Государственный стандарт республики узбекистан информационная технология методы обеспечения безопасности

Мониторинг возможностей реагирования на инциденты

Download 257,06 Kb.

bet	23/43
Sana	26.05.2022
Hajmi	257,06 Kb.
	#608802

1 ... 19 20 21 22 23 24 25 26 ... 43

Bog'liq
1-tarmoq

11.3.2 Мониторинг показателей и управления возможностями реагирования на инциденты

11.3 Мониторинг возможностей реагирования на инциденты

11.3.1 Внедрение программы мониторинга возможностей реагирования на инциденты
Возможности реагирования на инциденты охватывают не только возможности ГРИИБ, но и возможности отдельных лиц и групп, которых ГРИИБ может попросить о помощи во время обработки инцидентов. Несмотря на то, что большая часть возможностей реагирования на инциденты будет сосредоточена внутри ГРИИБ, возможно, что в некоторых узких областях группа может не обладать специальными знаниями. По этой причине ГРИИБ может привлекать отдельных лиц или другие команды для восполнения таких пробелов.
Путем мониторинга характеристик инцидентов и частоты выявления этих характеристик в инцидентах, можно составить представление о возможностях, которыми должны обладать ГРИИБ. Эти возможности будут меняться со временем. Некоторые изменения произойдут вследствие изменения принятой технологии внутри организации либо путем отказа от нее, либо введения новой. Примером отказа от технологии может быть перемещение всех данных из баз данных SQL в базы данных, отличных от SQL. Разрешение сотрудникам использовать мобильные телефоны для выполнения своих задач - пример внедрения новой технологии, которая ранее не существовала в организации. Другой причиной, которая может потребовать изменений возможностей ГРИИБ, является разработка новых методов атак.
Не все возможности носят технический характер. Некоторые угрозы, особенно те, которые не основаны на технологии, лучше всего решать с помощью нетехнических средств (например, методы социальной инженерии).

11.3.2 Мониторинг показателей и управления возможностями реагирования на инциденты
Возможности ГРИИБ должны быть достаточно эффективными для устранения текущих угроз, с которыми сталкивается организация. По мере изменения угроз изменяются и возможности ГРИИБ, соответственно, организация может эффективно реагировать на новые угрозы. В то же время некоторые возможности могут больше не понадобиться, поскольку либо угрозы были окончательно сокращены до незначительных уровней, либо была устранена основная причина возникновения риска. От ГРИИБ не требуется обладания всеми возможностями обработки инцидентов, несмотря на то, что на нее возложены функции центра компетенции при обработке инцидентов. Редко используемые компетенции (знания) и возможности могут быть распределены между отдельными лицами или группами как внутри организации, так и вне ее. Основной причиной этого является экономическая эффективность.
При таком распределении возможностей и изменяющихся потребностей организация должна создать реестр, отражающий текущие возможности организации. В таком реестре может содержаться (но не исчерпываться) следующая информация:
a) возможности, доступные для организации;
b) персонал или лицо, обладающее этими возможностями;
c) отношение персонала или лица к организации (внутреннее или внешнее);
d) способ привлечения персонала или лица, обладающее возможностями;
e) актуальность возможностей (или их репрезентативных данных при последнем использовании);
f) частота использования возможностей в течение последнего временного интервала.
Далее эта информация используется при планировании развития возможностей ГРИИБ. Редко используемые возможности могут исчезнуть со временем, а часто используемые, не присутствующие в настоящее время внутри ГРИИБ, накоплены с течением времени и так далее.

Download 257,06 Kb.

Do'stlaringiz bilan baham:

1 ... 19 20 21 22 23 24 25 26 ... 43