уязвимостей, после ориен
тированного на ИТ инцидента ИБ.
Поэтому необходимо регулярноанализироватьбазы данных событий/инцидентов ИБ для опреде
ления:
- тенденций/обраэцов:
- проблемных областей;
- областейдеятельности, где можно предпринять предупредительные меры для снижения вероят
ности появления инцидентов в будущем.
Существенная информация, получаемая в процессе обработки инцидента ИБ, должна направ
лятьсядля анализа тенденций (закономерностей), что может в значительной мере способствовать ран
ней идентификации инцидентов ИБ и обеспечивать предупреждение о том. какие следующие
инциденты ИБ могут возникнуть на основе предшествующего опыта и документов.
Необходимотакже использовать информацию об инцидентах ИБ исоответствующихим уязвимос
тях. полученную от государственных и коммерческих КГБР и поставщиков.
Тестирование безопасности и оценка уязвимостей информационной системы, сервиса и (или)
сети, следующие за инцидентом ИБ, недолжны ограничиваться только информационной системой, сер
висом и (или) сетью, пораженных этим инцидентом ИБ. Тестирование безопасности и оценку уязвимос
тей необходимо распространить на любые связанные с ними информационные системы, сервисы
и (или) сети. Детальная оценка уязвимостей используется для того, чтобы в ходе инцидента ИБ
выявить существование уязвимостей на других информационных системах, сервисах и (или) сетях, и
исключить вероятность появления новых уязвимостей.
Важно подчеркнуть, что оценка уязвимостей должна проводиться регулярно и повторная оценка
уязвимостей, проводимая после инцидента ИБ. должна быть частью, а не заменой непрерывного про
цесса оценки.
Необходимо опубликовывать итоговый анализ инцидентов ИБ для обсуждения его на каждом со
вещании руководства организации по вопросам обеспечения ИБ и (или) на других совещаниях, касаю
щихся вопросов по общей организационной политике ИБ.
9.4 Определение улучшений безопасности
В процессе анализа, проведенного после разрешения инцидента ИБ. новые или измененные за
щитные моры могут бытьопределены как необходимые. Рекомендации исоответствующие им требова-
32