5 августа, 2013, BIS Journal №3(10)/2013

Построение процесса управления инцидентами


Хижняк Павел

руководитель отдела аудита и консалтинга, CISM (ЗАО «Практика Безопасности»)

С чего начать, как организовать и чем определять эффективность менеджмента

С чего начать построение процесса управления инцидентами? Как организовать взаимодействие между подразделениями и определять эффективность ведущейся работы? Об этом и многом другом − в статье о построении процесса управления инцидентами. Управление инцидентами является одним из важнейших процессов развития и совершенствования системы управления информационной безопасностью. Именно этот процесс позволяет понять недостатки процессов и контроля, получить исходные данные для разработки планов восстановления непрерывности и определить ключевые роли персонала в случае возникновения нештатных ситуаций.

 

ФУНДАМЕНТ

Сразу оговоримся: в данной статье речь идёт именно об инцидентах информационной безопасности. Сообщения (в контексте ITIL), которые принимает единый центр (ServiceDesk, Help Desk и т.д.) и которые ещё надо классифицировать, мы оставим за рамками данной статьи.

Таким образом, инцидент – любое событие, которое не является частью стандартных операций сервиса и вызывает или может вызвать прерывание обслуживания или снижение качества сервиса (Схема 1).

Схема 1.

Управление инцидентами – деятельность по восстановлению нормального обслуживания с минимальными задержками и влиянием на бизнес-операции; является реактивным, сфокусированным на краткосрочную перспективу сервисом восстановления.

Существует множество стандартов и «лучших практик» управления инцидентами. Среди них мы отметим следующие: • ISO/IEC 27001:2013 Information security management system. Requirements. В рамках данного стандарта выдвигаются общие требования построения системы управления информационной безопасности, относящиеся в том числе и к процессам управления инцидентами.

  • ISO/IEC TR 18044 Information security incident management. Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.
  • CMU/SEI-2004-TR-015 Defining incident management processes for CISRT. Этот документ описывает методологию планирования, внедрения, оценки и улучшения процессов управления инцидентами. Основной упор делается на организацию работы CISRT (Critical Incident Stress Response Team) – группы или подразделения, обеспечивающего сервис и поддержку предотвращения, обработку и реагирование на инциденты информационной безопасности. Вводится ряд критериев, на основании которых можно оценивать эффективность данных сервисов, приводятся подробные процессные карты.
  • NIST SP 800-61 Computer security incident handling guide. Это сборник «лучших практик» построения процессов управления инцидентами и реагирования на них. Подробно разбираются вопросы реагирования на разные типы угроз, такие как распространение вредоносного программного обеспечения, несанкционированный доступ и другие.
  • ГОСТ Р ИСО/МЭК 18044 Менеджмент инцидентов информационной безопасности. Стандарт устанавливает рекомендации для менеджмента инцидентов информационной безопасности руководителям подразделений информационной безопасности, информационных систем, сервисов и сетей.

ПРОБЛЕМАТИКА

Обнаружение инцидента всегда сопряжено со стрессом. Сотрудники осознают возможные негативные последствия и должны четко знать все необходимые действия, шаг за шагом ведущие к устранению инцидента (Схема 2).

Схема 2.

В подобной ситуации, при отсутствии четких инструкций и должного уровня обучения, процесс реагирования на инциденты превращается в стохастические попытки выявления и устранения инцидентов. Зачастую функции, которые чётко должен выполнять один человек, «размазываются» между несколькими сотрудниками, которые в результате действуют параллельно и лишь теряют драгоценное время.

Для слаженной работы всех необходимых подразделений необходимо выстроить, формализовать и документировать все процессы, приведенные на Схеме 3.

Схема 3.

Ключевые цели данных процессов изложены на Схеме 4.

Схема 4.

С ЧЕГО НАЧАТЬ?

Прежде всего, необходимо чётко определить ответственное лицо, которое будет курировать процесс управления инцидентами. Как правило, это руководитель службы информационной безопасности (Менеджер ИБ).

На Схеме 5 показаны начальные ключевые шаги, являющиеся залогом успешной реализации процесса управления инцидентами. Каждый из этих шагов достоин отдельной статьи, однако мы сконцентрируемся на таком важном аспекте, как распределение обязанностей.

Схема 5.

Разработка требований и политики – экспертное решение, и будет зависеть от квалификации и опыта разработчика, а так же от целей и требований бизнеса. Распределение ролей – важное действие, зачастую выполняемое путём проб и ошибок, на основании имеющегося опыта построения процессов управления инцидентами. Данным опытом мы и поделимся.

ОПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ

После того, как получена поддержка руководства, а менеджмент осознал необходимость и важность управления инцидентами, настала очередь определения ключевых лиц процесса управления инцидентами и распределения ролей между участниками процесса. В Таблице 1 – Должности и обязанности приведены типичные должности, существующие в каждой организации, определены их роли и обязанности в рамках процесса управления инцидентами.

Должность

Роль

Обязанности

1.

Комитет по информационной безопасности

Структура, наделенная максимальными полномочиями в области информационной безопасности

  1. Ответственность за стратегию управления инцидентами.
  2. Утверждение плана управления инцидентами.
  3. Согласование исключений и отклонений.
  4. Принятие окончательных решений.

2.

Менеджер по информационной безопасности

Руководитель группы по управлению инцидентами и связующее звено с Комитетом по ИБ

  1. Разработка, внедрение планов по управлению инцидентами.
  2. Эффективное управление рисками и инцидентами.
  3. Выполняет проактивные и активные меры по контролю уровня информационного риска.

3.

Менеджер по реагированию на инциденты (зачастую, является Менеджером по ИБ)

Руководитель группы реагирования на инциденты

  1. Руководство реагированием на инциденты.
  2. Координация персонала для эффективного реагирования на инциденты
  3. Несёт ответственность за успешное исполнение планов по реагированию на инциденты.
  4. Презентация отчета о реагировании на инциденты Комитету по ИБ.

4.

Член ГРИГУИ

Участие в работе группы

  1. Выполняет задачи по минимизации ущерба от инцидента.
  2. Документирует шаги, выполняемые в процессе реагирования на инцидент.
  3. Сохраняет цепочку доказательств и ведет наблюдение за процессом обработки инцидента в случае судебных разбирательств.
  4. Написание отчёта о реагировании на инцидент.

5.

Следователь

Член ГРИГУИ

  1. Осуществляет расследование инцидента.
  2. Находит причину инцидента.
  3. Готовит отчет о расследовании.

6.

ИТ специалист по безопасности

Член ГРИГУИ, независимый эксперт по ИБ

  1. Осуществляет комплексный анализ инцидента с точки зрения ИТ безопасности
  2. Осуществляет аудит и самооценку как проактивную меру и часть процесса управления уязвимостями.

7.

Руководители бизнес подразделений

Владельцы бизнес процессов, активов, информационных систем

  1. Принимают решения касательно процессов/ресурсов/систем в случае наступления инцидента на основании рекомендаций ГРИГУИ.
  2. Проводят первичную оценку влияния угроз на бизнес процессы и определяют приоритет восстановления своих активов.

8.

ИТ специалист

Сотрудник ИТ подразделения

  1. Предоставляет помощь ГРИГУИ в процессе устранения инцидента.
  2. Поддерживает информационные системы компании в соответствии с принятыми политиками и правилами.

9.

Юрист

Сотрудник юридического подразделения

Предоставляет помощь в управлении/реагировании/расследовании инцидента при необходимости.

10.

Сотрудник

кадровой

службы

Специалист по управлению персоналом

  1. Предоставляет помощь в управлении/реагировании/расследовании инцидента, когда сотрудник подозревается в его реализации.
  2. Встраивает в политику по управлению персоналом аспекты, касающиеся управления инцидентом (санкции для сотрудников, подозреваемых в нарушении политик либо вовлечённых в инцидент).

11.

Пресс-секретарь

Специалист по работе со СМИ и общественностью

Предоставляет подготовленную и необходимую информацию об инциденте акционерам, СМИ и другим с целью сохранения репутации компании и сохранения бренда.

12.

Специалист по анализу рисков

Сотрудник службы ИБ, внутреннего контроля либо управления рисками

  1. Вплотную работает с руководителями бизнес подразделений и руководством организации для определения рисков и управления ими.
  2. Предоставляет исходные данные (BIA, стратегию по управлению рисками) руководству ГРИГУИ.
 
Таблица 1. Должности и обязанности.

 

После того, как мы определили все ключевые роли, их функции, порядок эскалации и взаимодействия, пришло время формализовать и документировать процесс управления инцидентами.

ЧТО ДАЛЬШЕ?

Как и любой процесс, управление инцидентами должно быть цикличным, постоянно совершенствоваться (Схема 6).

Схема 6.

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ?

Для любого процесса управления существуют свои краеугольные камни – проблемы, которые коренным образом влияют на успех его реализации и эффективность работы. Исходя из опыта, мы выделили следующие проблемы, которые надо принимать во внимание при разработке и внедрении процесса управления инцидентами (Схема 7).

Схема 7.

ЗАКЛЮЧЕНИЕ

Управление инцидентами – сложный процесс, требующий от участников слаженной и точной работы. Именно для того, чтобы любой инцидент не превращался в «ночной кошмар», следует четко придерживаться определённых формальных алгоритмов работы.

Поскольку успешное функционирование процесса в 90% зависит от персонала, особое внимание следует уделять вопросам тестирования планов реагирования на инциденты и восстановления. В любой нештатной ситуации следует придерживаться в порядке приоритета следующих принципов:

  1. Безопасность сотрудников и посетителей;
  2. Сдерживание инцидента и минимизация ущерба;
  3. Безопасность активов организации;
  4. Безопасность информационных ресурсов;
  5. Восстановление в соответствии с требованиями бизнеса;
  6. Расследование инцидента;
  7. Принятие мер по недопущению повторения инцидента.

Эти семь очевидных шагов – семь важных правил, которые нужно соблюдать, чтобы эффективно построить процессы управления инцидентами информационной безопасности.

 

Смотрите также

High tech, low life

15 июля, 2013
Подпишись на новости!
Подписаться