Управление инцидентами иб практика осуществления непрерывности бизнеса

Система защиты от утечек информации основывается в том числе на выявлении, предотвращении, регистрации и устранении последствий инцидентов информационной безопасности или событий, нарушающих регламентированные процедуры защиты ИБ. Существует ряд методик, определяющих основные параметры управления ими. Эти методики внедряются на уровне международных стандартов, устанавливающих критерии оценки качества менеджмента в компании. События или инциденты ИБ в рамках этих регламентов выявляются и регистрируются, их последствия устраняются, а на основании анализа причин их возникновения положения и методики дорабатываются.

Понятие инцидента

Международные регламенты, действующие в сфере сертификации менеджмента информационных систем, дают свое определение этому явлению. Согласно им инцидентом информационной безопасности является единичное событие нежелательного и непредсказуемого характера, которое способно повлиять на бизнес-процессы компании, скомпрометировать их или нарушить степень защиты информационной безопасности. На практике к этому понятию относятся разноплановые события, происходящие в процессе работы с информацией, существующей в электронной форме или на материальных носителях. К ним может относиться и оставление документов на рабочем столе в свободном доступе для другого персонала, и хакерская атака – оба инцидента в равной мере могут нанести ущерб интересам компании.

Среди основных типов событий присутствуют:

• нарушение порядка взаимодействия с Интернет-провайдерами, хостингами, почтовыми сервисами, облачными сервисами и другими поставщиками телекоммуникационных услуг;
• отказ оборудования по любым причинам, как технического, так и программного характера;
• нарушение работы программного обеспечения;
• нарушение любых правил обработки, хранения, передачи информации, как электронной, так и документов;
• неавторизированный или несанкционированный доступ третьих лиц к информационным ресурсам;
• выявление внешнего мониторинга ресурсов;
• выявление вирусов или других вредоносных программ;
• любая компрометация системы, например, попадание пароля от учетной записи в открытый доступ.

Все эти события должны быть классифицированы, описаны и внесены во внутренние документы компании, регламентирующие порядок обеспечения информационной безопасности. Кроме того, в регламентирующих документах необходимо установить иерархию событий, разделить их на более или менее значимые. Следует учитывать, что существенная часть инцидентов малозаметны, они происходят вне периметра внимания должностных лиц. Такие события должны быть описаны особо, и определены меры для их выявления в режиме постфактум.

При описании мер реакции следует учитывать, что изменение частоты появления и общего количества инцидентов информационной безопасности является одним из показателей качества работы систем, обеспечивающих ИБ, и само по себе классифицируется в качестве существенного события. Учащение событий может говорить о намеренной атаке на информационные системы компании, поэтому оно должно стать основанием для анализа и дальнейшего повышения уровня защиты.

Место управления инцидентами в общей системе информационной безопасности

Регламенты, определяющие порядок управления инцидентами информационной безопасности, должны стать составной частью бизнес-процессов и их регламентации. Предполагая, что инцидентом является недозволенное, несанкционированное событие, в работе нужно опираться на механизм, разделяющий события и действия на разрешенные и запрещенные, определяющий органы, имеющие права на разработку таких норм. Кроме того, регламент определяет методы и способы классификаций событий, прямо не обозначенных в документах в качестве значимых, и механизм выявления таких событий, их описания и последующего внесения в регламентирующие документы.

Например, в регламенте может быть запрещено размещение конфиденциальной информации на портативных носителях без ее кодировки или шифрования, при этом не будет прямо установлен запрет на вынос таких устройств за пределы компании. Случайная утрата компьютера в результате криминального посягательства станет инцидентом, но он не будет прямо запрещен. Соответственно, в документах должен быть установлен механизм дополнения норм и правил безопасности в ситуативном порядке без излишней бюрократии. Это позволит оперативно реагировать на новые вызовы и дорабатывать меры защиты своевременно, а не со значительным запозданием.

Система сертификации ISO 27001 в качестве одного из элементов ИБ предполагает необходимость создания отдельной процедуры управления инцидентами информационной безопасности в рамках общей системы стандартизации бизнес-процессов.

