Реагирование на инциденты нарушения информационной безопасности и сбои

 

Цель: сведение к минимуму ущерба от инцидентов нарушения информационной безопасности и сбоев, а также осуществление мониторинга и реагирование по случаям инцидентов.

 

Об инцидентах нарушения информационной безопасности следует информировать руководство в соответствии с установленным порядком, по возможности, незамедлительно.

 

Все сотрудники и подрядчики должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Сотрудники и подрядчики должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах определенному контактному лицу или администратору безопасности. В организации должны быть установлены меры дисциплинарной ответственности сотрудников, нарушающих требования безопасности. Для того чтобы иметь возможность реагировать на инциденты нарушения информационной безопасности должным образом, необходимо собирать свидетельства и доказательства возможно быстрее после обнаружения инцидента (12.1.7).

 

Информирование об инцидентах нарушения информационной безопасности

 

Об инцидентах нарушения информационной безопасности следует информировать руководство в соответствии с установленным порядком, по возможности, незамедлительно.

 

Необходимо внедрить формализованную процедуру информирования об инцидентах, а также процедуру реагирования на инциденты, устанавливающие действия, которые должны быть предприняты после получения сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены с процедурой информирования об инцидентах нарушения информационной безопасности, а также проинформированы о необходимости незамедлительного сообщения об инцидентах. Необходимо также предусмотреть процедуры обратной связи по результатам реагирования на инциденты нарушения информационной безопасности. Информация об инцидентах может использоваться с целью повышения осведомленности пользователей (6.2), поскольку позволяет демонстрировать на конкретных примерах возможные последствия инцидентов, реагирование на них, а также способы их исключения в будущем (12.1.7).

 

Информирование о проблемах безопасности

 

От пользователей информационных сервисов необходимо требовать, чтобы они обращали внимание и сообщали о любых замеченных или предполагаемых недостатках и угрозах в области безопасности в системах или сервисах. Они должны немедленно сообщать об этих причинах для принятия решений своему руководству или непосредственно поставщику услуг. Необходимо информировать пользователей, что они не должны ни при каких обстоятельствах самостоятельно искать подтверждения подозреваемому недостатку в системе безопасности. Это требование предъявляется в интересах самих пользователей, поскольку тестирование слабых мест защиты может быть интерпретировано как неправомочное использование системы.

 

Информирование о сбоях программного обеспечения

 

Для информирования о сбоях программного обеспечения необходимы соответствующие процедуры. При этом должны предусматриваться следующие действия:

 

- симптомы проблемы и любые сообщения, появляющиеся на экране, должны фиксироваться;

 

- по возможности, компьютер необходимо изолировать и пользование им прекратить. О проблеме следует немедленно известить соответствующее контактное лицо или администратора. В случае необходимости провести исследования оборудования, которое должно быть отсоединено от всех сетей организации. Дискеты не следует передавать для использования в других компьютерах;

 

- о факте сбоя программного обеспечения следует немедленно извещать руководителя службы информационной безопасности.

 

Пользователи не должны пытаться самостоятельно удалить подозрительное программное обеспечение, если они не уполномочены на это. Ликвидировать последствия сбоев должен соответственно обученный персонал.