РИ 6-14
Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации приведен в таблице 38 применительно к уровням защиты информации
РИ.6 (О-О-О)
Установление и применение единых правил реагирования на инциденты защиты информации.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Данная мера должна быть регламентирована в документах по управлению инцидентами ИБ.
В документе устанавливается порядок реагирования на инциденты (статусы, допустимые сроки реагирования, минимально необходимые действия, ответственные, способы фиксации данных в ходе реагирования, способы контроля, необходимые ресурсы и источники их получения, необходимый результат). Следует обратить внимание, что порядок реагирования в полном объеме должен быть определен не только для внутренних инцидентов организации, но и в отношении инцидентов клиентов, инцидентов контрагентов (если контрагенты используют ИТ инфраструктуру организации).
Документы могут разделяться по различным направлениям (внутренние инциденты, инциденты клиентов, инциденты контрагентов и пр.).
При заключении договоров с клиентами, контрагентами организация должна доводить до клиента или контрагента требования по выполнению распоряжений работника организации в случае инцидента.
Проверочные процедуры (свидетельства)
Свидетельства выполнения установленного порядка реагирования на инциденты (письма, скрины из систем).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
РИ.7 (О-Н-Н)
Определение и назначение ролей, связанных с реагированием на инциденты защиты информации.
Уровень защиты информации 3-О, 2-Н, 1-Н.
Реализация - О
Для выполнения меры во внутренних документах, определяющих процессы управления инцидентами, необходимо определить состав ролей, функции участников процедуры реагирования на инциденты. В данной мере не указано, что состав ролей должен быть зафиксирован однократно. Состав ролей может указываться и распорядительным документом организации (приказом), так как в зависимости от масштаба инцидента, состав ролей может быть вариативным.
Назначение работников на роли, связанные с реагированием на инцидент, может выполняться распорядительным документом в части конкретных лиц или указываться во внутреннем документе в части штатных позиций.
Проверочные процедуры (свидетельства)
Внутренние документы, содержащие определение состава ролей, связанных с реагированием на инциденты защиты информации. Документ, определяющий назначение работников на роли.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
РИ.8 (Н-О-О)
Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инциденты защиты информации (ГРИЗИ).
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Мера может быть регламентирована как в документах по реагированию на инциденты ИБ, так и установлена приказом по организации. В документе или приказе указывается необходимость наличия группы реагирования, включенные в группу роли, состав назначенных на роли лиц. Состав ролей и перечень лиц должен быть таковым, чтобы обеспечить скорейшее выполнение процедур реагирования на инцидент, принятия нужных решений и обеспечения их выполнения, возможность предоставления группе реагирования необходимых для реагирования ресурсов.
Определение состава ролей и назначение ответственных должно быть таковым, чтобы ответственного работника можно было определить на каждом этапе реагирования на инцидент.
Проверочные процедуры (свидетельства)
Приказ о назначении работников на роли ГРИЗИ.
Выдержка из документа реагирования на инциденты ИБ, где указывается факт наличия группы реагирования, состав ролей и перечень назначенных лиц.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
В небольшой финансовой организации зачастую нет достаточного числа штатных работников, чтобы сформировать группу их нескольких ролей. Реагирования на инциденты может выполняться одним или двумя работниками (из состава ИБ и ИТ подразделений). Данная мера еще не предъявляет требований к минимальному набору ролей.
Однако мера не указывает, что назначенные на роли лица должны быть обязательно различные, что позволяет считать корректным назначение одного работника на несколько ролей при необходимости.
В крупных организациях, особенно где используются карточные платежные системы или системы клиентских переводов денежных средств без открытия счета, процедуры реагирования на инциденты клиентов переданы с подразделения претензионной работы, где не функционирует группа реагирования на инцидент, скорость обработки инцидента высокая, а перечень процедур детально регламентирован (включая шаблон фиксации сведений). В таких ситуациях группа реагирования на инцидент не эффективна и не привлекается к расследованию инцидента. Рекомендуется в такой ситуации прописать процедуру упрощенной обработки инцидента и уведомления группы реагирования в форме сводных периодических отчетов. Еще одной коллизией является то, что организация считает правильным формировать группу реагирования и состав лиц при обнаружении инцидента, чтобы определять в состав группы реагирования работников по обстоятельствам инцидента. В такой ситуации полный состав группы реагирования заранее указать нельзя. В документе должен быть прописан порядок выбора ролей и оперативного назначения лиц в момент обнаружения инцидента.
