Методология

Какие документы необходимы для запуска процесса реагирования на инциденты ИБ

akhalin.jpgАлексей Халин

Для запуска процесса реагирования следует подготовить и утвердить организационные документы, необходимые для его функционирования. Каждая организация сама выбирает, в какой форме они будут утверждаться (инструкция, положение или регламент), однако они должны решать следующие задачи:

  • формализация работы команды мониторинга и реагирования;
  • определение требований по реагированию на инциденты ИБ, в том числе при работе с подрядными организациями;
  • нормализация определения приоритетов инцидентов ИБ;
  • разработка SLA по реагированию на инциденты ИБ с разными приоритетами;
  • определение полномочий по реагированию для работников команды мониторинга и реагирования без согласования с руководством.

Ниже приведен примерный перечень элементов процесса реагирования на инциденты ИБ, которые должны содержаться в разрабатываемых документах, с описанием их содержательной части и соответствующими примерами документов.

ЭлементОписание содержательной частиЦелевая аудиторияВозможные формы
Основные принципы процесса реагирования на инциденты ИБВ организации должен быть утвержден документ, определяющий:
- уровень вовлеченности руководства организации в процесс реагирования;
- основные принципы, которым следует организация при реагировании на инциденты ИБ;
- описание процесса реагирования на инциденты ИБ;
- распределение ролей, уровней принятия решений, а также указаний по передаче и эскалации инцидента ИБ;
взаимосвязь функции реагирования на инциденты ИБ с другими функциями в организации;
- требования по внешним связям и совместному пользованию информацией;
- порядок взаимодействия команды мониторинга и реагирования с остальной частью организации и с другими организациями;
- критерии оценки качества реагирования;
- формы отчетности и документирования
Вся организацияПолитика реагирования на инциденты ИБ
Обязанности, ответственность и полномочия специалистов по реагированиюВ организации должны быть утверждены документы, определяющие обязанности, ответственность и полномочия всех работников организации, принимающих участие в реагировании на инциденты ИБВся организацияРолевая модель, должностные инструкции
Процедуры реагирования на типовые инциденты ИБВ рамках ЦПК должны быть разработаны процедуры реагирования на типовые инциденты ИБ (плейбуки). Информация, содержащаяся в плейбуках, должна являться достаточной для реагирования на инциденты. Плейбуки должны содержать описания действий, выполняемых в ходе реагирования ответственными за эти действия. В рамках разработки плейбуков должны учитываться имеющиеся системы и средства защиты информацииЦПКПлейбук
Требования к подрядным организациям по реагированию на инцидентыВ отношении подрядчиков должны быть закреплены требования по ИБ, в том числе о сообщении об инцидентах ИБ в случае их обнаружения. В случае если подрядчик привлечен для оказания услуг ИТ или ИБ, то необходимо регламентировать порядок взаимодействия специалистов подрядчика с командой мониторинга и реагированияПодразделения, ответственные за наем подрядных организаций, подрядные организацииТребования по ИБ, предъявляемые к подрядным организациям, регламент взаимодействия специалистов подрядной организации с командой мониторинга и реагирования
Эксплуатационная документация на средства мониторинга и реагирования, используемые в ЦПКВ рамках построения ЦПК должна быть утверждена эксплуатационная документация на используемые в ЦПК средства мониторинга и реагированияЦПКЭксплуатационная документация: инструкция пользователя, инструкция администратора, схема сети, схема интеграций и данных системы и пр.

Утверждение элементов, приведенных в таблице, является необходимым условием для запуска процесса своевременного и эффективного реагирования, что является важным элементом результативной кибербезопасности, так как помогает предотвратить наступление недопустимых событий.