отт иб банк деят. ОТТ (2). Реагирование на инциденты
 Скачать 16.43 Kb.
|
|
Реагирование на инциденты Классификация требований приведена в соответствии с таблицей NIST SP 800-53 C8 – Incident Response Family. IR-1. Политика и процедуры Организационное требование Требование: Разрабатывать, документировать и распространять: 1. Политику на уровне организации, задачи/бизнес-процесса, персонала или определенных ролей, которая: a. Затрагивает цели и сферу охвата организации, обязанности руководства и сотрудников, координацию между организационными подразделениями и их соблюдение b. Соответствует применимым законам, распоряжениям, директивам, постановлениям, политикам, стандартам и руководствам 2. Процедуры, способствующие реализации политики реагирования на инциденты и связанные с ней средства управления реагирования на инциденты IR-2. Обучение реагированию на инциденты Организационное требование Требование: Обеспечить обучение сотрудников организации реагированию на инциденты в соответствии с назначенными ролями и обязанностями. Данное требование в себя включает: 1. Назначение в течение определенного организацией периода времени ответственного по реагированию на инциденты в информационной системе 2. Переобучение при серьезных системных изменениях 3. Определение периода актуализации содержания обучения События, которые могут повысить качество реагирования на инциденты: проведение тестового реагирования, извлечение информации из фактических произошедших инцидентов, проведение аудита на соответствие изменений действующего законодательства. Обучение пользователей реагированию на инциденты может быть проведено в рамках AT-2 или AT-3. IR-3. Тестирование реагирования на инциденты Организационное требование Требование: В соответствии с назначенным организацией периодом, серьезным изменением контекста системы (и других случаях, определяемых организацией) проверять эффективность реагирования на инциденты для информационной системы с помощью определенного набора тестов. Данное требование необходимо для определения потенциальных слабых мест и недостатков информационной системы, а также последствий для бизнес-процессов, активов и отдельных лиц (в большинстве случаев - репутационный риск) IR-4. Обработка инцидентов Организационное-техническое требование Требование: a. Внедрить возможность обработки инцидентов (создание службы реагирования на инциденты), которые соответствуют плану реагирования на инциденты и включают подготовку, обнаружение и анализ, локализацию, ликвидацию и восстановление. b. Координировать действия по обработке инцидентов с действиями по планированию на случай непредвиденных обстоятельств c. Учитывать информацию, извлеченную из предыдущих мероприятий по обработке инцидентов, в процедурах реагирования на инциденты, обучении и тестировании, и соответствующим образом внедрять полученные изменения d. Обеспечить, чтобы строгость, интенсивность, объем и результаты мероприятий по обработке инцидентов были сопоставимы и предсказуемы в рамках всей организации Информация об инцидентах может быть получена из различных источников, включая мониторинг, аудит, мониторинг физического доступа и мониторинг сети, отчеты пользователей или администраторов, а также сообщения в цепочке событий (информационная система сбора событий). IR-5. Мониторинг инцидентов Организационное требование Требование: Отслеживать и документировать инциденты Документирование инцидентов включает в себя ведение записей о каждом инциденте, статусе инцидента и другую соответствующую информацию, необходимую для экспертизы компьютерной криминалистики, а также оценку деталей инцидента, тенденций и обработки. IR-4 предоставляет информацию о типах инцидентов, которые целесообразны для мониторинга. |