|
9 Организация технической и другой поддержки
9.1 Общие положения
В разделе 9 подробно описано содержание O‘z DSt ISO/IEC 27035-1 (5.2, перечисление f)).
Организация должна приобрести, подготовить и протестировать все необходимые технические и другие вспомогательные средства для обеспечения быстрого и эффективного реагирования на инциденты ИБ. Необходимо определить все внутренние и внешние стороны по поддержке и отчетности и согласовать каналы связи и рабочий процесс. Эти действия включают следующее:
- доступ к активам организации с использованием современного реестра активов и увязки информации с бизнес-функциями;
- доступ к документированным процедурам, связанным с антикризисным управлением;
- документированные и обнародованные процессы коммуникации, включая коммуникации со средствами массовой информации, соответствующие политикам организации в отношении взаимодействия со средствами массовой информации и раскрытия информации. Например, организация может затребовать участия своих специалистов по связям с общественностью и юристконсультов во всех обсуждениях со средствами массовой информации по инцидентам;
- использование базы данных ИБ и технических средств для быстрого заполнения и обновления базы данных, анализа содержащейся в ней информации и упрощения реагирования (в некоторых случаях организации могут затребоваться ручные записи), с наглядным подтверждением сохранности базы данных в безопасном состоянии;
- использование стандартного формата и протокола обмена для приема и обработки предупреждений или информации о событиях, инцидентах, уязвимостях для информирования о состоянии ИБ операционной среды с учетом превентивной ремедиации, основанной на рисках;
- средства для сбора и анализа цифровых доказательств и доказательств ИБ;
- адекватные механизмы антикризисного управления для базы данных ИБ (руководство по управлению непрерывностью бизнеса приведено в
O‘z DSt ISO/IEC 27031);
- определение внешних сторон по поддержке и отчетности, координатора между организацией и внешними сторонами, а также того, каким образом и в каком случае взаимодействовать.
Организация должна обеспечить, чтобы технические средства, используемые для быстрого заполнения и обновления базы данных, анализа содержащейся в ней информации и упрощения реагирования на инциденты ИБ, поддерживали следующее:
a) быстрое получение отчетов о событиях, инцидентах, уязвимостях ИБ;
b) уведомление ранее определенного внешнего персонала с использованием соответствующих средств (например, электронной почты, факса или телефона), что требует поддержания в актуальном состоянии надежной, легкодоступной базы данных контактов (включая бумажные и другие резервные копии) и устройств для передачи информации отдельным лицам в безопасном режиме, при необходимости;
c) принятие мер предосторожности, соизмеримых с оцененными рисками, чтобы электронные сообщения (передаваемые посредством Интернета или другой сети передачи данных) не могли быть перехвачены и оставались доступными, когда система, служба и/или сеть подвергаются атаке (для этого могут потребоваться заранее запланированные и задействованные альтернативные механизмы связи);
d) обеспечение сбора всех данных об информационной системе, службе и/или сети и всех данных, которые хранятся и обрабатываются, соответственно;
e) использование криптографического контроля целостности, соизмеримого с оцененными рисками, для определения изменений элементов системы, службы и/или сети, а также данных;
f) упрощение архивирования и защиты собранной информации (например, путем применения цифровых подписей к журналам и другим доказательствам до автономного хранения в носителях, доступных только для чтения, таких как CD, DVD или Blu-ray);
g) обеспечение подготовки распечаток (например, журналов регистрации), включая те, что показывают ход инцидента, а также процесс его разрешения и обеспечение сохранности;
h) восстановление информационной системы, службы и/или сети до нормальной работы со следующими процедурами, которые соответствуют соответствующему антикризисному управлению:
1) тестирование резервных копий;
2) управление вредоносным кодом;
3) использование исходных носителей с системным и прикладным программным обеспечением;
4) использование загрузочных носителей;
5) применение чистых, надежных и современных обновлений (патчей) системного и прикладного программного обеспечения.
Организации могут создавать стандартный базовый образ с установочного носителя и использовать его в качестве чистой основы для создания систем. Использование такого образа вместо исходного носителя часто предпочтительнее, потому что образ зачастую бывает уже обновленным (пропатченным), защищенным, протестированным и т.д.
Атакованная информационная система, служба или сеть могут работать неправильно. Таким образом, учитывая определенные риски, никакие технические средства (программное обеспечение и аппаратные средства), необходимые для реагирования на инцидент ИБ, не должны, по возможности, опираться в своей эксплуатации на основные системы, службы и/или сети организации. Все технические средства должны тщательно отбираться, правильно использоваться и регулярно тестироваться (включая тестирование имеющихся резервных копий). Если это возможно, технические средства должны быть полностью независимыми.
Примечание - Технические средства, описанные в 9.1, не включают технические средства, используемые для непосредственного обнаружения инцидентов и вторжений ИБ и автоматического уведомления соответствующих лиц. Такие технические средства описаны в O‘z DSt ISO/IEC 27039.
Do'stlaringiz bilan baham: |
