ГОСТ Р ИСО/МЭК ТО 18044—2007
ния к защитным мерам могут оказаться такими, что их немедленное внедрение будет невозможно по
финансовым или эксплуатационным причинам; в этом случае они должны быть предусмотрены в более
долгосрочных целях организации. Например, по финансовым соображениям невозможно за короткое
время осуществить переход к более совершенным межсетевым экранам, тем не менее, решение этого
вопроса необходимо внести в долговременные цели ИБ организации (см. 10.3).
9.5 Определение улучшений системы
После разрешения инцидента руководитель ГРИИБ или назначенное вместо него лицо должны
проанализировать все произошедшее с целью оценки и определения степени результативности реа
гирования на инцидент ИБ. Подобный анализ предназначен для выявления успешно задействован
ных элементов системы менеджмента инцидентов ИБ и определения потребности в любых
улучшениях.
Важным аспектом анализа, проводимого после реагирования на инцидент, является возвращение
информации и полученных знаний в систему менеджмента инцидентов ИБ. Если инцидент ИБдостаточ но
серьезен, то вскоре после разрешения инцидента необходимо провести совещание всех заинтересо
ванных сторон, владеющих информацией о нем. На этом совещании должны рассматриваться
следующие вопросы;
- работали ли должным образом процедуры, принятые в системе менеджмента инцидентов ИБ;
- существуют ли процедуры или методы, которые способствовали бы обнаружению инциден
тов;
- были ли определены процедуры или средства, которые использовались бы в процессе реагиро
вания;
- применялись ли процедуры, помогающие восстановлению информационных систем после иден
тификации инцидента;
- была ли передача информации об инциденте всех причастных сторон эффективной в процессе
обнаружения, сообщения и реагирования.
Результаты совещаниядолжны бытьдокументированы и по этим результатам осуществлены кон
кретные согласованные действия (см. 10.4).
10 Этап «Улучшение»
10.1 Введение
Этап «Улучшение» включает в себя внедрение рекомендаций этапа «Анализ», то есть рекоменда
ций по улучшению результатов менеджмента и анализа рисков ИБ, безопасности и системы менед
жмента инцидентов ИБ. Каждая из тем рекомендаций рассматривается ниже.
10.2 Улучшение анализа рисков и менеджмента безопасности
В зависимости от серьезности инцидента ИБ и степени его воздействия при оценке результатов
анализа рисков ИБ и менеджмента ИБ. возможно, придется учитывать новые угрозы иуязвимости. В ре
зультате завершения обновленного анализа рисков ИБ и анализа менеджмента ИБ может возникнуть
необходимость внесения изменений в существующие или применения новых защитных мер.
10.3 Осуществление улучшений безопасности
Следуя рекомендациям, сделанным в процессе этапа «Анализ» (см. 9.4), и анализу нескольких ин
цидентов. ИБ инициируют процесс внедрения обновленных и (или) новых защитных мер. В соотве
тствии с 9.3 это могут быть технические (включая физические) защитные меры, которые могут включать в
себя потребность быстрого обновления материала для проведения инструктажей с целью обеспече ния
осведомленности в вопросах безопасности (для пользователей идругого персонала) и выпуска ре
комендаций и (или) нормативных документов по безопасности. Информационные системы, сервисы и
сети организации должны также регулярно подвергаться анализу с целью определения уязвимостей и
обеспечения процесса непрерывного повышения надежности систем/сервисов/сетей.
Анализ связанных с безопасностью процедур идокументации может проводиться сразу после ин
цидента. но более вероятно, что это потребуется позднее. После инцидента ИБ необходимо обновить
политики ипроцедурыобеспечения ИБ с учетом собранной информации и любых проблем, выявленных в
процессе менеджмента инцидента ИБ. Долговременной целью ГРИИБ вместе с руководителем ИБ
организации является распространение в организации этих обновленных вариантов политики и
процедур обеспечения ИБ.
зз