Процессы разные нужны, процессы разные важны

Ответить на эти вопросы в короткие сроки может только выстроенный зрелый процесс управления инцидентами ИБ. Без него использование даже самых современных систем мониторинга событий информационной безопасности может свести весь эффект, ожидаемый от их внедрения, на нет.

Политики информационной безопасности или внедренные меры по ИБ сами по себе не гарантируют защиты информации, информационных систем, сервисов и сетей. После внедрения мер обеспечения ИБ всегда имеют место остаточные риски. Вследствие чего вероятно возникновение событий и инцидентов информационной безопасности, которые потенциально могут иметь как прямое, так и косвенное негативное влияние на бизнес организации. Также всегда существует вероятность реализации новых, не известных до настоящего времени угроз ИБ.

Неготовность организаций к реагированию на подобного рода ситуации может существенно затруднить восстановление нормального функционирования бизнес-процессов и усилить нанесенный ущерб. Таким образом, любой компании, серьезно относящейся к вопросам обеспечения информационной безопасности, необходимо реализовать комплексный подход для решения следующих задач:

 

• обнаружения, информирования об инцидентах информационной безопасности и их учета;
• реагирования на инциденты информационной безопасности, включая применение необходимых средств для предотвращения, уменьшения и восстановления после нанесенного ущерба;
• оповещения об уязвимостях, которые могут вызвать события ИБ и, возможно, инциденты ИБ, их оценки и должной обработки;
• обучения на инцидентах ИБ, планирования превентивных мер защиты и улучшения процесса обеспечения информационной безопасности в целом.

 

Именно так начинается стандарт по управлению инцидентами ИБ ISO/IEC 27035:2011. По сути, эта краткая преамбула стандарта говорит нам о необходимости выстраивания полноценного процесса управления инцидентами.

При построении процесса управления инцидентами ИБ наиболее важно продумать следующие аспекты:

• понятие инцидента ИБ именно для вашей организации. Это, пожалуй, краеугольный камень в строительстве процесса управления инцидентами ИБ. Так, например, для одних организаций внешнее подключение к критичным серверам для изменения файлов – инцидент высочайшей критичности, а для других, у которых оборудование находится на аутсорсинге, такие подключения – норма жизни;
• способы получения сведений о событиях ИБ. Здесь важно определить средства, которые позволят собирать информацию о событиях, а также непосредственно источники данных о них;
• классификация инцидентов как по типам, так и по степени критичности. Именно классификация по критичности позволит правильно расставить приоритеты при разрешении инцидентов ИБ. А классификация по типам поможет правильно определить состав участников для группы реагирования и разрешения инцидента ИБ;
• путь передачи инцидента ИБ на разрешение. Для различных типов инцидентов необходимо определить ответственных или группы ответственных за их разрешение. Немаловажно определить способы и порядок их оповещения об инциденте;
• порядок проведения анализа причин возникновения инцидентов. Этот аспект как раз относится к тому самому обучению на инцидентах, о котором нам говорят практически все стандарты и рекомендации по этому процессу. Необходимо определять причины инцидентов ИБ для предотвращения их появления в будущем.

Все, что описано выше, стало уже прописными истинами, когда говорят об управлении инцидентами информационной безопасности. Однако, несмотря на это, достаточно большое количество компаний внедряет дорогостоящие средства мониторинга событий ИБ, при этом не заботясь о построении процесса «вокруг» внедряемого решения, и через некоторое время разочаровывается в закупленной системе, т.к. сама по себе она не может обеспечить полноценное управление инцидентами ИБ.

…процессы разные важны

Неготовность и нежелание выстраивать процессы управления инцидентами ИБ или их незрелость до недавнего времени не сулили ничего, кроме локальных проблем в рамках отдельно взятых организаций. Однако сейчас, когда компании начинают все чаще задумываться о передаче процессов обеспечения и управления информационной безопасностью на аутсорсинг, непонимание необходимости педантичного выстраивания процессов может сыграть злую шутку со всеми участниками этого взаимодействия.

Если раньше в рамках процесса управления инцидентами ИБ требовалось организовать взаимодействие между собственными подразделениями, то теперь необходимо организовать его с внешней компанией, разделить функции и ответственность.

Организациям, которые уже имели дело с процессом управления инцидентами ИБ, в этом плане будет гораздо проще. А что делать тем, у которых его не было?

Анализируя обсуждения рынка аутсорсинга (не только информационной безопасности), мы можем констатировать, что часто встречаются ситуации, когда организации, передавая на аутсорсинг какие-либо процессы или функции, считают, что, переложив их на аутсорсера, они могут не принимать никакого дальнейшего участия в управлении переданным процессом.

И это опасный подход, особенно если говорить о процессах информационной безопасности. Аутсорсер даже при большом желании и высоком профессионализме не может полностью забрать себе процессы ИБ заказчика. На его стороне будут реагирование, технологическое разрешение и анализ инцидентов, их техническое расследование. Аутсорсер может выдать рекомендации о том, что необходимо поменять, чтобы предотвратить появление определенных инцидентов в будущем. Однако конечное принятие решения по внедрению мероприятий по предотвращению инцидентов ИБ, снижению ущерба от них в любом случае остается на стороне заказчика.

Именно поэтому жизненно важно выстроить порядок взаимоотношений между компанией и аутсорсером, определить пороги и границы. Т.е. установить те самые правила, которые позволят сделать процесс управления инцидентами из «самого трудного и утомительного занятия на свете» полезным и эффективным. Выстраивание процесса в аутсорсинговой модели почти ничем не отличается от его выстраивания в рамках одной компании. Все те же аспекты, которые требуют внимания. Однако еще большее внимание требуется уделить распределению ответственности. Но, решив эти вопросы и выстроив процесс управления инцидентами ИБ и взаимодействие с аутсорсером, можно получить эффективную «машину» для их управления и все выгоды от использования этого процесса. В частности, возможность предотвращения или существенного снижения ущербов (как финансовых, так и репутационных) от инцидентов ИБ, повышение доверия со стороны клиентов и партнеров, глубокое понимание актуальных для компании угроз, повышение общего уровня защищенности организации.