АХАлексей Халин
Для того чтобы реагирование на инциденты ИБ было эффективным, необходимо заранее определить и организовать все связи, которые могут понадобиться в процессе реагирования. Такие связи не только помогут оптимизировать процесс реагирования, но и позволят понять, должностные инструкции каких сотрудников должны включать в себя обязанности по оказанию содействия команде реагирования.
Каждая команда реагирования полагается на экспертные знания и способности других подразделений. Кроме того, команда реагирования не может обладать всеми полномочиями, которые могут потребоваться для реагирования на тот или иной инцидент. Поэтому крайне важно заранее определить другие подразделения в организации, чьи компетенции или полномочия могут потребоваться при реагировании или расследовании инцидентов ИБ.
Первое, с кем необходимо наладить тесный контакт, — это руководство организации. Руководство устанавливает политику реагирования на инциденты, формирует бюджет, укомплектовывает ЦПК персоналом. Кроме того, в случае киберинцидента именно руководство принимает окончательное решение о необходимости уведомления заинтересованных сторон, в том числе средств массовой информации и госорганов.
Помимо руководства, для реагирования на инциденты может потребоваться участие следующих подразделений:
Подразделение информационной безопасности. Помощь службы ИБ может понадобиться на любой из стадий обработки инцидентов — например, чтобы изменить меры обеспечения сетевой безопасности (настройку правил межсетевого экрана).
Подразделение информационных технологий. У ИТ-экспертов (например, системных и сетевых администраторов) есть не только необходимая подготовка, чтобы помочь с реагированием на инциденты, но и лучшее понимание технологий, которыми они управляют ежедневно. Это понимание может гарантировать, что для затронутой в ходе киберинцидента системы приняты соответствующие меры (например, что атакованная система отключена от ЛВС).
Также необходимо гарантировать, что синхронизированы политики и процедуры реагирования на инциденты и процессы бесперебойной деятельности. Инциденты компьютерной безопасности подрывают устойчивость деятельности организации. ИТ-специалисты должны быть проинформированы об инцидентах и их последствиях. Таким образом, они смогут оценить степень риска и уточнить планы по бесперебойной работе.
Кроме того, у специалистов ИТ-подразделений есть большой опыт снижения влияния угроз ИБ на ИТ-инфраструктуру во время сложных инцидентов. Например, они могут помочь в реагировании на атаки типа «отказ в обслуживании» (DoS).
Юридический департамент. Юристы должны рассмотреть все разработанные в рамках процесса реагирования на инциденты ИБ документы, чтобы гарантировать их соответствие законам и подзаконным актам, включая обязательства по неразглашению. Кроме того, юридическим департаментом должно быть предоставлено руководство по сбору свидетельств, если есть причина полагать, что у инцидента могут быть юридические последствия, такие как судебное преследование подозреваемого или судебный иск.
PR-отдел. В зависимости от произошедшего инцидента может появиться потребность в информировании общественности напрямую или через средства массовой информации. Для этого у команды реагирования должны быть налажены связи с PR-отделом. Более подробно о том, как общаться с внешним миром, если вас взломали, описано в этой статьев этой статьев этой статье.
Кадровая служба. Если в случившемся инциденте виноват сотрудник организации, команда реагирования должна передать в кадровую службу всю необходимую информацию для проведения служебной проверки и назначения дисциплинарной ответственности.
Служба безопасности. Во время обработки инцидента команде реагирования может понадобиться физический доступ к компонентам ИТ-инфраструктуры (рабочим станциям, серверам, телекоммуникационному оборудованию, периферийным устройствам) или помещениям с ограниченным доступом (серверным, рабочим кабинетам). Например, чтобы забрать скомпрометированную рабочую станцию из запертого кабинета главного бухгалтера. Для этого команда реагирования должна иметь возможность оперативно получить разрешение на все необходимые для реагирования на инцидент действия у службы безопасности. Кроме того, некоторые инциденты происходят посредством нарушения физической безопасности, и для расследования таких инцидентов в обязательном порядке необходимо привлекать сотрудников службы безопасности.