Какие документы необходимы для запуска процесса реагирования на инциденты ИБ

Для запуска процесса реагирования следует подготовить и утвердить организационные документы, необходимые для его функционирования. Каждая организация сама выбирает, в какой форме они будут утверждаться (инструкция, положение или регламент), однако они должны решать следующие задачи:

формализация работы команды мониторинга и реагирования;
определение требований по реагированию на инциденты ИБ, в том числе при работе с подрядными организациями;
нормализация определения приоритетов инцидентов ИБ;
разработка SLA по реагированию на инциденты ИБ с разными приоритетами;
определение полномочий по реагированию для работников команды мониторинга и реагирования без согласования с руководством.

Ниже приведен примерный перечень элементов процесса реагирования на инциденты ИБ, которые должны содержаться в разрабатываемых документах, с описанием их содержательной части и соответствующими примерами документов.

Элемент	Описание содержательной части	Целевая аудитория	Возможные формы
Основные принципы процесса реагирования на инциденты ИБ	В организации должен быть утвержден документ, определяющий: - уровень вовлеченности руководства организации в процесс реагирования; - основные принципы, которым следует организация при реагировании на инциденты ИБ; - описание процесса реагирования на инциденты ИБ; - распределение ролей, уровней принятия решений, а также указаний по передаче и эскалации инцидента ИБ; взаимосвязь функции реагирования на инциденты ИБ с другими функциями в организации; - требования по внешним связям и совместному пользованию информацией; - порядок взаимодействия команды мониторинга и реагирования с остальной частью организации и с другими организациями; - критерии оценки качества реагирования; - формы отчетности и документирования	Вся организация	Политика реагирования на инциденты ИБ
Обязанности, ответственность и полномочия специалистов по реагированию	В организации должны быть утверждены документы, определяющие обязанности, ответственность и полномочия всех работников организации, принимающих участие в реагировании на инциденты ИБ	Вся организация	Ролевая модель, должностные инструкции
Процедуры реагирования на типовые инциденты ИБ	В рамках ЦПК должны быть разработаны процедуры реагирования на типовые инциденты ИБ (плейбуки). Информация, содержащаяся в плейбуках, должна являться достаточной для реагирования на инциденты. Плейбуки должны содержать описания действий, выполняемых в ходе реагирования ответственными за эти действия. В рамках разработки плейбуков должны учитываться имеющиеся системы и средства защиты информации	ЦПК	Плейбук
Требования к подрядным организациям по реагированию на инциденты	В отношении подрядчиков должны быть закреплены требования по ИБ, в том числе о сообщении об инцидентах ИБ в случае их обнаружения. В случае если подрядчик привлечен для оказания услуг ИТ или ИБ, то необходимо регламентировать порядок взаимодействия специалистов подрядчика с командой мониторинга и реагирования	Подразделения, ответственные за наем подрядных организаций, подрядные организации	Требования по ИБ, предъявляемые к подрядным организациям, регламент взаимодействия специалистов подрядной организации с командой мониторинга и реагирования
Эксплуатационная документация на средства мониторинга и реагирования, используемые в ЦПК	В рамках построения ЦПК должна быть утверждена эксплуатационная документация на используемые в ЦПК средства мониторинга и реагирования	ЦПК	Эксплуатационная документация: инструкция пользователя, инструкция администратора, схема сети, схема интеграций и данных системы и пр.

Утверждение элементов, приведенных в таблице, является необходимым условием для запуска процесса своевременного и эффективного реагирования, что является важным элементом результативной кибербезопасности, так как помогает предотвратить наступление недопустимых событий.

Элемент

Описание содержательной части

Целевая аудитория

Возможные формы

Основные принципы процесса реагирования на инциденты ИБ

В организации должен быть утвержден документ, определяющий:
- уровень вовлеченности руководства организации в процесс реагирования;
- основные принципы, которым следует организация при реагировании на инциденты ИБ;
- описание процесса реагирования на инциденты ИБ;
- распределение ролей, уровней принятия решений, а также указаний по передаче и эскалации инцидента ИБ;
взаимосвязь функции реагирования на инциденты ИБ с другими функциями в организации;
- требования по внешним связям и совместному пользованию информацией;
- порядок взаимодействия команды мониторинга и реагирования с остальной частью организации и с другими организациями;
- критерии оценки качества реагирования;
- формы отчетности и документирования

Вся организация

Политика реагирования на инциденты ИБ

Обязанности, ответственность и полномочия специалистов по реагированию

В организации должны быть утверждены документы, определяющие обязанности, ответственность и полномочия всех работников организации, принимающих участие в реагировании на инциденты ИБ

Вся организация

Ролевая модель, должностные инструкции

Процедуры реагирования на типовые инциденты ИБ

В рамках ЦПК должны быть разработаны процедуры реагирования на типовые инциденты ИБ (плейбуки). Информация, содержащаяся в плейбуках, должна являться достаточной для реагирования на инциденты. Плейбуки должны содержать описания действий, выполняемых в ходе реагирования ответственными за эти действия. В рамках разработки плейбуков должны учитываться имеющиеся системы и средства защиты информации

ЦПК

Плейбук

Требования к подрядным организациям по реагированию на инциденты

В отношении подрядчиков должны быть закреплены требования по ИБ, в том числе о сообщении об инцидентах ИБ в случае их обнаружения. В случае если подрядчик привлечен для оказания услуг ИТ или ИБ, то необходимо регламентировать порядок взаимодействия специалистов подрядчика с командой мониторинга и реагирования

Подразделения, ответственные за наем подрядных организаций, подрядные организации

Требования по ИБ, предъявляемые к подрядным организациям, регламент взаимодействия специалистов подрядной организации с командой мониторинга и реагирования

Эксплуатационная документация на средства мониторинга и реагирования, используемые в ЦПК

В рамках построения ЦПК должна быть утверждена эксплуатационная документация на используемые в ЦПК средства мониторинга и реагирования

ЦПК

Эксплуатационная документация: инструкция пользователя, инструкция администратора, схема сети, схема интеграций и данных системы и пр.

Следующие статьи