архив
Управление инцидентами
Иван Мелехин, старший инженер-проектировщик компании "Инфосистемы Джет"
2007-02-06
Оглавление
- Обзор общепризнанных практик по управлению инцидентами
- Построение процесса управления инцидентами
- Автоматизация процессов управления инцидентами
- Заключение
- Построение процесса управления инцидентами
Ни одна самая совершенная мера по снижению рисков информационной безопасности, будь это досконально проработанная политика или самый современный межсетевой экран, не может гарантировать от возникновения в информационной среде событий, потенциально несущих угрозу бизнесу организации. Сложность и разнообразие среды деятельности современного бизнеса предопределяют наличие остаточных рисков вне зависимости от качества подготовки и внедрения мер противодействия. Также всегда существует вероятность реализации новых, неизвестных до настоящего времени, угроз информационной безопасности. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление бизнес-процессов и потенциально усилить нанесенный ущерб.
Таким образом, любой организации, серьезно относящейся к вопросам обеспечения информационной безопасности, необходимо реализовать комплексный подход к решению следующих задач:
- обнаружение, информирование и учет инцидентов информационной безопасности;
- реагирование на инциденты информационной безопасности, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
- анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения информационной безопасности в целом.
Также следует отметить, что при эксплуатации различного рода систем менеджмента информационной безопасности процесс управления инцидентами является одним из важнейших поставщиков данных для анализа функционирования подобных систем, оценки эффективности используемых мер снижения рисков и планирования улучшений в работе системы.
Обзор общепризнанных практик по управлению инцидентами
К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами информационной безопасности. Необходимо отметить, что вопрос управления инцидентами возникает не только в рамках обеспечения информационной безопасности, но и при управлении ИТ-сервисами в целом. Семейство международных стандартов ISO 20000:2005 в разделе Service Delivery and Support описывает ряд требований к организации процесса управления инцидентами в ИТ-инфраструктуре. Согласно данным стандартам под инцидентом понимается "любое событие, не являющееся элементом нормального функционирования службы и при этом оказывающее или способное оказать влияние на предоставление службы путем ее прерывания или снижения качества".
Специфические вопросы управления инцидентами информационной безопасности рассматриваются в следующих документах:
- ISO/IEC 27001:2005 Information security management system. Requirements. В рамках данного стандарта выдвигаются общие требования к построению системы управления информационной безопасности, относящиеся в том числе и к процессам управления инцидентами.
- ISO/IEC TR 18044 Information security incident management. Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.
- CMU/SEI-2004-TR-015 Defining incident management processes for CISRT. Этот документ описывает методологию планирования, внедрения, оценки и улучшения процессов управления инцидентами. Основной упор делается на организации работы CISRT (Critical Incident Stress Response Team) — группы или подразделения, обеспечивающего сервис и поддержку предотвращения, обработки и реагирования на инциденты информационной безопасности. Вводится ряд критериев, на основании которых можно оценивать эффективность данных сервисов, приводятся подробные процессные карты.
- NIST SP 800-61 Computer security incident handling guide. Здесь представлен сборник "лучших практик" по построению процессов управления инцидентами и реагирования на них. Подробно разбираются вопросы реагирования на разные типы угроз, такие как распространение вредоносного программного обеспечения, несанкционированный доступ и другие.
В рамках данного обзора невозможно рассмотреть все имеющиеся рекомендации по управлению инцидентами, и вполне вероятно, что наиболее эффективным для конкретной организации будет использование какой-либо другой методологии, в том числе и разработанной самостоятельно. Но на наш взгляд, любая используемая методология должна быть совместима с основными современными стандартами на системы управления, такими как ISO/IEC 27001 и ISO 20000.