14. Управление инцидентами ИБ (ISO/IЕС 27035-2011). Часть 1

Содержание

    Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения

4. Обзор
   4.1. Основные понятия
   4.2. Цели
   4.3. Преимущества структурированного подхода
   4.4. Применяемость
   4.5. Фазы
   4.6. Примеры инцидентов ИБ

5. Фаза планирования и подготовки
   5.1. Введение
   5.2. Политика управления инцидентами ИБ
   5.3. Интеграция управления инцидентами ИБ в другие политики
   5.4. Схема управления инцидентами ИБ
   5.5. Создание группы реагирования на инциденты ИБ (ГРИИБ)
   5.6. Техническая и другая поддержка
   5.7. Обучение и осведомленность персонала
   5.8. Тестирование схемы управления

6. Фаза обнаружения и оповещения 
   6.1. Введение
   6.2. Обнаружение события ИБ
   6.3. Оповещение о событии ИБ

7. Фаза оценки и принятия решений
   7.1. Введение
   7.2. Оценка и предварительное решение группы поддержки
   7.3. Оценка и подтверждение инцидента ГРИИБ

8. Фаза реагирования
   8.1. Введение
   8.2. Немедленное реагирование
   8.3. Оценка контролируемости инцидентов ИБ
   8.4. Последующее реагирование
   8.5. Антикризисные меры
   8.6. Правовая экспертиза
   8.7. Коммуникации
   8.8. Расширение сферы принятия решений (эскалация)
   8.9. Документирование и контроль внесения изменений

9. Фаза извлечения уроков
   9.1. Введение
   9.2. Дальнейший экспертный анализ ИБ
   9.3. Идентификация полученных уроков
   9.4. Идентификация улучшений мер защиты и их внедрение
   9.5. Идентификация улучшений пересмотра результатов оценки и управления рисками и их внедрение
   9.6. Идентификация улучшений схемы управления инцидентами и их внедрение
   9.7. Другие улучшения

Приложение А. Таблица перекрестных ссылок ISO/IEC 27001 и ISO/IEC 27035
Приложение B. Примеры инцидентов ИБ и их причин
Приложение C. Пример подходов к категоризации и классификации событий и
                            инцидентов ИБ
Приложение D. Пример отчетов о событиях, инцидентах и уязвимостях ИБ и образец
                            формы отчета
Приложение Е. Сведения о соответствии государственных стандартов ссылочным
                            международным стандартам

Введение

В целом политики информационной безопасности (далее - ИБ) или средства управления сами по себе не гарантируют полную защиту информации, информационных систем, услуг или сетей. После внедрения средств управления существует вероятность, что оставшиеся  уязвимости снижают эффективность ИБ и, таким образом, способствуют возникновению инцидентов ИБ. Потенциально это может иметь косвенное и прямое неблагоприятное воздействие на деловую активность организации.

Более того, неизбежно будут возникать новые угрозы, которые не были определены ранее. Отсутствие достаточной подготовки организации по борьбе с такими инцидентами делает любую реакцию менее эффективной и увеличивает степень возможного негативного воздействия на деятельность организации. Поэтому для любой организации важно серьезно  относится к ИБ и иметь структурированный и спланированный подход к:
- обнаружению, отчетности и оценке инцидентов ИБ;
- реагированию на инциденты ИБ, включая активизацию соответствующих средств управления для предотвращения, минимизации и восстановления после негативного воздействия (например, при поддержке зон антикризисного управления);
- отчетности об уязвимостях ИБ, которые ранее не были использованы и не стали причиной событий или возможных инцидентов ИБ, а также оценке и борьбы с ними соответствующим образом;
- изучению инцидентов и уязвимостей ИБ, внедрению превентивных средств управления и усовершенствованию общего подхода к управлению инцидентами ИБ.

Настоящий стандарт представляет собой руководство по управлению инцидентами ИБ (разделы 4-9). Данные разделы состоят из нескольких подразделов, которые включают в себя подробное описание каждого этапа.

Термин «управление инцидентами информационной безопасности», используемый  в настоящем стандарте, включает в себя управление не только инцидентами  информационной безопасности, но и также уязвимостями ИБ.

1. Область применения

Настоящий стандарт обеспечивает структурированный и плановый подход к:
- обнаружению, отчетности и оценке инцидентов ИБ;
- реагированию  и управлению инцидентами ИБ;
- обнаружению, оценке и управлению уязвимостями ИБ;
- постоянному совершенствованию ИБ и управлению инцидентами с учетом результатов управления инцидентами и уязвимостями ИБ.

Настоящий стандарт представляет собой руководство по управлению инцидентами ИБ для крупных и средних организаций. Малые организации, в зависимости от их размера, типа деятельности и ситуации с рисками ИБ, могут использовать из базового набора, описанного в настоящем стандарте, необходимые им документы, процессы и процедуры. Он также предоставляет руководство для внешних организаций, оказывающих услуги по управлению инцидентами ИБ.

2. Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:
- ISO/IEC 27000:2014 Информационная технология. Методы защиты. Системы управления ИБ. Обзор и словарь
- ISO/IEC 27001:2009 Информационные технологии. Методы защиты. Системы управления ИБ. Требования
- ISO/IEC 27002:2008 Информационная технология. Методы защиты. Практические правила управления ИБ
- ISO/IEC 27005:2013 Информационная технология. Методы защиты. Управление рисками ИБ

3. Термины, определения и сокращения

В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:

- экспертиза ИБ: применение методов исследования и анализа для выявления, регистрации и проверки инцидентов ИБ.

- группа реагирования на инциденты ИБ (ГРИИБ): группа квалифицированных и доверенных сотрудников организации, которая обрабатывает инциденты ИБ во время их жизненного цикла.

Примечание: ГРИИБ - это должностные обязанности, которые охватывают процесс инцидентов ИБ и сосредоточены главным образом на инцидентах, связанных с информационными технологиями. Другие общие обязанности (с аналогичными аббревиатурами) в рамках обработки инцидентов могут иметь несколько иные масштаб и цели. Следующие используемые аббревиатуры имеют смысл аналогичный ГРИИБ.

CERT (Computer Emergency Response Team) - служба реагирования на компьютерные инциденты в основном сосредоточена на инцидентах в информационно-коммуникационных технологиях (далее - ИКТ).

CSIRT (Computer Security Incident Response Team) - служба реагирования на инциденты компьютерной безопасности - это служба, которая отвечает за получение, проверку и реагирование на сообщения об инцидентах компьютерной безопасности и их активность. Эти услуги обычно выполняются для определенных заказчиков, которыми могут быть головная компания корпорации, государственные организации, образовательные организации, регионы или страны, исследовательские сети или коммерческие клиенты.

- событие ИБ: идентифицированный случай состояния системы, услуги или сети, указывающий на возможное нарушение политики безопасности или на отказ средств защиты, либо на ранее неизвестную ситуацию, которая может быть существенной для безопасности. [ISO/IEC 27000:2014, 3.70]

- инцидент ИБ: единичное событие или ряд нежелательных или непредвиденных событий ИБ, из-за которых велика вероятность компрометации бизнес-операций и угрозы ИБ. [ISO/IEC 27000:2014, 3.31]

4. Обзор

4.1. Основные понятия

Событие ИБ - это определенное состояние ИС (услуги или сети), указывающее на возможное нарушение ИБ, отказ защитных мер, а также неизвестная ситуация, связанная с ИБ.

Инцидент ИБ - нежелательное событие, которое может нарушить бизнес-процесс и угрожать ИБ.

Возникновение события ИБ не обязательно означает, что попытка была успешна или что оказано какое-либо влияние на конфиденциальность, целостность и/или доступность, т.е. не все события ИБ классифицируются как инциденты ИБ.

Инциденты ИБ могут быть преднамеренными (например, вредоносное ПО или злоумышленные действия) или случайными (например, человеческие ошибки или стихийные бедствия), а также создаваться техническими или физическими средствами. Их последствиями могут быть несанкционированное разглашение, модификация, уничтожение или недоступность информации, или повреждение или воровство активов, содержащих информацию.

Угроза путем использования уязвимости ИС (сервисов или сетей) вызывает возникновение события ИБ и как результат инцидента по отношению к активу (подставленного под угрозу этой уязвимостью).

Чтобы прочитать лекцию полностью, напишите автору

Управление инцидентами ИБ (ISO/IEС 27035-2011). Часть 2 (продолжение)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика