Присоединяйтесь!
Зарегистрированных пользователей портала: 505 890. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)

Дата документа27.12.2007
Статус документаДействует
МеткиГост · Стандарт · Приказ

    

Утвержден
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 27 декабря 2007 г. N 513-ст

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

    

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

ГОСТ Р ИСО/МЭК ТО 18044-2007

 

ISO/IEC TR 18044:2004

 

Information technology - Security techniques - Information security incident management (IDT)

 

Дата введения 01.07.2008

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г.N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл ") на основе собственного аутентичного перевода стандарта, указанного в пункте 5
    2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 513-ст
    4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004 "Информационные технологии. Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении С
    5 ВВЕДЕН ВПЕРВЫЕ
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

Введение

 
    Типовые политики информационной безопасности или защитные меры информационной безопасности (ИБ) не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - возможными. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность организации. Кроме того, будут неизбежно выявляться новые, ранее не идентифицированные угрозы. Недостаточная подготовка конкретной организации к обработке таких инцидентов делает практическую реакцию на инциденты малоэффективной, и это потенциально увеличивает степень негативного воздействия на бизнес. Таким образом, для любой организации, серьезно относящейся к информационной безопасности, важно применять структурный и плановый подход к:
    - обнаружению, оповещению об инцидентах информационной безопасности и их оценке;
    - реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);
    - извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.
    Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.
    Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.
 

1 Область применения

 
    В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.
 

2 Нормативные ссылки

 
    В настоящем стандарте использованы ссылки на следующие международные стандарты:
    ИСО/МЭК 13335-1:2004 Информационная технология - Методы обеспечения безопасности - Управление безопасностью информационных и телекоммуникационных технологий - Часть 1 - Концепция и модели управления безопасностью информационных и телекоммуникационных технологий ИСО/МЭК 17799:2000 Информационная технология - Практические правила управления информационной безопасностью
 

3 Термины и определения

 
    В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.
    3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.
    Примечание - Данный процесс должен также обеспечивать восстановление бизнеса с учетом заданных очередностей и интервалов времени и дальнейшее восстановление всех функций бизнеса в рабочее состояние. Ключевые элементы этого процесса должны обеспечивать применение и тестирование необходимых планов и средств и включение в них информации, бизнес-процессов, информационных систем и сервисов, речевой связи и передачи данных, персонала и физических устройств.
    3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
    3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
    Примечание - Примеры инцидентов ИБ приведены в разделе 6.
    3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) (Information Security Incident Response Team (ISIRT)): Группа обученных и доверенных членов организации.
    Примечание - Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда может дополняться внешними экспертами, например, из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).
 

4 Общие положения

 
    4.1 Цели
    В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход
    к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:
    - события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ <*>;
    


    <*> События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.
 
    - идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;
    - воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;
    - из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.
    4.2 Этапы
    Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:
    1) планирование и подготовка;
    2) использование;
    3) анализ;
    4) улучшение.
    Примечание - Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 [4] и ИСО 14000 [5].
    Основное содержание этих этапов показано на рисунке 1.
 

 

Рисунок 1 - Этапы менеджмента инцидентов ИБ

 
    4.2.1 Планирование и подготовка
    Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке.
    Для обеспечения эффективности реакции на инциденты ИБ необходимо:
    - разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и, в особенности, высшего руководства;
    - разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы <*> серьезности инцидентов должны быть отражены в документации на конкретную систему. (Следует отметить, что в некоторых организациях такая система может называться "Планом реагирования на инциденты ИБ");
    


    <*> Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: "значительные" и "незначительные". Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.
 
    - обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;
    - создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например, при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;
    - ознакомить весь персонал организации посредством инструктажей и (или) иными способами с существованием системы менеджмента инцидентов ИБ, ее преимуществами и с надлежащими способами сообщения о событиях ИБ. Необходимо проводить соответствующее обучение персонала, ответственного за управление системой менеджмента инцидентов ИБ, лиц, принимающих решения по определению того, являются ли события инцидентами, и лиц, исследующих инциденты;
    - тщательно тестировать систему менеджмента инцидентов ИБ.
    Этап "Планирование и подготовка" - в соответствии с разделом 7.
    4.2.2 Использование системы менеджмента инцидентов информационной безопасности
    При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:
    - обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);
    - сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
    - реагирование на инциденты ИБ:
    - немедленно, в реальном или почти реальном масштабе времени;
    - если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);
    - если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);
    - сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений);
    - правовую экспертизу;
    - надлежащую регистрацию всех действий и решений для последующего анализа;
    - разрешение проблемы инцидентов.
    Этап "Использование" - в соответствии с разделом 8.
    4.2.3 Анализ
    После разрешения/закрытия инцидентов ИБ необходимо предпринять следующие действия по анализу состояния ИБ:
    - провести дополнительную правовую экспертизу (при необходимости);
    - изучить уроки, извлеченные из инцидентов ИБ;
    - определить улучшения для внедрения защитных мер ИБ, полученные из уроков, извлеченных из одного или нескольких инцидентов ИБ;
    - определить улучшения для системы менеджмента инцидентов ИБ в целом, учитывая уроки, извлеченные из результатов анализа качества предпринимаемого подхода (например, из анализа результативности процессов, процедур, форм отчета и (или) организации).
    Этап "Анализ" - в соответствии с разделом 9.
    4.2.4 Улучшение
    Необходимо подчеркнуть, что процессы менеджмента инцидентов ИБ являются итеративными, с постоянным внесением улучшений с течением времени в ряд элементов ИБ. Эти улучшения предлагаются на основе данных об инцидентах ИБ и реагировании на них, а также данных о динамике тенденций.
    Этап "Улучшение" включает в себя:
    - пересмотр имеющихся результатов анализа рисков ИБ и анализ менеджмента организации;
    - улучшение системы менеджмента инцидентов ИБ и ее документации;
    - инициирование улучшений в области безопасности, включая внедрение новых и (или) обновленных защитных мер ИБ.
    Этап "Улучшение" - в соответствии с разделом 10.
 

