Гост р исо мэк то 18044 2007 кратко

Обновлено: 02.07.2024

ГОСТ Р ИСО/МЭК ТО 18044-2007

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология. Методы и средства обеспечения безопасности

МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Information security incident management

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004* "Информационные технологии. Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management", IDT).

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.

Введение

Типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - возможными. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме того, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка конкретной организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к информационной безопасности, важно применять структурный и плановый подход к:

- обнаружению, оповещению об инцидентах информационной безопасности и их оценке;

- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);

- извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.

Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.

Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.

1 Область применения

В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISО/IEC 13335-1:2004, IT Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий

ISО/IEC 17799:2000, Information technology - Code of practice for information security management (Информационная технология. Практические правила управления информационной безопасностью)

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.

3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.

Примечание - Данный процесс должен также обеспечивать восстановление бизнеса с учетом заданных очередностей и интервалов времени и дальнейшее восстановление всех функций бизнеса в рабочее состояние. Ключевые элементы этого процесса должны обеспечивать применение и тестирование необходимых планов и средств и включение в них информации, бизнес-процессов, информационных систем и сервисов, речевой связи и передачи данных, персонала и физических устройств.

3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Примечание - Примеры инцидентов ИБ приведены в разделе 6.

3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) [Information Security Incident Response Team (ISIRT)]: Группа обученных и доверенных членов организации.

Примечание - Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда может дополняться внешними экспертами, например из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).

4 Общие положения

4.1 Цели

В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

- события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ;

События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.

- идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;

- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.

4.2 Этапы

Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:

1) планирование и подготовка;

Примечание - Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 [4] и ИСО 14000 [5].

Основное содержание этих этапов показано на рисунке 1.

Рисунок 1 - Этапы менеджмента инцидентов ИБ

4.2.1 Планирование и подготовка

Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке. Для обеспечения эффективности реакции на инциденты ИБ необходимо:

- разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и в особенности высшего руководства;

- разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы серьезности инцидентов должны быть отражены в документации на конкретную систему (следует отметить, что в некоторых организациях такая система может называться "Планом

реагирования на инциденты ИБ");

Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: "значительные" и "незначительные". Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.

- обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;

- создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;

- тщательно тестировать систему менеджмента инцидентов ИБ.

Этап "Планирование и подготовка" - в соответствии с разделом 7.

4.2.2 Использование системы менеджмента инцидентов информационной безопасности

При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:

- обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);

- сбор информации, связанной с событиями ИБ, и оценку этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;

- реагирование на инциденты ИБ:

- немедленно, в реальном или почти реальном масштабе времени;

- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);

- если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);

- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций [что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений];

В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).

Стандарт ИСО МЭК 18044 был введен в действие достаточно давно (01.07.2008 г.), но при этом фундаментальный подход по отношению к управлению инцидент-менеджментом является актуальным и по сегодняшний день. К сожалению, в российской практике часто встречаются организации, где процессы управления инцидентами не имеют формализации и выстроенного структурного подхода. По сути, обработка инцидентов осуществляется по наитию, без четкого, последовательного, регламентированного и формализованного подхода, а это в свою очередь негативно отражается на уровне защищенности информационных активов организации.

Результатами отсутствия выстроенного инцидент менеджмента являются: регулярное повторение одних и тех же инцидентов ИБ, дефицит человеческих ресурсов за счет большого количества ложно-положительных событий ИБ, неэффективное реагирование, некорректное проведение анализа, плохая координация действий с другими подразделениями, неэффективное использование бюджета в части приобретения технических средств.

Рассматриваемый стандарт является одновременно гайдом и прекрасным базисом для построения правильного инцидент менеджмента, учитывая все основные аспекты. Кроме того, ГОСТ 18044 может служить источником полезной информации для оптимизации менеджмента инцидентов в вашей организации. При этом ориентироваться на него можно вне зависимости от сферы деятельности вашей организации.

Выстраивание менеджмента инцидентов ИБ по ГОСТ Р 18044 базируется на достаточно популярной модели PDCA (Plan-Do-Check-Act). В частности, основную часть документа занимает детализация следующих четырех этапов управления инцидентами ИБ: планирование и подготовка, использование, анализ, улучшение.

В стандарте ИСО 18044 подробно обосновываются преимущества структурного подхода управления инцидентами ИБ, а также описывается ряд ключевых вопросов, на которые следует обратить внимание при построении системы управления инцидентами ИБ в вашей организации:

- правовые и нормативные аспекты

- эффективность эксплуатации и качество

- независимость деятельности группы реагирования на инциденты ИБ

Помимо общей концепции, для более детального погружения в предметную область в стандарте приведены некоторые примеры инцидентов ИБ и причины их возникновения (отказ в обслуживании, сбор информации, несанкционированный доступ).

Далее рассмотрим более подробно содержание каждого из четырех этапов менеджмента инцидентов информационной безопасности стандарта ГОСТ 18044.

Данный этап является фундаментом, в ходе которого должны быть осуществлены:

- формализация политики обработки событий и инцидентов ИБ

- формирование структуры подразделения по управлению инцидентами ИБ, включая формирование штатного расписания и подбор необходимого персонала

- формирование программы обучения и проведение мероприятий, направленных на осведомленность об инцидент менеджменте в организации.