РИ.9 (Н-О-О)
Выделение в составе ГРИЗИ следующих основных ролей:
руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;
оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;
аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инцидент защиты информации;
секретарь ГРИЗИ, в основные функциональные обязанности которого входит документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов материалов.
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Мера может быть регламентирована как в документах по реагированию на инциденты ИБ, так и установлена приказом по организации. В документе или приказе указывается необходимость наличия в группе реагирования на инциденты указанного в формулировке минимального состава ролей, а также порядок назначения на него конкретных лиц. Определение состава ролей и назначение ответственных должно быть таковым, чтобы ответственного работника можно было определить на каждом этапе реагирования на инцидент.
Проверочные процедуры (свидетельства)
Приказ о назначении работников на роли ГРИЗИ.
Выдержка из документа реагирования на инциденты ИБ, где указывается факт наличия группы реагирования, состав ролей и перечень назначенных лиц.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
В небольшой финансовой организации зачастую нет достаточного числа штатных работников, чтобы сформировать группу из указанного состава нескольких ролей. Реагирования на инциденты может выполняться одним или двумя работниками (из состава ИБ и ИТ подразделений).
Однако мера не указывает, что назначенные на роли лица должны быть обязательно различные, что позволяет считать корректным назначение одного работника на несколько ролей при необходимости. В ряде организаций считается правильным формировать группу реагирования и состав лиц в момент обнаружения инцидента, чтобы определять в состав группы реагирования работников по обстоятельствам инцидента. В документе должен быть прописан порядок выбора оперативного назначения лиц в момент обнаружения инцидента с учетом требований к минимальному составу ролей по формулировке меры.
РИ.10 (Н-Т-Т)
Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Технической реализацией данной меры является процедура оповещения членов ГРИЗИ о выявленных инцидентах защиты информации, за счет функционала используемого ПО, например, уведомление в корпоративную электронную почту, звонок по телефону, уведомление в мобильный клиент ПО для управления инцидентами защиты информации и пр.
Оповещение членов ГРИЗИ должно осуществляться оперативно и в соответствии с установленными в Организации интервалами оповещения (для критичного инцидента защиты информации время оповещения 60 минут, для важного инцидента 30 минут и т.д.).
В соответствии с требованиями данной меры и на основании утвержденных в Организации временных интервалах оповещения об инцидентах защиты информации в соответствии с назначенным уровнем критичности, должно осуществляться автоматическое оповещение членов ГРИЗИ о выявленных инцидентах защиты информации.
Проверочные процедуры (свидетельства)
Проверить утвержденные временные интервалы оповещения об инцидентах защиты информации в соответствии с назначенным уровнем критичности.
Проверить используемое в процессе управления инцидентами защиты информации ПО на наличие функционала оповещения членов ГРИЗИ, зафиксировать техническую возможность и критерии такого оповещения (кому направлено уведомление, сотрудник Организации, направивший уведомление, время создания уведомления и пр.).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
РИ.11 (Н-О-О)
Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации.
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Мера может быть регламентирована как в документах по реагированию на инциденты ИБ, так и установлена приказом по организации.
В документах указывается перечень ресурсов и объектов, для которых необходимо предоставление прав доступа членам ГРИЗИ, состав административных полномочий (следует обратить внимание, что состав полномочий различных в зависимости от роли участника ГРИЗИ). Состав полномочий назначается из принципа минимально необходимых привилегий.
Проверочные процедуры (свидетельства)
Приказ о предоставлении полномочий членам ГРИЗИ.
Выдержка из документа реагирования на инциденты ИБ, где указывается необходимость предоставления полномочий.
Выдержки из подсистемы предоставления прав доступа системы ведения базы инцидентов, ресурсов хранения сведений об инцидентах, подтверждающие назначение необходимых полномочий членам ГРИЗИ.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
В случае, если состав группы ГРИЗИ не зафиксирован, либо процедуры обработки внутренних инцидентов клиентов разделены между различными подразделениями, предоставить полномочия доступа проблематично.
