|
7 Создание группы реагирования на инциденты информационной
безопасности
7.1 Общие положения
В разделе 7 подробно описано содержание O‘z DSt ISO/IEC 27035-1 (5.2, перечисление d)).
Цель создания ГРИИБ заключается в предоставлении организации соответствующих возможностей для оценки, реагирования и изучения опыта из инцидентов ИБ, а также обеспечении необходимой координации, управления, обратной связи и коммуникации. ГРИИБ способствует уменьшению физического и денежного ущерба, а также снижению репутационных потерь организации, которые зачастую бывают связаны с инцидентами ИБ.
В зависимости от размера организации, ее персонала и отрасли, ГРИИБ может быть организована по-разному.
7.2 Типы и роли ГРИИБ
ГРИИБ должна иметь определенный круг заинтересованных лиц, в рамках которого она осуществляет свою основную деятельность. Этот круг может быть определен различными способами и включать (но не ограничиваться) следующие области действия:
- сотрудники организации;
- назначенный определенный диапазон IP-адресов;
- определенная автономная система с IP-маршрутизацией;
- определенный домен (например, example.uz);
- имеющиеся клиенты какого-либо продукта;
- имеющиеся клиенты коммерческой услуги по реагированию на инциденты;
- население региона или страны.
Круг заинтересованных лиц может пополняться участниками в результате договорных соглашений (например, при приобретении услуги или продукта) или исходя из положений законодательства (например, создание национальной Службы реагирования на компьютерные инциденты).
Характеристики и размер круга заинтересованных лиц, а также уровень полномочий и контроля, который ГРИИБ имеет над его участниками, будут влиять на виды услуг, которые может предложить ГРИИБ, и соответствующую форму организации их предоставления. Например, ГРИИБ может самостоятельно выполнять реагирование на инцидент (как корпоративное, так и по договору), координировать работу других ГРИИБ, или предоставлять информацию и помогать отдельным участникам по запросу (например, ГРИИБ какого-либо продукта).
Независимо от того, какие услуги предлагает ГРИИБ, ей потребуется политика реагирования (определение того, что представляет собой инцидент, какое ответное реагирование требуется и какие полномочия должна предоставить ГРИИБ), процесс реагирования (определение того, как группа будет реагировать на заданный инцидент с заданным процессом реагирования) и оперативные возможности для осуществления этого процесса.
Несмотря на то, что основная роль ГРИИБ заключается в реагировании на инциденты (независимо от того, были ли они обнаружены в своих системах мониторинга, сообщены из круга заинтересованных лиц или из внешних источников), многие группы также вносят свой вклад профилактического характера, улучшая стандарты безопасности и практику в своих кругах заинтересованных лиц, с тем чтобы уменьшить вероятность и/или тяжесть инцидентов. ГРИИБ также может иметь административную роль, например, при отчетности и управлении собственными политиками, процессами и ресурсами.
ГРИИБ могут быть организованы различными способами, в том числе по сфере отрасли, направленности круга заинтересованных лиц, организационной структуре или другим атрибутам. Один из методов организации структуры основывается на типе области проводимого мониторинга, и в этом случае существует три разных типа, как показано на рисунке 1: одиночный, иерархический и удаленный. При создании ГРИИБ следует учитывать размер организации, важность информации и функциональное взаимодействие с другими организациями. На рисунке 1 буквой «Ц» обозначены цели, мониторинг которых выполняется определенными ГРИИБ:
- одиночный тип ГРИИБ. Область мониторинга - это одиночная организация или одна ГРИИБ, осуществляющая мониторинг нескольких организаций или целей. Этот тип обычно используется для управления инцидентами, реагирования и эксплуатационной деятельности;
- иерархический тип ГРИИБ. Одна или несколько ГРИИБ перекрывают области мониторинга. Это повышает надежность действий по реагированию на инциденты;
- удаленный тип ГРИИБ. Данный тип обобщает события ИБ из удаленных местоположений и обычно используется предприятиями, предоставляющими аутсорсинг (специализированные предприятия ИБ) для мониторинга целей.
Рисунок 1 - Примеры структуры ГРИИБ
Основные виды деятельности ГРИИБ могут включать (но не ограничиваться) следующее:
- управление интегрированными системами безопасности. Мониторинг и управление агентами, установленными на гетерогенных системах (например, СОиПВ, межсетевой экран, сетевой ресурс и т.д.);
- внедрение согласованной политики. Минимизация рисков для информационной системы путем применения согласованного набора задач реагирования в соответствии с обозначенной политикой;
- безотлагательное реагирование. Быстрое реагирование на угрозы, нарушения и атаки для минимизации ущерба и снижения затрат на восстановление.
Обязанности ГРИИБ также могут включать в себя деятельность по мониторингу и управлению, в соответствии с нижеследующим:
- интегрированное управление и мониторинг. Круглосуточный мониторинг целей, превентивный мониторинг и реагирование на инциденты, управление журналами регистрации;
- управление отчетами. Периодическая отчетность по безопасности, управление исправлениями (патчами) безопасности, отчеты по инцидентам;
- административное управление. Управление политикой для различных системных сред, включая управление задачами и деятельность ГРИИБ;
- техническое управление. Управление сетью, системой, приложением, контентной частью и службой безопасности;
- эксплуатация и управление системой. Пропускная способность системы, производительность, конфигурация безопасности и управление конфигурацией среды.
Примечание - Некоторые из перечисленных обязанностей могут передаваться или выполняться другими организационными подразделениями вне ГРИИБ.
Do'stlaringiz bilan baham: |