5 Преимущества структурного подхода и ключевые вопросы менеджмента инцидентов информационной безопасности

 
    В данном разделе представлена информация:
    - о преимуществах, получаемых от качественной системы менеджмента инцидентов ИБ;
    - о ключевых вопросах, которые необходимо рассмотреть с целью убеждения в этих преимуществах высшего корпоративного руководства и персонала, предоставляющего отчеты в систему и получающего от нее информацию.
    5.1 Преимущества
    Любая организация, использующая структурный подход к менеджменту инцидентов ИБ, может извлечь из него значительные преимущества, которые можно объединить в следующие группы:
    - улучшение ИБ;
    - снижение негативных воздействий на бизнес, например, прерывание бизнеса и финансовые убытки как последствия инцидентов ИБ;
    - усиление внимания к вопросам предотвращения инцидентов;
    - усиление внимания к установлению приоритетов и сбору доказательств;
    - вклад в обоснование бюджета и ресурсов;
    - обновление результатов менеджмента и анализа рисков на более высоком уровне;
    - предоставление материала для программ повышения осведомленности и обучения в области ИБ;
    - предоставление входных данных для анализа политики ИБ и соответствующей документации.
    Каждое из этих преимуществ рассматривается ниже.
    5.1.1 Улучшение безопасности
    Структурный процесс обнаружения, оповещения, оценки и менеджмента инцидентов и событий ИБ позволяет быстро идентифицировать любое событие или инцидент ИБ и реагировать на них, тем самым улучшая общую безопасность за счет быстрого определения и реализации правильного решения, а также обеспечивая средства предотвращения подобных инцидентов ИБ в будущем.
    5.1.2 Снижение негативных воздействий на бизнес
    Структурный подход к менеджменту инцидентов ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.
    5.1.3 Усиление внимания к предотвращению инцидентов
    Использование структурного подхода к менеджменту инцидентов ИБ может способствовать усилению внимания к предотвращению инцидентов внутри организации. Анализ данных, связанных с инцидентами, позволяет определить модели и тенденции появления инцидентов, тем самым способствуя усилению внимания к предотвращению инцидентов и, следовательно, определению соответствующих действий по предотвращению возникновения инцидентов.
    5.1.4 Усиление внимания к системе установления приоритетов и свидетельств
    Структурный подход к менеджменту инцидентов ИБ создает прочную основу для системы установления приоритетов при проведении расследований инцидентов ИБ.
    При отсутствии четких процедур существует риск того, что расследования проводятся в непостоянном режиме, когда реагирование на инциденты осуществляется по мере их появления или как реакция на самое "громогласное" распоряжение соответствующего руководителя. Это может помешать проведению расследования в последовательности, соответствующей идеальному установлению приоритетов там, где оно действительно необходимо.
    Четкие процедуры расследования инцидентов могут обеспечить правильность и правовую допустимость сбора данных и их обработки. Это имеет большое значение в случае инициирования судебного преследования или дисциплинарного разбирательства. Однако следует признать вероятность того, что действия, необходимые для восстановления после инцидента ИБ, могут подвергнуть риску целостность собранных свидетельств.
    5.1.5 Бюджет и ресурсы
    Хорошо продуманный структурный подход к менеджменту инцидентов ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система менеджмента инцидентов ИБ. Такие выгоды связаны со следующими условиями:
    - использованием менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;
    - обеспечением лучшего руководства действиями квалифицированного персонала;
    - привлечением квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.
    Кроме того, структурный подход к менеджменту инцидентов ИБ может включать в себя процедуру приостановки "отметки времени" с целью возможности выполнения "количественных" оценок обработки инцидентов ИБ в организации. Это делает возможным, например, предоставление информации о времени разрешения инцидентов с различными приоритетами на различных платформах. При наличии слабых мест в процессе менеджмента инцидентов ИБ эти слабые места также должны быть идентифицируемыми.
    5.1.6 Менеджмент и анализ рисков ИБ
    Использование структурного подхода к менеджменту инцидентов ИБ способствует:
    - сбору более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей;
    - предоставлению данных о частоте возникновения идентифицированных типов угроз.
    Полученные данные о негативных последствиях инцидентов ИБ для бизнеса будут полезны для анализа этих последствий. Данные о частоте возникновения различных типов угроз намного повысят качество оценки угроз. Аналогично, данные об уязвимостях намного повысят качество будущих оценок уязвимостей.
    Вышеупомянутые данные значительно улучшат результаты анализа менеджмента и анализа рисков ИБ.
    5.1.7 Осведомленность в вопросах ИБ
    Структурный подход к менеджменту инцидентов ИБ предоставляет узконаправленную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта информация является источником реальных примеров, на которых можно показать, что инциденты ИБ действительно происходят именно в данной организации, а не где-либо еще. Таким образом можно продемонстрировать выгоды быстрого получения информации о решениях.