Особенности управления событиями безопасности

Несмотря на то, что стандарты прямо рекомендуют внедрять методики управления инцидентами информационной безопасности, на практике внедрение и реализация этих практик встречают множество сложностей. Отдельные процедуры управления инцидентами не внедряются. Этот показатель не говорит о том, что системы менеджмента инцидентов работают хорошо или плохо, это свидетельствует только о том, что существует определенная брешь в системе безопасности.

Управление инцидентами информационной безопасности основано на следующих действиях:

• определение. В организации отсутствует методика выявления и классификации инцидентов, описание их основных параметров, поэтому сотрудники встают перед необходимостью или самостоятельно определять критерии события, или игнорировать его. Вход в сеть под аккаунтом другого сотрудника, согласно стандартам, является инцидентом информационной безопасности, но он не будет зафиксирован в журнале, так как сотрудники считают такое поведение стандартным и дозволенным, особенно в условиях дефицита кадровых ресурсов;
• оповещение о возникновении. Даже если какое-либо событие может быть определено согласно принятым в организации методикам или личному мнению сотрудника как инцидент, чаще всего в организации не разработаны стандарты и маршруты оповещения о таких событиях. Даже если кем-то будет выявлен факт копирования документов, относящихся к коммерческой тайне, сотрудник встанет в тупик перед вопросом, кто именно и в какой форме должен быть оповещен об этом инциденте: его руководитель, служба безопасности или иное лицо;
• регистрация. Эта часть стандартов является наиболее невыполнимой для российских компаний, инциденты не идентифицируются, соответственно, не фиксируются. Отсутствует практика заведения регистров учета, в которых бы фиксировались значимые события, что впоследствии давало бы материал для их анализа и прогноза возможных атак;
• устранение причин и последствий. Любой инцидент вызывает определенные следы и последствия, которые, с одной стороны, могут мешать деятельности компании, с другой – служат материалом для проведения расследования причин его возникновения. Отсутствие регламентов устранения последствий может привести как к накоплению ошибок, так и к полному уничтожению доказательственной базы, позволяющей выявить виновника произошедшей ситуации. Любые срочные меры, предпринимаемые для восстановления стабильности, могут случайно или намеренно уничтожить следы проникновения в базу данных;
• меры реагирования на инциденты. В ряде случаев возникновение инцидента может потребовать срочных мер реагирования, например, отключения компьютера от сети, приостановки передачи информации, установки контакта с провайдером. Должны быть определены органы и должностные лица, ответственные за разработку механизма реагирования и его оперативную реализацию;
• расследование. Полномочия по расследованию должны быть переданы из ведения IT-службы в компетенцию служб безопасности. В рамках расследования должны быть изучены журналы учета, проанализированы действия всех пользователей и администраторов, которые имели доступ к системам в период возникновения чрезвычайной ситуации. Расследование должно стать одним из основных элементов управления инцидентами. На практике в российских компаниях от реализации этого этапа отказываются, ограничиваясь устранениями последствий произошедшего события. При необходимости расследование должно производиться с привлечением оперативно-следственных органов;
• реализация превентивных мер. В большинстве случаев инциденты не являются единичными, их возникновение свидетельствует о том, что в системе ИБ возникла брешь и аналогичные случаи будут повторяться. Во избежание этих рисков необходимо по результатам расследования подготовить протокол или акт комиссии, в котором определить, какие именно меры должны быть применены для предотвращения аналогичных ситуаций. Кроме того, применяются определенные меры дисциплинарной ответственности, предусмотренные Трудовым кодексом и внутренними регламентами;
• аналитика. Все события, нарушающие регламентированные процессы и могущие быть квалифицированы в качестве инцидентов информационной безопасности, должны стать основой для анализа, который поможет определить их характер, проявить системность и выработать рекомендации для совершенствования системы ИБ, действующей в компании.

Управление инцидентами в безопасности с помощью «СёрчИнформ КИБ» упрощает работу ИБ-службы компании: система экстренно реагирует на нарушения политик безопасности и снабжает ИБ-специалиста большой доказательной базой.   

