Найти в Дзене
Системы безопасности
1540 подписчиков

Составляем план реагирования на инциденты информационной безопасности

35
2 мин

Если вы в своей компании когда-либо занимались разработкой процесса реагирования на инциденты информационной безопасности (далее – инциденты ИБ), то наверняка знакомы с таким важным аспектом, как план реагирования на инциденты ИБ.

Планы реагирования строятся для различного рода угроз, от технического сбоя сервиса до полноценного расследования, с целью вычислить потенциального злоумышленника. В зависимости от характера реализации угрозы планы также могут разрабатываться как от внешних, так и от внутренних угроз. Для наглядности я постараюсь привести пример плана реагирования на инцидент ИБ, без конкретизации события, но подходящий для большинства внутренних угроз, связанных с утечкой данных конфиденциального характера.

Первичные действия:

  1. Подтверждение совершения действий, повлекших за собой инцидент ИБ. В данном случае важно четко установить, действительно ли имеет место реализация конкретной угрозы либо же данные действия являются легитимными.
  2. Локализация инцидента. Превентивные действия, направленные на предотвращение дальнейшего распространения информации. Здесь же стоит определить критичность инцидента, исходя из количества переданной информации и ее состава.
  3. Определение причин возникновения инцидента/реализации угрозы ИБ и ответственных за это лиц.
  4. Проведение расследования: сбор доказательной базы, получение разъяснений и объяснительных от лица/лиц, которые спровоцировали инцидент. Фиксирование причин, способов реализации и последствий инцидента ИБ.

Последующие действия:

  1. Составление отчета по результатам расследования.
  2. Описание выявленной уязвимости информационной безопасности, из-за которой произошел инцидент, и постановка задач по ее устранение/минимизацию.
  3. Передача данных об инциденте ИБ ответственным за обработку рисков, а также регуляторам (если это необходимо по закону).

Каждая компания, как правило, имеет в составе своих нормативных документов положение или инструкцию, которые содержат планы реагирования на те типы угроз, которые являются для нее наиболее опасными с точки зрения оценки рисков. Планы, как правило, бывают похожи друг на друга, но могут различаться по приоритету определенных действий ввиду того, какой риск необходимо предотвратить в первую очередь. Важно понимать, что если риск возникновения какой-либо угрозы не является приемлемым, то обязательно стоит разработать план реагирования до того, как произойдет инцидент.

Денис Богданов

Независимый эксперт по информационной безопасности

Оригинал публикации >>

Фото ru.freepik.com