Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– использование стандартного формата и протокола обмена для получения и обработки тревоги или информации об уязвимостях / событиях / инцидентах с целью оперативного обеспечения осведомленности персонала и возможности повторного использования;

– средства сбора и анализа правовых доказательств;

– адекватные соглашения кризисного управления для базы данных уязвимостей / событий / инцидентов ИБ.

Технические средства, используемые для быстрого пополнения, обновления баз данных, анализа информации и баз данных и облегчения процессов реагирования на инциденты ИБ, должны поддерживать:

– быстрое получение отчетов о уязвимости / инциденте / событии ИБ;

– уведомление предварительно отобранного внешнего персонала соответствующими средствами (например электронная почта, факс или телефон), то есть запрашивая поддержку надежной доступной базы данных (включая бумажные и другие резервные копии) и средство передачи информации безопасным способом (при необходимости);

– соблюдение мер предосторожности, соответствующих оцененным рискам, для гарантирования, что линия коммуникации или интернет не прослушиваеться и остается доступной во время атаки на систему, сервис и/или сеть (возможно, потребуется предварительное планирование механизмов альтернативной связи);

– соблюдение предосторожностей, соответствующих оцененным рискам, для сохранения доступности электронной связи, реализуемой через Интернет или иным образом, во время атаки на систему, сервис и/или сеть;

– процесс сбора всех данных об ИС, сервисе и/или сети и всех обрабатываемых и сохраненных данных;

– использование криптографического контроля целостности, если это соответствует оцененным рискам, для содействия в определении наличия изменений и того, какие части системы, сервиса и/или сети и данные подверглись изменениям;

– упрощение архивирования и защиты собранной информации (например, применяя ЭЦП к лог-файлам и другие свидетельства перед хранением в автономном режиме на носителях, предназначенных только для чтения на устройствах CD или DVD ROM);

– подготовка распечаток (например, лог-файлов), в том числе, демонстрирующих процессы развития и разрешения инцидента ИБ и системы охраны вещественных доказательств при их передаче;

– восстановление штатного режима работы системы, сервиса и/или сети с помощью процедур, связанных с кризисным управлением:

• тестирование резервных копий,

• защита от вредоносного ПО,

• хранение исходных носителей с системным и прикладным ПО,

• хранение загрузочного носителя системы,

• хранение безопасных патчей для системы и приложений.

Атакованная ИС, сервис и/или сеть могут функционировать неправильно. Поэтому работа технического средства (программного или аппаратного обеспечения), необходимого для реагирования на инцидент ИБ, не должна быть основана на системах, сервисах и/или сетях, используемых в организации.

Все технические средства должны быть тщательно отобраны, правильно внедрены и регулярно тестироваться (включая тестирование полученных резервных копий). По возможности, технические средства реагирования на инциденты должны быть полностью автономными.

Группа поддержки организации обеспечивает поддержку всех аспектов информационных технологий и связанной с ними обработки информации, поэтому играет ключевую роль в управлении инцидентами ИБ. Как только приходит сообщение о событиях ИБ, группа поддержки обрабатывает их в фазе обнаружении и оповещения.

Группа поддержки должна рассмотреть собранную информацию и сделать первичную оценку события ИБ, является ли оно инцидентом. Если событие не является инцидентом, группа поддержки им занимается. Если событие является инцидентом, группа поддержки может им заниматься, однако в большинстве случаев ответственность за работу с инцидентом необходимо передать ГРИИБ.

Группа поддержки на каждом предприятии может быть построена разнообразными способами (имеется в виду реализации процессов поддержки). Существует несколько моделей службы поддержки, например: централизованная, локальная, виртуальная – с единым телефонным центром и т. д. Группа поддержки может быть организована как в целях обслуживания внешних клиентов (аутсорсинг и т.п.), так и внутренних (подразделение ИТ-департамента на крупных предприятиях).

Правильно организованная техподдержка (Help Desk, Service Desk) всегда начинается с регистрации всех обращений конечных пользователей, служит единой точкой для общения пользователя с подразделением ИТ.

На больших предприятиях техподдержка часто организована по двухуровневому принципу:

– пользователь обращается с вопросом в службу поддержки по телефону или с помощью электронной заявки (электронная почта, или специальные сервисы подачи заявок);