Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– оператор (1-я линия поддержки, Call-center) регистрирует обращение, при возможности помогает пользователю самостоятельно, либо передаёт заявку на 2-ю линию поддержки и контролирует ее выполнение;

– 2-я линия поддержки получает заявки от 1-й линии, работает по ним, при необходимости привлекая к решению проблемы специалистов из других отделов предприятия (системные и сетевые администраторы, поддержка специального ПО и оборудования и т.д.).

Основные механизмы технической поддержки должны быть следующими:

– внутренний аудит ИБ (для оценки уровня безопасности и отслеживаемых уязвимых систем);

– системы обнаружения вторжения;

– устройства мониторинга и защиты сети;

– антивредоносное ПО.

Дополнительные механизмы технической поддержки могут быть следующими:

– технологическое отслеживание новых видов угроз и атак;

– управление уязвимостями (включая безопасное обновление и исправление уязвимых систем);

– логи аудита и ПО их мониторинга.

Эти механизмы должны содержать документированные ответственности и оперативные процедуры действий группы поддержки.

1.6. Осведомленность и обучение персонала

Весь персонал должен пройти обязательное обучение и все виды инструктажей, чтобы быть осведомленным о функционировании схемы управления инцидентами ИБ, ее выгодах и как обнаруживать, анализировать, оценивать события, инциденты и уязвимости ИБ и реагировать на них. Обучение и инструктаж должны повторяться после каждого изменения в составе персонала.

Осведомленность и обучение всего персонала организации очень важны для обеспечения успеха структурного подхода к управлению инцидентами ИБ. Оперативная эффективность и качество структурного подхода к управлению инцидентами ИБ основана на таких факторах, как обязательное сообщение об инциденте, качество сообщения, легкость использования, скорость передачи и тренинги. Организация должна гарантировать, что роль управления инцидентами ИБ должна активно поддерживаться как часть общей программы обучения и обеспечения осведомленности в вопросах ИБ.

Программа обеспечения осведомленности и соответствующий материал должны быть доступны для всего персонала, включая новых служащих, пользователей сторонних организаций и подрядчиков. Должна существовать специальная программа обучения для группы поддержки, членов ГРИИБ, а при необходимости – для персонала, ответственного за ИБ, и специальных администраторов. Каждой группе, непосредственно участвующей в управлении инцидентами, могут потребоваться различные уровни подготовки, зависящие от типа, частоты и значимости их взаимодействия со схемой управления инцидентами ИБ.

Инструктажи по обеспечению осведомленности должны содержать:

– преимущества, полученные в результате структурного подхода к управлению инцидентами ИБ, как организацией, так и ее персоналом;

– основы работы схемы управления инцидентами ИБ, включая сферу ее действия и технологию работ по управлению событиями, инцидентами и уязвимостями ИБ;

– способы оповещения о событиях, инцидентах и уязвимостях ИБ,

– внесение информации об инциденте в базу данных событий, инцидентов и уязвимостей ИБ,

– обеспечение конфиденциальности источников (при необходимости);

– соглашения об уровнях сервиса схемы;

– уведомление о результатах – на каких условиях будут информированы источники;

– любые ограничения, налагаемые соглашениями о неразглашении;

– полномочия организации по управлению инцидентами ИБ и ее линия оповещения;

– кто и как получает сообщения от схемы управления инцидентами ИБ.

В некоторых случаях желательно специально включать подробности обеспечения осведомленности об управлении инцидентами ИБ в другие программы обучения (например, в программы ориентирования персонала или в общие корпоративные программы обеспечения осведомленности в вопросах ИБ). Этот подход к обеспечению осведомленности может предоставить ценную информацию, связанную с определенными группами сотрудников, и может улучшить эффективность и результативность программы обучения.

До ввода в действие схемы управления инцидентами ИБ весь персонал должен быть ознакомлен с процедурами обнаружения и оповещения о событиях ИБ, а специальный персонал – с процедурами последующих процессов.

После ввода схемы в действие необходимо проводить регулярные инструктажи по ИБ для всего персонала и курсы специальной подготовки персонала, ответственного за ИБ. Подготовка должна включать специальные упражнения и тестирование членов группы поддержки и ГРИИБ, а также персонала, ответственного за ИБ.