Основные проблемы, связанные с нарушением процедур, обусловлены неготовностью персонала в полной мере воспринимать, адаптировать и выполнять рекомендации. Касательно инцидентов информационной безопасности, сложности в восприятии и реакции вызывают моменты, связанные с совершением действий, которые прямо не регламентированы инструкциями или стандартами или вызывают ощущение излишних или избыточных.

Процедура управления

Как любая корпоративная процедура, организация управления инцидентами информационной безопасности должна пройти несколько этапов: от принятия решения о его необходимости до внедрения и аудита. На практике менеджмент большинства предприятий не осознает необходимости применения этой практики защиты информационного периметра, поэтому для возникновения инициативы о ее внедрении часто требуется аудит систем ИБ внешними консультантами, выработка ими рекомендаций, которые затем будут реализованы руководством предприятия. Таким образом, начальной точкой для реализации процедур управления инцидентами ИБ становится решение исполнительных органов или иногда более высоких звеньев системы управления компании, например, Совета директоров.

Общее решение обычно принимается в русле модернизации существующей системы ИБ. Система управления инцидентами является ее основной частью. На уровне принятия решения необходима его локализация в общей парадигме целей компании. Оптимально, если функционирование системы ИБ становится одной из бизнес-целей организации, а качество ее работы подкрепляется установлением ключевых показателей эффективности для ответственных сотрудников компании. После определения статуса функционирования системы необходимо перейти к разработке внутренней документации, опосредующей связанные с ней отношения в компании.

Для придания значимости методикам управления информационной безопасностью они должны быть утверждены на уровне исполнительного органа (генерального директора, правления или совета директоров). С данными документа необходимо ознакомить всех сотрудников, имеющих отношение к работе с информацией, существующей в электронных формах или на материальных носителях.

В структуре документа, оформляемого в виде положения или регламента, должны выделяться следующие подразделы:

• определение событий, признаваемых инцидентами применительно к системе безопасности конкретной компании. Так, пользование внешней электронной почтой может быть нарушением ИБ для государственной компании и рядовым событием для частной;
• порядок оповещения о событии. Должны быть определены формат уведомления (устный, докладная записка, электронное сообщение), перечень лиц, которые должны быть оповещены, и дублирующие их должности в случае их отсутствия, перечень лиц, до которых также доносится информация о событии (руководство компании), срок уведомления после получения информации об инциденте;
• перечень мероприятий по устранению последствий инцидента и порядок их реализации;
• порядок расследования, в котором определяются ответственные за него должностные лица, механизм сбора и фиксации доказательств, возможные действия по выявлению виновника;
• порядок привлечения виновных лиц к дисциплинарной ответственности;
• меры усиления безопасности, которые должны быть применены по итогам расследования инцидента;
• порядок минимизации вреда и устранения последствий инцидентов.

При разработке регламентов, опосредующих систему управления событиями ИБ, желательно опираться на уже созданные и показавшие свою эффективность методики и документы, включая формы отчетов, журналы регистрации, уведомления о событии.

Устранение причин и последствий события, его расследование

Непосредственно после уведомления соответствующих должностных лиц о произошедшем инциденте и его фиксации необходимо совершить действия реагирования, а именно устранения причин и последствий события. Все этапы этих процессов должны найти свое отражение в регламентах. Там описываются перечни общих действий для отдельных наиболее значимых событий, конкретные шаги и сроки применения мер. Необходимо также предусмотреть ответственность за неприменение установленных мер или недостаточно эффективное их применение.

На этапе расследования от должностных лиц организации требуется:

• определить причины возникновения инцидента и недостатки регламентирующих документов и методик, сделавших возможным его возникновение;
• установить ответственных и виновных лиц;
• собрать и зафиксировать доказательства;
• установить мотивы совершения инцидента и круг лиц, причастных к нему помимо персонала компании, выявить заказчика.

Если предполагается в дальнейшем возбуждение судебного преследования по факту инцидента на основании совершения преступления в сфере информационной безопасности или нарушения режима коммерческой тайны, к расследованию уже на начальном этапе необходимо привлечь оперативно-следственные органы. Собранные самостоятельно факты без соблюдения процессуальных мер не будут признаны надлежащими доказательствами и приобщены к делу.