В частности, на данном этапе создаются общее представление о менеджменте инцидентов ИБ, политика управления инцидентами ИБ в организации, подробные регламенты к процессам и процедурам обработки инцидентов ИБ (программа), осуществляется интеграция менеджмента инцидентов ИБ в общую политику менеджмента рисков и политику ИБ организации. Важным шагом является формирование специальной группы реагирования на инциденты ИБ (ГРИИБ), которая будет осуществлять процедуры с целью снижения ущерба связанных с инцидентами ИБ. При этом, для эффективного выполнения своих задач, ГРИИБ должна быть обеспечена доступом к необходимой информации по активам и бизнес-процессам организации, а также техническими средствами, которые будут использоваться для автоматизации анализа данных и внутренних процессов обработки инцидентов.

По итогам выполнения вышеописанных шагов необходимо провести мероприятия, направленные на повышение осведомленности в вопросах ИБ для всего персонала организации. А для участников процесса менеджмента инцидентов ИБ разработать внутреннюю программу обучения (с учетом различных уровней подготовки).

Обнаружение и оповещение о событиях ИБ

Выявление событий ИБ может осуществляться как сотрудниками организации, так и различными техническими средствами в автоматическом режиме (МСЭ, СОВ, АВП, SIEM и прочими СЗИ). Далее в рамках этого процесса важным является оповещение с целью привлечения внимания группы обеспечения эксплуатации и менеджмента, в формате принятой отчетности в организации.

Оценка и принятие решений по событиям ИБ

Группа обеспечения эксплуатации, получив информацию по событию ИБ, проводит анализ события ИБ на основе предоставленной отчетной формы (при необходимости производит уточнения и сбор дополнительной информации) и проводит первичную оценку для классификации/категоризации данного события ИБ, то есть является ли данное событие инцидентом ИБ или же это ложно-положительное событие ИБ. При этом вне зависимости от того, является ли событие ложным или инцидентом, группа эксплуатации заполняет свою форму отчетности и передает ее в группу реагирования (ГРИИБ) для записи в базу данных и последующего анализа.

Далее ГРИИБ проводит вторую оценку инцидента ИБ для целей подтверждения или же опровержения данного факта. Аналогично предыдущему процессу, ГРИИБ проводит уточнение деталей у группы обеспечения эксплуатации и сбор дополнительной информации регистрируя всё в базе данных событий/инцидентов ИБ. В случае если инцидент ИБ подтверждается, то ГРИИБ переходит к следующему ключевому процессу - реагированию.

Реагирование на инциденты ИБ

Получив подтверждение инцидента ИБ, ГРИИБ в первую очередь производит действия по немедленному реагированию (например, отключение атакованной системы, сетевая изоляция зараженного узла) с уведомлением сотрудников организации и руководства (при возникновении кризисной ситуации). Важно отметить, что некоторые действия могут потребовать дополнительного согласования, эти тонкости должны быть зафиксированы в регламентах ГРИИБ.

Следующим действием ГРИИБ является подтверждение того, что инцидент ИБ находится под контролем, и переход к дальнейшим необходимым действиям по реагированию. В противном же случае сотрудник ГРИИБ инициирует срочные антикризисные действия.

Для инцидента ИБ, находящегося под контролем, сотрудник ГРИИБ определяет наиболее эффективные и оптимальные шаги реагирования для дальнейшей нейтрализации угрозы и устранения последствий. В свою очередь, для неконтролируемого инцидента ИБ ГРИИБ начинают обработку данного инцидента в режиме антикризисных действий по заранее разработанным планам.

В ходе предыдущих действий по реагированию могут потребоваться правовая экспертиза, которую должен осуществлять сотрудник ГРИИБ, или информирование конкретных лиц - как внутри организации, включая высшее руководство, так и за ее пределами, включая СМИ.

Важным условием при обработке событий/инцидентов ИБ является регистрация всех действий участников процесса в защищаемых журналах (с применением СЗИ и резервирования) с целью возможности проведения дальнейшего ретроспективного анализа и формирования доказательной базы.

После закрытия инцидента ИБ проводится ряд аналитических процедур для выявления причин возникновения инцидента ИБ, уязвимостей, тенденций, проблемных областей с целью принятия мер для снижения вероятности возникновения повторных инцидентов. Также ГРИИБ проводит правовую экспертизу с целью сбора и определения свидетельств. По итогам данного этапа определяется перечень необходимых улучшений безопасности и системы менеджмента инцидентов ИБ.

На данном этапе осуществляется внедрение рекомендаций, полученных по итогам анализа. С целью усиления безопасности могут быть внедрены дополнительные технические или организационные защитные меры, проведены изменения в конфигурациях систем. Также могут производится корректировки процессов, процедур, форм отчетности с целью непрерывной оптимизации менеджмента инцидентов ИБ.

Важно, что, согласно подходу стандарта ГОСТ Р 18044, сводная информация, полученная в ходе операционной деятельности по управлению инцидентами ИБ, должна передаваться на более верхний уровень менеджмента, который занимается стратегическими вопросами управления информационной безопасностью в организации.

В конце стандарта приводится справочная информация по формам отчетов о событиях/инцидентах ИБ, а также рекомендации, которые могут быть использованы как базис для дальнейшей адаптации под нужды конкретной организации.

Резюмируя данную статью, хочется повторно обозначить важность формализованного и структурного подхода по обработке инцидентов ИБ. Ведь защита организации от угроз ИБ на фоне цифровизации всех наших аспектов жизнедеятельности становится критически важным вопросом. Скорость реакции и корректность действий подразделений, проводящих процедуры обнаружения, принятия решений, реагирования, проведения пост анализа и мероприятий по улучшению, оказывает самое существенное влияние на величину ущерба от инцидентов информационной безопасности.

Читайте также:

  
• Великомученица варвара житие кратко
  
• Социалистический интернационал прогрессивный альянс кратко
  
• Проблемы юго восточной азии кратко
  
• Прием и оформление заказа кратко
  
• Свобода и абсурд альбер камю кратко