Процедуры в отношении инцидентов нарушения информационной безопасности

 

Обязанности и процедуры по управлению в отношении инцидентов должны быть определены для обеспечения быстрой, эффективной и организованной реакции на эти нарушения информационной безопасности (6.3.1). При этом необходимо рассмотреть следующие мероприятия:

 

а) должны быть определены процедуры в отношении всех возможных типов инцидентов нарушения информационной безопасности, в том числе:

 

1) сбои информационных систем и утрата сервисов;

 

2) отказ в обслуживании;

 

3) ошибки вследствие неполных или неточных данных;

 

4) нарушения конфиденциальности;

 

б) в дополнение к обычным планам обеспечения непрерывности (предназначенных для скорейшего восстановления систем или услуг) должны существовать процедуры выполнения требований (6.3.4):

 

1) анализа и идентификации причины инцидента;

 

2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов, при необходимости;

 

3) использования журналов аудита и аналогичных свидетельств;

 

4) взаимодействия с лицами, на которых инцидент оказал воздействие или участвующих в устранении последствий инцидента;

 

5) информирования о действиях соответствующих должностных лиц;

 

в) журналы аудита и аналогичные свидетельства должны быть собраны (12.1.7) и защищены соответствующим образом с целью:

 

1) внутреннего анализа проблемы;

 

2) использования как доказательство в отношении возможного нарушения условий контракта, нарушения требований законодательства или, в случае гражданских или уголовных судебных разбирательств, касающихся, например, защиты персональных данных или неправомочного использования компьютеров;

 

3) ведения переговоров относительно компенсации ущерба с поставщиками программного обеспечения и услуг;

 

г) действия по устранению сбоев систем и ликвидации последствий инцидентов нарушения информационной безопасности должны быть под тщательным и формализованным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что:

 

1) только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в отношении доступа третьей стороны);

 

2) все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены;

 

3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководству организации, и они проанализированы в установленном порядке;

 

4) целостность бизнес-систем и систем контроля подтверждена в минимальные сроки.

 

Разграничение обязанностей

 

Разграничение обязанностей - это способ минимизации риска нештатного использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей ответственности как способ уменьшения неавторизованной модификации или неправильного использования информации или сервисов.

 

Для небольших организаций эти мероприятия труднодостижимы, однако данный принцип должен быть применен насколько это возможно. В случаях, когда разделение обязанностей осуществить затруднительно, следует рассматривать использование других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, использование журналов аудита, а также мер административного контроля. В то же время важно, чтобы аудит безопасности оставался независимой функцией.

 

Необходимо предпринимать меры предосторожности, чтобы сотрудник не мог совершить злоупотребления в области своей единоличной ответственности не будучи обнаруженным. Инициирование события должно быть отделено от его авторизации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

 

- разграничение полномочий в отношении видов деятельности, которые создают возможность сговора для осуществления мошенничества, например, формирование заказов на закупку и подтверждения получения товаров;

 

- при наличии опасности сговора мероприятия должны быть продуманы так, чтобы в осуществлении операции участвовали два или более лица для снижения возможности сохранения тайны сговора.