Методология

Какие связи необходимы команде мониторинга и реагирования для эффективной работы

akhalin.jpgАлексей Халин

Для того чтобы реагирование на инциденты ИБ было эффективным, необходимо заранее определить и организовать все связи, которые могут понадобиться в процессе реагирования. Такие связи не только помогут оптимизировать процесс реагирования, но и позволят понять, должностные инструкции каких сотрудников должны включать в себя обязанности по оказанию содействия команде мониторинга и реагирования.

Команда мониторинга и реагирования полагается на экспертные знания и способности других подразделений. Кроме того, команда мониторинга и реагирования не может обладать всеми полномочиями, которые могут потребоваться для реагирования на тот или иной инцидент. Поэтому крайне важно заранее определить другие подразделения в организации, чьи компетенции или полномочия могут потребоваться при реагировании или расследовании инцидентов ИБ.

Первое, с кем необходимо наладить тесный контакт, — это руководство организации. Руководство устанавливает политику реагирования на инциденты, формирует бюджет, укомплектовывает ЦПК персоналом. Кроме того, в случае киберинцидента именно руководство принимает окончательное решение о необходимости уведомления заинтересованных сторон, в том числе средств массовой информации и госорганов.

Помимо руководства, для реагирования на инциденты может потребоваться участие следующих подразделений:

Подразделение информационной безопасности. Помощь службы ИБ может понадобиться на любой из стадий обработки инцидентов — например, чтобы изменить меры обеспечения сетевой безопасности (настройку правил межсетевого экрана).

Подразделение информационных технологий. У IT-экспертов (например, системных и сетевых администраторов) есть не только необходимая подготовка, чтобы помочь с реагированием на инциденты, но и лучшее понимание технологий, которыми они управляют ежедневно. Это понимание может гарантировать, что для затронутой в ходе киберинцидента системы приняты соответствующие меры (например, что атакованная система отключена от ЛВС).

Также необходимо гарантировать, что синхронизированы политики и процедуры реагирования на инциденты и процессы бесперебойной деятельности. Инциденты компьютерной безопасности подрывают устойчивость деятельности организации. IT-специалисты должны быть проинформированы об инцидентах и их последствиях. Таким образом, они смогут оценить степень риска и уточнить планы по бесперебойной работе.

Кроме того, у специалистов IT-подразделений есть большой опыт снижения влияния угроз ИБ на IT-инфраструктуру во время сложных инцидентов. Например, они могут помочь в реагировании на атаки типа «отказ в обслуживании» (DoS).

Юридический департамент. Юристы должны рассмотреть все разработанные в рамках процесса реагирования на инциденты ИБ документы, чтобы гарантировать их соответствие законам и подзаконным актам, включая обязательства по неразглашению. Кроме того, юридическим департаментом должно быть предоставлено руководство по сбору свидетельств, если есть причина полагать, что у инцидента могут быть юридические последствия, такие как судебное преследование подозреваемого или судебный иск.

PR-отдел. В зависимости от произошедшего инцидента может появиться потребность в информировании общественности напрямую или через средства массовой информации. Для этого у команды мониторинга и реагирования должны быть налажены связи с PR-отделом. Более подробно о том, как общаться с внешним миром, если вас взломали, описано .

Кадровая служба. Если в случившемся инциденте виноват сотрудник организации, команда мониторинга и реагирования должна передать в кадровую службу всю необходимую информацию для проведения служебной проверки и назначения дисциплинарной ответственности.

Служба безопасности. Во время обработки инцидента команде мониторинга и реагирования может понадобиться физический доступ к компонентам IT-инфраструктуры (рабочим станциям, серверам, телекоммуникационному оборудованию, периферийным устройствам) или помещениям с ограниченным доступом (серверным, рабочим кабинетам). Например, чтобы забрать скомпрометированную рабочую станцию из запертого кабинета главного бухгалтера. Для этого команда мониторинга и реагирования должна иметь возможность оперативно получить разрешение на все необходимые для реагирования на инцидент действия у службы безопасности. Кроме того, некоторые инциденты происходят посредством нарушения физической безопасности, и для расследования таких инцидентов в обязательном порядке необходимо привлекать сотрудников службы безопасности.