ФУНДАМЕНТ
Сразу оговоримся: в данной статье речь идёт именно об инцидентах информационной безопасности. Сообщения (в контексте ITIL), которые принимает единый центр (ServiceDesk, Help Desk и т.д.) и которые ещё надо классифицировать, мы оставим за рамками данной статьи.
Таким образом, инцидент – любое событие, которое не является частью стандартных операций сервиса и вызывает или может вызвать прерывание обслуживания или снижение качества сервиса (Схема 1).
Схема 1.
Управление инцидентами – деятельность по восстановлению нормального обслуживания с минимальными задержками и влиянием на бизнес-операции; является реактивным, сфокусированным на краткосрочную перспективу сервисом восстановления.
Существует множество стандартов и «лучших практик» управления инцидентами. Среди них мы отметим следующие: • ISO/IEC 27001:2013 Information security management system. Requirements. В рамках данного стандарта выдвигаются общие требования построения системы управления информационной безопасности, относящиеся в том числе и к процессам управления инцидентами.
ПРОБЛЕМАТИКА
Обнаружение инцидента всегда сопряжено со стрессом. Сотрудники осознают возможные негативные последствия и должны четко знать все необходимые действия, шаг за шагом ведущие к устранению инцидента (Схема 2).
Схема 2.
В подобной ситуации, при отсутствии четких инструкций и должного уровня обучения, процесс реагирования на инциденты превращается в стохастические попытки выявления и устранения инцидентов. Зачастую функции, которые чётко должен выполнять один человек, «размазываются» между несколькими сотрудниками, которые в результате действуют параллельно и лишь теряют драгоценное время.
Для слаженной работы всех необходимых подразделений необходимо выстроить, формализовать и документировать все процессы, приведенные на Схеме 3.
Схема 3.
Ключевые цели данных процессов изложены на Схеме 4.
Схема 4.
С ЧЕГО НАЧАТЬ?
Прежде всего, необходимо чётко определить ответственное лицо, которое будет курировать процесс управления инцидентами. Как правило, это руководитель службы информационной безопасности (Менеджер ИБ).
На Схеме 5 показаны начальные ключевые шаги, являющиеся залогом успешной реализации процесса управления инцидентами. Каждый из этих шагов достоин отдельной статьи, однако мы сконцентрируемся на таком важном аспекте, как распределение обязанностей.
Схема 5.
Разработка требований и политики – экспертное решение, и будет зависеть от квалификации и опыта разработчика, а так же от целей и требований бизнеса. Распределение ролей – важное действие, зачастую выполняемое путём проб и ошибок, на основании имеющегося опыта построения процессов управления инцидентами. Данным опытом мы и поделимся.
ОПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ
После того, как получена поддержка руководства, а менеджмент осознал необходимость и важность управления инцидентами, настала очередь определения ключевых лиц процесса управления инцидентами и распределения ролей между участниками процесса. В Таблице 1 – Должности и обязанности приведены типичные должности, существующие в каждой организации, определены их роли и обязанности в рамках процесса управления инцидентами.
№ |
Должность |
Роль |
Обязанности |
---|---|---|---|
1. |
Комитет по информационной безопасности |
Структура, наделенная максимальными полномочиями в области информационной безопасности |
|
2. |
Менеджер по информационной безопасности |
Руководитель группы по управлению инцидентами и связующее звено с Комитетом по ИБ |
|
3. |
Менеджер по реагированию на инциденты (зачастую, является Менеджером по ИБ) |
Руководитель группы реагирования на инциденты |
|
4. |
Член ГРИГУИ |
Участие в работе группы |
|
5. |
Следователь |
Член ГРИГУИ |
|
6. |
ИТ специалист по безопасности |
Член ГРИГУИ, независимый эксперт по ИБ |
|
7. |
Руководители бизнес подразделений |
Владельцы бизнес процессов, активов, информационных систем |
|
8. |
ИТ специалист |
Сотрудник ИТ подразделения |
|
9. |
Юрист |
Сотрудник юридического подразделения |
Предоставляет помощь в управлении/реагировании/расследовании инцидента при необходимости. |
10. |
Сотрудник кадровой службы |
Специалист по управлению персоналом |
|
11. |
Пресс-секретарь |
Специалист по работе со СМИ и общественностью |
Предоставляет подготовленную и необходимую информацию об инциденте акционерам, СМИ и другим с целью сохранения репутации компании и сохранения бренда. |
12. |
Специалист по анализу рисков |
Сотрудник службы ИБ, внутреннего контроля либо управления рисками |
|
После того, как мы определили все ключевые роли, их функции, порядок эскалации и взаимодействия, пришло время формализовать и документировать процесс управления инцидентами.
ЧТО ДАЛЬШЕ?
Как и любой процесс, управление инцидентами должно быть цикличным, постоянно совершенствоваться (Схема 6).
Схема 6.
НА ЧТО ОБРАТИТЬ ВНИМАНИЕ?
Для любого процесса управления существуют свои краеугольные камни – проблемы, которые коренным образом влияют на успех его реализации и эффективность работы. Исходя из опыта, мы выделили следующие проблемы, которые надо принимать во внимание при разработке и внедрении процесса управления инцидентами (Схема 7).
Схема 7.
ЗАКЛЮЧЕНИЕ
Управление инцидентами – сложный процесс, требующий от участников слаженной и точной работы. Именно для того, чтобы любой инцидент не превращался в «ночной кошмар», следует четко придерживаться определённых формальных алгоритмов работы.
Поскольку успешное функционирование процесса в 90% зависит от персонала, особое внимание следует уделять вопросам тестирования планов реагирования на инциденты и восстановления. В любой нештатной ситуации следует придерживаться в порядке приоритета следующих принципов:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных