Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и структуре организации. ГРИИБ может быть штатной или внештатной, или иметь смешанную структуру. Штатная ГРИИБ может иметь и внештатных сотрудников для решения специальных задач (ИКТ, правовая экспертиза, связи с общественностью, аутсорсинг и т.п.), которые тесно сотрудничают с ГРИИБ в период обработки инцидента ИБ.

В зависимости от размера, структуры и природы бизнеса организации, член ГРИИБ может также выполнять более, чем одну роль в пределах ГРИИБ. Внештатная группа может также возглавляться руководителем ГРИИБ, который будет руководить группами специалистов в областях специфических знаний, например, обработка атак вредоносного ПО в зависимости от типа инцидента ИБ.

Члены группы должны быть доступны для контакта так, чтобы их имена и имена лиц, их замещающих, а также подробности о контакте с ними были доступными внутри организации. В документации схемы управления инцидентами ИБ (а не в положениях политики) должны быть четко указаны необходимые детали, включая любые документы по процедурам и формы отчетов.

ГРИИБ может состоять из специальных групп с обозначенными для каждой обязанностями, например:

– планирования;

– мониторинга;

– реагирования;

– анализа и т. п.

Группа планирования отвечает за планы действий ГРИИБ. Она разрабатывает различные политики и планы ИБ, предоставляет их для утверждения вышестоящему руководству, сотрудничает со всеми заинтересованными лицами и организациями, регистрирует и утверждает отчеты об уязвимостях;

Группа мониторинга отвечает в реальном времени за контроль и фактическую операционную деятельность, как например, мониторинг / обнаружение / идентификация событий ИБ, регистрация инцидента и его предотвращение;

Группа реагирования принимает отчет группы контроля о возникновении инцидента, выполняет повторный анализ и действия по расследованию и восстановлению, а также разрабатывает адекватную стратегию;

Группа анализа в сотрудничестве с группой реагирования выполняет углубленный анализ, в том числе сравнительный анализ инцидентов.

Руководитель ГРИИБ обязан:

– немедленно принимать меры для решения инцидента на основании заранее делегированных полномочий;

– иметь отдельную линию для связи с руководством, изолированную от обычных бизнес-коммуникаций;

– обеспечить высокий уровень знаний и мастерства всех членов ГРИИБ, а также постоянную поддержку этого уровня;

– поручать расследование каждого инцидента наиболее компетентному члену ГРИИБ.

Уровень полномочий руководителя ГРИИБ и членов его группы должен позволять предпринимать необходимые действия для решения инцидента ИБ. Однако действия, которые могут оказать неблагоприятное влияние на всю организацию в отношении финансов или репутации, должны согласовываться с высшим руководством. Поэтому важно уточнить, кого в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ.

Взаимодействие с заинтересованными сторонами

Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством и задокументированы. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.

Организация должна установить взаимодействие ГРИИБ с внешними организациями (заинтересованными сторонами), в число которых входят следующие:

– контрактный персонал внешней поддержки,

– национальная ГРИИБ,

– сервис-провайдеры, в том числе поставщики телекоммуникационных и интернет-услуг,

– службы охраны правопорядка,

– аварийные службы,

– соответствующие правительственные органы,

– юридические службы,

– официальные лица по связям с общественностью и/или представители СМИ,

– бизнес-партнеры,

– потребители,

– общественность.

1.5. Техническая и другая поддержка

Быстрое и эффективное реагирование на инциденты ИБ осуществляется гораздо легче, когда все необходимые технические и другие средства поддержки получены, подготовлены и протестированы.

Мероприятия поддержки включают в себя:

– доступ к деталям активов, которые своевременно обновляются, и их связям с бизнес-функциями;

– доступ к задокументированным процедурам кризисного управления;

– документированные и опубликованные процессы коммуникаций;

– использование базы данных уязвимостей / событий / инцидентов ИБ и технических средств для быстрого пополнения и обновления базы данных, анализа ее информации и упрощения процессов реагирования (иногда сделанные вручную записи также оказываются востребованными и используются организацией);