Для запуска процесса реагирования следует подготовить и утвердить организационные документы, необходимые для его функционирования. Каждая организация сама выбирает, в какой форме они будут утверждаться (инструкция, положение или регламент), однако они должны решать следующие задачи:
- формализация работы команды мониторинга и реагирования;
- определение требований по реагированию на инциденты ИБ, в том числе при работе с подрядными организациями;
- нормализация определения приоритетов инцидентов ИБ;
- разработка SLA по реагированию на инциденты ИБ с разными приоритетами;
- определение полномочий по реагированию для работников команды мониторинга и реагирования без согласования с руководством.
Ниже приведен примерный перечень элементов процесса реагирования на инциденты ИБ, которые должны содержаться в разрабатываемых документах, с описанием их содержательной части и соответствующими примерами документов.
| Элемент | Описание содержательной части | Целевая аудитория | Возможные формы |
|---|
| Основные принципы процесса реагирования на инциденты ИБ | В организации должен быть утвержден документ, определяющий:
- уровень вовлеченности руководства организации в процесс реагирования;
- основные принципы, которым следует организация при реагировании на инциденты ИБ;
- описание процесса реагирования на инциденты ИБ;
- распределение ролей, уровней принятия решений, а также указаний по передаче и эскалации инцидента ИБ;
взаимосвязь функции реагирования на инциденты ИБ с другими функциями в организации;
- требования по внешним связям и совместному пользованию информацией;
- порядок взаимодействия команды мониторинга и реагирования с остальной частью организации и с другими организациями;
- критерии оценки качества реагирования;
- формы отчетности и документирования | Вся организация | Политика реагирования на инциденты ИБ |
| Обязанности, ответственность и полномочия специалистов по реагированию | В организации должны быть утверждены документы, определяющие обязанности, ответственность и полномочия всех работников организации, принимающих участие в реагировании на инциденты ИБ | Вся организация | Ролевая модель, должностные инструкции |
| Процедуры реагирования на типовые инциденты ИБ | В рамках ЦПК должны быть разработаны процедуры реагирования на типовые инциденты ИБ (плейбуки). Информация, содержащаяся в плейбуках, должна являться достаточной для реагирования на инциденты. Плейбуки должны содержать описания действий, выполняемых в ходе реагирования ответственными за эти действия. В рамках разработки плейбуков должны учитываться имеющиеся системы и средства защиты информации | ЦПК | Плейбук |
| Требования к подрядным организациям по реагированию на инциденты | В отношении подрядчиков должны быть закреплены требования по ИБ, в том числе о сообщении об инцидентах ИБ в случае их обнаружения. В случае если подрядчик привлечен для оказания услуг ИТ или ИБ, то необходимо регламентировать порядок взаимодействия специалистов подрядчика с командой мониторинга и реагирования | Подразделения, ответственные за наем подрядных организаций, подрядные организации | Требования по ИБ, предъявляемые к подрядным организациям, регламент взаимодействия специалистов подрядной организации с командой мониторинга и реагирования |
| Эксплуатационная документация на средства мониторинга и реагирования, используемые в ЦПК | В рамках построения ЦПК должна быть утверждена эксплуатационная документация на используемые в ЦПК средства мониторинга и реагирования | ЦПК | Эксплуатационная документация: инструкция пользователя, инструкция администратора, схема сети, схема интеграций и данных системы и пр. |
Утверждение элементов, приведенных в таблице, является необходимым условием для запуска процесса своевременного и эффективного реагирования, что является важным элементом результативной кибербезопасности, так как помогает предотвратить наступление недопустимых событий.
Алексей Халин