Для выполнения меры организации в ряде случаем определяют фиктивно членов ГРИЗИ (не вовлекая их фактически в деятельность по реагированию) и назначают права доступ а также фиктивно.
Также одной из проблем является проблема неучастия в инцидентах клиентов работника подразделения ИБ (инциденты обрабатываются только подразделением претензионной работы), в связи с чем не проводится должным образом аналитика причин инцидентов, разработка предложений по усовершенствованию мер защиты со стороны квалифицированных работников ИБ.
РИ.12 (О-О-О)
Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
анализ инцидента;
определение источников и причин возникновения инцидента;
оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;
принятие мер по устранению последствий инцидента;
планирование и принятие мер по предотвращению повторного возникновения инцидента.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Мера должна быть регламентирована в документах по реагированию на инциденты ИБ.
В документах указывается состав этапов реагирования (анализ, определение источников, оценка последствий, принятие мер, планирование мер по предотвращению), порядок их выполнения, перечень ожидаемых выходных данных по итогам выполнения каждой процедуры, ответственного за каждый этап работника, порядок фиксации данных, способы контроля каждого этапа реагирования.
Состав мер по устранению должен включать конкретные предложения по возможным типовым вариантам развития событий, включать описание и способы получения необходимых для реагирования ресурсов.
Проверочные процедуры (свидетельства)
Выдержка из документа реагирования на инциденты ИБ, где регламентированы все указанные этапы.
Демонстрация факта выполнения всех этапов на примере обработки инцидента (скриншоты из систем учета инцидентов, сканы отчетов об инцидентах).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
РИ.13 (О-О-О)
Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Мера должна быть регламентирована в документах по реагированию на инциденты ИБ.
В документах определяется порядок сбора сведений, их фиксации (с учетом формы представления), способ обеспечить сохранность и неизменность собранных сведений, способ распространения сведений как внутри организации между заинтересованными лицами (включая ГРИЗИ), там и способы уведомления других организаций, лиц, если это необходимо (в том числе требуется по закону или правилам участников обмена).
В ходе определения правил также должны быть определены лица, отвечающие за каждую процедуру и способы контроля выполнения процедур.
Способы распространения информации должны быть таковыми, чтобы они не требовали специальных дополнительных средств для ознакомления с информацией (должны использоваться общепринятые популярные стандарты представления данных).
При необходимости должны предусматриваться меры защиты от несанкционированного ознакомления.
Унификация сбор, фиксация и распространение информации об инцидентах должны быть документально определены для инцидентов всех типов, внутренних, клиентских, инцидентов контрагентов.
Проверочные процедуры (свидетельства)
Выдержка из документа реагирования на инциденты ИБ, где унифицированы процедуры сбора, фиксации и распространения информации об инцидентах защиты информации.
Демонстрация факта выполнения всех этапов установленным документами порядком на примере обработки инцидента (скриншоты из систем учета инцидентов, сканы отчетов об инцидентах, примеры зафиксированных данных, примеры фактов передачи сведений об инцидентах).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
РИ.14 (О-О-О)
Установление и применение единых правил закрытия инцидентов защиты информации.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Мера должна быть регламентирована в документах по реагированию на инциденты ИБ.
В документах определяется порядок закрытия инцидента и лицо, ответственное за закрытие инцидента. Закрытие инцидента должно выполняться только после выполнения всех этапов по сбору данных, определения последствий (фактический ущерб, потенциальный ущерб, состав реализованных рисков, виновные в инциденте), анализа недостатков в системе защиты информации, определения действий по совершенствованию, фиксации плана по возмещению ущерба, полному восстановлению функционирования инфраструктуры, составу корректирующих мер, передачи сведений всем заинтересованным сторонам. Лицо ответственное за закрытие инцидента, должно удостовериться о выполнении всех предварительных этапов.
Проверочные процедуры (свидетельства)
Выдержка из документа реагирования на инциденты ИБ, где указан порядок закрытия инцидента защиты информации.
Демонстрация факта выполнения закрытия инцидента установленным документами порядком на примере обработки инцидента (скриншоты из систем учета инцидентов, сканы отчетов об инцидентах).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated