ГОСТ Р ИСО/МЭК ТО 18044—2007
- создать в организации соответствующее структурное подразделение менеджмента инцидентов
ИБ. то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно
реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является груп
пой, состоящей из специалистов по конкретным направлениямдеятельности, например, при отражении
атак вредоносной программы привлекают специалиста по инцидентам подобного типа;
- ознакомить весь персонал организации посредством инструктажей и (или) иными способами с
существованием системы менеджмента инцидентов ИБ. ее преимуществами и с надлежащими спосо
бами сообщения о событиях ИБ. Необходимо проводить соответствующее обучение персонала, ответ
ственного за управление системой менеджмента инцидентов ИБ. лиц. принимающих решения по
определению того, являются ли события инцидентами, и лиц, исследующих инциденты;
- тщательно тестировать систему менеджмента инцидентов ИБ.
Этап «Планирование и подготовка» — в соответствии с разделом 7.
4.2.2 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие
процессы:
- обнаружение иоповещение овозникновении событий ИБ (человеком или автоматическими сред
ствами);
- сбор информации, связанной с событиями ИБ. иоценка этой информации с целью определения,
какие события можно отнести к категории инцидентов ИБ;
- реагирование на инциденты ИБ:
- немедленно, в реальном или почти реальном масштабе времени:
- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например,
способствующие полному восстановлению после катастрофы);
- если инциденты ИБ не находятся под контролем, то выполнить «антикризисные» действия (на
пример, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерыв
ности бизнеса);
- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей
организации, а также персоналу сторонних организаций (что может включить в себя, по мере необходи
мости. распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия
решений);
- правовую экспертизу;
- надлежащую регистрацию всех действий и решений для последующего анализа:
- разрешение проблемы инцидентов.
Этап «Использование» — в соответствии с разделом 8.
4.2.3 Анализ
После разрешения/закрытия инцидентов ИБ необходимо предпринять следующие действия по
анализу состояния ИБ:
- провести дополнительную правовую экспертизу (при необходимости):
- изучить уроки, извлеченные из инцидентов ИБ;
- определитьулучшения для внедрения защитных мер ИБ. полученные из уроков, извлеченных из
одного или нескольких инцидентов ИБ;
- определить улучшения для системы менеджмента инцидентов ИБ в целом, учитывая уроки, из
влеченные из результатованализа качества предпринимаемого подхода (например, изанализа резуль
тативности процессов, процедур, форм отчета и (или) организации).
Этап «Анализ» — в соответствии с разделом 9.
4.2.4 Улучшение
Необходимо подчеркнуть, что процессы менеджмента инцидентов ИБ являются итеративными, с
постоянным внесением улучшений с течением времени в ряд элементов ИБ. Эти улучшения предлага
ются на основеданныхоб инцидентах ИБ иреагировании на них. атакжеданныходинамике тенденций.
Этап «Улучшение» включает в себя:
- пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации;
- улучшение системы менеджмента инцидентов ИБ и ее документации;
- инициирование улучшений в области безопасности, включая внедрение новых и (или) обновлен
ных защитных мер ИБ.
Этап «Улучшение» — в соответствии с разделом 10.
4