В данной части лекции поговорим ещё
о двух разделах политики безопасности организации.
Это раздел, посвящённый управлению инцидентами информационной безопасности и
управлению непрерывностью бизнеса.
Для раздела, посвящённого управлению инцидентами информационной безопасностью,
целью является обеспечение системы надлежащего и своевременного реагирования
на инциденты информационной безопасности.
Основными рекомендациями для достижения этой цели является, во-первых,
использование формальных процедур информирования и передачи расследования
инцидента на более высокий уровень, а во-вторых, уведомление всех лиц,
взаимодействующих с организацией, о таких процедурах и их обязанностях по сообщению
контактному лицу организации о любых инцидентах информационной безопасности.
В целом, это означает, что все пользователи информационной
системы должны незамедлительно оповещать службу безопасности
о любых инцидентах информационной безопасности и в случае,
если их компетенции недостаточно для расследования подобных инцидентов,
незамедлительно передавать их на более высокий уровень полномочий.
А все лица, так или иначе взаимодействующие с организацией,
должны быть обязаны сообщать контактному лицу организации о любых таких инцидентах.
Например, пользователь в случае, если в его личном кабинете замечена какая-либо
подозрительная деятельность, либо если он видит,
что у него изменились персональные данные или изменилось состояние её счёта.
Либо если пользователь установил приложение или соответствующую программу
организации на своём компьютере и он наблюдает какое-то аномальное поведение, с
ней связанное, то желательно по какому-то пользовательскому соглашению либо по иным
договорным обязательствам добиться такой ситуации, чтобы он стремился бы как можно
быстрее информировать службу безопасности организации о подобных инцидентах.
Это и есть залог своевременного реагирования на подобные инциденты.
В данном разделе желательно сформулировать такие положения как принципы
информирования руководства или специальных подразделений организации об инцидентах,
а также требования к сотрудникам по выявлению и информированию о возможных
уязвимостях информационной безопасности.
Второй пункт означает, что сотрудников желательно обязать очень внимательно
относиться к тому, что они видят на своих рабочих местах, и в случае выявления
любых аномалий не относиться к этому как к каким-то разовым сбоям, а незамедлительно
информировать об этом соответствующие уполномоченные подразделения.
Здесь же следует сформулировать обязанности должностных лиц по
реагированию на инциденты информационной безопасности,
чтобы обращения рядовых сотрудников не оставались бы без ответа или не
игнорировались бы вовсе, поэтому конкретных лиц следует обязать
реагировать на инциденты по достаточно формальной процедуре.
Возможно, по каждому заявлению должны в итоге формироваться отчёты с тем,
что было проделано, какие результаты это расследование показало,
какие меры были предприняты в ответ на заявление.
А если такого отчёта нет, то это может свидетельствовать о
халатной деятельности соответствующих подразделений.
И здесь же следует сформулировать механизмы оценки параметров и последствий
инцидентов информационной безопасности.
Это требуется для того, чтобы в дальнейшем можно было совершенствовать
систему безопасности организации и, например,
при пересмотре политики безопасности, о чём мы поговорим далее,
можно было бы эти параметры и последствия инцидентов учесть.
Для того чтобы довести эту логическую цепочку до конца,
следует также сформулировать принципы сбора и представления
доказательств для цели дисциплинарных воздействий.
Мало просто заметить инцидент и как-то на него среагировать, желательно понять,
кто стал его виной.
И для этого желательно иметь отработанную процедуру сбора и представления таких
доказательств.
И для того чтобы было удобно в дальнейшем при пересмотре политики безопасности
учесть опыт предыдущих инцидентов, желательно сформулировать порядок
накоплений и систематизации информации об инцидентах информационной безопасности с
целью дальнейшего совершенствования мер обеспечения безопасности информации.
И ещё одним разделом политики безопасности является раздел, посвящённый управлению
непрерывностью бизнеса, то есть непрерывностью деятельности организации,
то есть отсутствием каких-то перебоев в этой деятельности.
Целью данного раздела, как следует из его названия, является противодействие
прерыванию деятельности организации в результате сбоев информационной системы,
обеспечение её своевременного восстановления.
Для достижения этой цели рекомендуется, во-первых, внедрить процесс
управления непрерывностью бизнеса, направленного на минимизацию потерь
информационных активов до приемлемого уровня с помощью комбинированных
профилактических и восстановительных мер, то есть, с одной стороны, мер,
которые предотвращают угрозы прерывания деятельности организации, например,
вывод из строя всей информационной системы, и мер, которые позволяют
оперативно восстановить работоспособность этой информационной системы.
А вторая рекомендация заключается в анализе угроз
безопасности информации с точки зрения влияния на
деятельность организации и снижения связанных с ними рисков.
То есть, по сути, оценка негативных последствий каждой из угроз безопасности
информации с точки зрения того,
насколько эти угрозы влияют на деятельность организации,
приводят ли они к прекращению возможности для организации выполнять свои функции.
В данном разделе желательно сформулировать такие положения, как принципы включения
информационной безопасности в процесс управления непрерывностью деятельности
организации, принципы определения источников угроз нарушений деятельности
организации, оценки последствия таких угроз для информационной безопасности.
Кроме того, планы обеспечения непрерывности деятельности организации,
доступности информации на требуемом уровне после реализации угроз
безопасности информации,
то есть предусмотреть планы восстановления работоспособности организации.
И, наконец, такие планы желательно привести к единой структуре для того,
чтобы они были согласованы как между собой,
так и с требованиями безопасности информации.
[МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