Как расследовать утечки информации с помощью DLP-системы? Читать. 

Превентивные меры, изменения стандартов и ликвидация последствий

Непосредственно после выявления инцидента предпринимаются оперативные меры по устранению его последствий. На следующем этапе необходим анализ причин его возникновения и совершение комплекса действий, направленных на предотвращение возможного повторения аналогичного события. Сегодня основным регламентирующим документом, предлагающим стандарты реакции на инциденты, стал ISO/IEC 27000:2016, это последняя версия совместной разработки ISO и Энергетической комиссии. В России на основе более ранних версий ISO/IEC разработаны ГОСТы. В рамках ISO/IEC 27000:2016 предлагается создать специальную службу поддержки, Service Desk, на которую должны быть возложены функции управления инцидентами.

Аудит соблюдения стандартов

При получении сертификата соответствия по стандарту ISO 27001, а также при проверке соблюдений требований стандарта проводится аудит выполнения методик управления инцидентами информационной безопасности. При проведении аудита часто выясняется, что даже при внедрении стандартов возникает существенное количество проблем и недопониманий, связанных с регистрацией инцидентов и расследованием событий, послуживших причиной для их возникновения. Расследования осложняются тем, что под одной учетной записью могут входить несколько операторов или администраторов, что затрудняет их аутентификацию. На контроллере серверов в большинстве случаев не заводятся и не ведутся журналы учета событий. Отсутствие контролируемой системы идентификации пользователей, характерное для большинства российских компаний, позволяет в произвольном режиме менять информацию, останавливать серверы или модифицировать их работу. ИБ, внедренные в большинстве российских компаний, не позволяют контролировать действия администраторов.

Рекомендуется проведение аудита не реже чем раз в полгода. Его результатами должны стать обновление перечня событий, признаваемых инцидентами, доработка перечня необходимых действий по их устранению, изменение программных средств, обеспечивающих защиту информационного периметра. Если в компании установлены DLP-системы и SIEM-системы, то с учетом проведенного анализа инцидентов, произошедших за определенный период, и результатов аудита они могут быть доработаны.

Аудит не должен быть единственным фактором, выявляющим недостатки работы системы. Еще на этапе ее внедрения должны быть разработаны системы контроля качества процессов, результаты работы которых должны обрабатываться в регулярном режиме.

Жизненный цикл процесса управления непрерывностью бизнеса

Инициация проекта

Проект – это деятельность, направленная на создание уникального продукта, услуги или результата.

План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK – Пятое издание

На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.

Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса – это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА), широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.

6.1. Управление непрерывностью услуг

Управление непрерывностью услуг (IT Service Continuity Management или ITSCM) — процесс, ответственный за управление рисками, которые влияют на услуги. ITSCM обеспечивает возможность поставщику услуг постоянно предоставлять минимально согласованный Уровень услуг, через снижение рисков до приемлемого уровня и Планирование восстановления услуг[1].

Основная цель Управления непрерывностью услуг (далее просто Управление непрерывностью) — поддерживать процесс Управления непрерывностью бизнеса. Управление непрерывностью бизнеса (Business Continuity Management или BCM) — бизнес-процесс, отвечающий за управление рисками, которые могут серьезно повлиять на бизнес. BCM защищает интересы ключевых заинтересованных сторон, репутацию, бренд и деятельность по созданию ценности. Процесс BCM включает в себя снижение рисков до приемлемого уровня и планирование способов восстановления бизнес-процессов в случае нарушения бизнеса. BCM устанавливает цели, охват и требования по отношению к Управлению непрерывности ИТ-услуг[1].

В настоящее время технологии являются основным компонентом многих бизнес процессов, поэтому обеспечение их непрерывности и доступности является необходимым для существования бизнеса в целом. ITSCM управляет способностью услуг и их компонентов к восстановлению.

Промежуточные цели ITSCM:

1. управление набором Планов обеспечения непрерывности услуг и Планов восстановления услуг, которые являются частью Планов обеспечения непрерывности бизнеса. План обеспечения непрерывности услуг (IT Service Continuity Plan) — план, определяющий шаги, необходимые для восстановления одной или нескольких услуг. План также должен определять события, которые являются основанием для его инициации, людей, которые должны быть задействованы, средства коммуникаций и т.п.

   План обеспечения непрерывности бизнеса (Business Continuity Plan или BCP) — план определяет шаги, необходимые для восстановления бизнес-процессов в случае нарушения их функционирования. План также должен содержать информацию о событиях, которые являются основанием для его инициирования; людях, которые должны быть задействованы в реализации плана; средствах коммуникаций и т.п.[1]

2. завершение Анализа влияния на бизнес в части гарантии управления планами обеспечения непрерывности в соответствии с изменяющимися требованиями и потребностями бизнеса;
3. сопровождение Анализа рисков и менеджмента, в частности при взаимодействии с бизнесом и процессами Управления доступностью и Управления безопасностью, которые управляют услугами в соответствии с согласованным Уровнем услуг;
4. предоставление рекомендаций и руководств другим областям IT в вопросах, связанных с непрерывностью и восстановлением услуг;
5. обеспечение механизмов непрерывности и восстановления, которые позволят достигнуть целевых показателей, установленных бизнесом;
6. оценка влияния изменений на Планы обеспечения непрерывности услуг и Планы восстановления услуг;
7. проактивное улучшение непрерывности услуг там, где это экономически эффективно;
8. ведение переговоров и заключение контрактов с поставщиками об обеспечении необходимой способности к восстановлению в целях поддержки непрерывности (с участием процесса Управления поставщиками)[10].

Управление непрерывностью фокусируется на значимых негативных событиях, которые ITIL называет «катастрофами» для бизнеса. Менее значимые события рассматриваются в рамках процесса Управления инцидентами. То, является ли какое-то конкретное событие катастрофой, зависит от организации, в которой оно произошло. Размер и значимость негативного влияния события на бизнес, например, финансовые потери или потеря репутации, измеряется в рамках Анализа влияния на бизнес. Анализ влияния на бизнес определяет минимальные требования к критичности, конкретные требования к технологиям и услугам определяются в рамках Управления непрерывностью.

ITSCM главным образом рассматривает активы IT и конфигурации, которые поддерживают бизнес-процессы. В случае катастрофы бизнесу необходимо перестроиться на альтернативную рабочую локацию. При этом необходимо предоставить такие элементы как удобство офиса для персонала, копии критических бумажных отчетов, услуги курьеров и телефонную связь для связи с клиентами и партнерами. В этой связи Управление непрерывностью должно учитывать количество и месторасположение офисов организации, а также услуги, предоставляемые в каждом из них.

В рамках Управления непрерывностью должны выполняться следующие деятельности:

1. Согласование границ ITSCM и применяемых политик;
2. Анализ влияния на бизнес для количественной оценки влияния потери услуги на бизнес;
3. Анализ рисков — идентификация и оценка рисков с целью определения потенциальных угроз непрерывности и оценки вероятности их осуществления. Сюда также входит применение механизмов управления угрозами там, где это экономически эффективно;
4. формирование стратегии ITSCM, интегрированной в стратегию BCM.
5. формирование Планов обеспечения непрерывности, интегрированных в планы BCM.
6. Тестирование планов обеспечения непрерывности;
7. Непрерывное осуществление планов и управление ими.

На рис. 6.1 показан жизненный цикл ITSCM.

ITSCM циклически повторяется на всем жизненном цикле услуги и гарантирует то, что однажды разработанные планы по восстановлению и обеспечению непрерывности услуг будут соответствовать в дальнейшем приоритетам бизнеса и Планам обеспечения непрерывности бизнеса. На рис. 6.1 также показана роль BCM в ITSCM.

Стадии инициализации и формирования требований относятся к BCM. ITSCM должен только участвовать в этих стадиях, чтобы поддержать BCM и понять связи между бизнес-процессами и влияние потери услуг на них. В результате этих начальных стадий BCM формирует Стратегию обеспечения непрерывности бизнеса. Для ITSCM первой серьезной задачей становится сформировать свою стратегию, которая сделает возможной и поддержит Стратегию непрерывности бизнеса. Рассмотрим стадии жизненного цикла ITSCM.

Стадия 1 — Запуск

Эта стадия ITSCM состоит из следующих действий:

• формирование политики обеспечения непрерывности — должно быть осуществлено как можно быстрее. Политика, как минимум, должна определять цели и моменты и вопросы, на которые менеджмент должен обратить внимание;
• определение терминов охвата и компетенции — определение границ ITSCM и распределение ответственности для всего персонала в организации;
• распределение ресурсов — формирование окружения для обеспечения непрерывности бизнеса, требующего значительных ресурсов как денежных, так и людских.
• определение проекта для организации процесса ITSCM и структуры его контроля — ITSCM и BCM являются сложными процессами, требующими тщательной организации и контроля.
• согласование проекта и планов качества — планы обеспечивают контроль проекта и его применимость для различных ситуаций.

Стадия 2 — Требования и стратегия

Установление требований бизнеса к непрерывности услуг является критически важным, так как именно от этого этапа зависит устойчивость организации к катастрофам и соответствующие затраты. Если требования некорректны или пропущена какая-то важная информация, все механизмы ITSCM будут неэффективны. Эта стадия разделяется на две подстадии:

• требования — Анализ влияния на бизнес и оценка рисков
• стратегия — стратегия формулирует меры уменьшения риска и опции восстановления.

Анализ влияния на бизнес (Business Impact Analysis или BIA) — деятельность в рамках процесса Управления непрерывностью бизнеса, которая определяет критичные бизнес-функции и их зависимость от факторов окружения. Этими факторами могут быть поставщики, люди, другие бизнес-процессы, услуги и т.д[1]. BIA определяет последствия потери услуг для бизнеса. Потери могут быть значительными, например, крупные финансовые потери, и «мягкими» — моральные потери, потеря репутации, конкурентного преимущества и т.п.

Анализ влияния на бизнес определяет:

• форму, которую может приобретать разрушение или потеря, например:
  • потерянный доход;
  • дополнительные затраты;
  • вред репутации;
  • потеря благосклонности клиентов;
  • потеря конкурентного преимущества;
  • повреждение и нарушение здоровья, законности и безопасности;
  • риск безопасности персонала;
  • потеря рынка сбыта в краткосрочном и долгосрочном периодах;
  • потеря операционных возможностей, например, контроля.
• как будут увеличиваться негативные последствия разрушения или потери после неблагоприятного события, а также время суток, недели, месяца, когда они будут наиболее серьезными;
• кадровое обеспечение, навыки, аппаратура и услуги, которые необходимы для поддержки минимальных уровней непрерывности критичных бизнес-процессов;
• временные рамки, в пределах которых необходимо обеспечить минимальный уровень восстановления кадрового обеспечения, аппаратуры, услуг и других возможностей;
• временные рамки, в пределах которых необходимо полностью восстановить критичные бизнес-процессы и поддерживающие их кадровое обеспечение, аппаратуру, услуги и другие возможности;
• приоритеты восстановления для услуг.

Одним из основных выходов BIA является построение диаграммы оценки влияния потери услуги или бизнес-процесса на бизнес в целом (рис. 6.2).

Анализ влияния на бизнес предоставляет базис для осуществления ITSCM. На основе анализа формируется перечень услуг, приложений и других компонентов, которые станут предметами рассмотрения ITSCM.

Второй этап определения требований для ITSCM заключается в оценке вероятности возникновения неприятных событий.

Оценка рисков (Risk Assessment) — начальные шаги Управления рисками. Анализируется ценность активов для бизнеса, идентифицируются угрозы по отношению к этим активам, и оценивается уязвимость активов по отношению к этим угрозам[1].

Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:

• принципы M_o_R — базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
• подход M_o_R — подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
• процессы M_o_R. Выделяют четыре процесса в рамках M_o_R:
  • Определение — определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
  • Оценка — оценка суммарного влияния всех определенных угроз;
  • Планирование — определение набора управленческих действий, которые уменьшат риски;
  • Реализация — осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
• пересмотр и внедрение M_o_R — внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
• взаимодействие — обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.

Управление инцидентами информационной безопасности и непрерывностью бизнеса, учебное пособие для вузов, Милославская Н.Г., Сенаторов М.Ю., Толстой А.И., 2014.

В учебном пособии изучается процесс управления инцидентами информационной безопасности (ИБ), для чего вводятся понятия события и инцидента ИБ и выделяются цели и задачи управления инцидентами ИБ. Описывается система управления инцидентами ИБ. Анализируются этапы процесса управления инцидентами ИБ. Исследуются подпроцессы обнаружения событий и инцидентов ИБ и оповещения о них; обработка событий и инцидентов ИБ, включая первую оценку и предварительное решение по событию ИБ и вторую оценку и подтверждение инцидента ИБ; реагирования на инциденты ИБ. Описывается документация системы управления инцидентами ИБ, включая политику и программу. Анализируется деятельность группы реагирования на инциденты ИБ. Значительное внимание уделяется сохранению доказательств инцидента ИБ. Далее вводятся определения непрерывности бизнеса, управления ею и системы управления непрерывностью бизнеса (УНБ). Рассматривается применение цикла PDCA к этой системе управления. Детально описывается жизненный цикл УНБ. Определяется состав документации в области непрерывности бизнеса, в частности, политика УНБ и планы управления инцидентом, обеспечения непрерывности и восстановления бизнеса. Анализируются готовность информационных и телекоммуникационных технологий (ИТТ) к обеспечению непрерывности бизнеса (ОНБ) и интеграция процессов готовности ИТТ и ОНБ в рамках цикла PDCA.
Для студентов высших учебных заведений, обучающихся по программам магистратуры направления 090900 — «Информационная безопасность», будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам.

1. НОРМАТИВНАЯ БАЗА УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ИБ И ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ БИЗНЕСА.

Для наиболее эффективной разработки процессов управления инцидентами ИБ и ОНБ необходимо руководствоваться требованиями международных и российских стандартов.
К настоящему времени разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами ИБ и ОНБ как в рамках обеспечения ИБ (ОИБ), так и при управлении ИТ-сервисами в целом. К ним можно отнести следующие документы.
1. Международный и национальный стандарты ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001:2005 устанавливают требования к СУИБ в целом, а также отдельно к процессу управления инцидентами ИБ [1, 2]. Данные стандарты обращают особое внимание на необходимость создания процесса управления инцидентами ИБ и поддерживающей его работу документации, необходимой для регулирования и управления работой в рамках разработанного процесса и определения обязанностей и необходимых действий сотрудников.
2. Национальный стандарт ГОСТ Р ИСО/МЭК 18044-2007 [3], идентичный отмененному в настоящее время международному стандарту ISO/IEC TR 18044:2004 [4] в связи с его заменой стандартом 1SO/IEC 27035:2011 [5], описывает инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA, дает подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса и рассматривает вопросы обеспечения нормативно-распорядительной документацией и ресурсами и рекомендации по необходимым процедурам.

ОГЛАВЛЕНИЕ.

Предисловие.
Введение.
1. Нормативная база управления инцидентами ИБ и обеспечение непрерывности бизнеса.
2. Управление инцидентами ИБ.
3. Управление непрерывностью бизнеса организации.
Заключение.
Приложения.
Список литературы.

Бесплатно скачать электронную книгу в удобном формате, смотреть и читать:

Скачать книгу Управление инцидентами информационной безопасности и непрерывностью бизнеса, учебное пособие для вузов, Милославская Н.Г., Сенаторов М.Ю., Толстой А.И., 2014 — fileskachat.com, быстрое и бесплатное скачивание.

Скачать djvu
Ниже можно купить эту книгу по лучшей цене со скидкой с доставкой по всей России.Купить эту книгу

Скачать
— djvu — Яндекс.Диск.

Дата публикации: 19.03.2020 18:03 UTC

Теги:

информация :: безопасность :: бизнес :: Милославская :: Сенаторов :: Толстой :: 2014