ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

16 Менеджмент инцидентов информационной безопасности

16.1 Менеджмент инцидентов информационной безопасности и улучшений

16.1.1 Обязанности и процедуры

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

16.1.2 Сообщения о событиях информационной безопасности

Пункт 16.1.2 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

Участники сообщества по обмену информацией должны рассмотреть вопрос о том, следует ли сообщать об обнаруженных событиях другим членам сообщества. Сообщество должно согласовать и опубликовать руководство по типам инцидентов, которые будут интересны другим участникам. Необходимо решить о каких событиях, потенциально представляющих интерес для других участников, информировать всех других.

Существует тенденция к сокрытию информации об инцидентах для того, чтобы защитить репутацию отправителя. Но передача информации об инцидентах другим участникам будет способствовать будущему сотрудничеству и координации в области предотвращения инцидентов, быстрой реакции на инциденты и повысит общую безопасность в сообществе. О событиях и инцидентах можно сообщать, не раскрывая детали их последствий.

Кроме того, участники должны отслеживать все зарегистрированные события и выяснять, окажут ли они влияние на их собственные операции. Например, обычное объявление о запланированной операции технического обслуживания участника, предоставляющего общую услугу, может потребовать от других участников проверки надежности альтернативных поставщиков до начала процедуры технического обслуживания.

16.1.3 Сообщения о недостатках информационной безопасности

16.1.4 Оценка и принятие решений в отношении событий информационной безопасности

16.1.5 Реагирование на инциденты информационной безопасности

16.1.6 Анализ инцидентов информационной безопасности

Пункт 16.1.6 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

Следует проводить расследования на основе информации, распространяемой сообществом по обмену информацией, чтобы снизить риски аналогичных инцидентов и лучше понять риски, с которыми сталкивается сообщество и любые связанные с ним значимые информационные инфраструктуры. Такие расследования могут проводиться участниками сообщества или вспомогательным органом, если таковой существует.

После зарегистрированных инцидентов члены сообщества по обмену информацией должны проводить необходимые проверки, чтобы инициировать обновление планов реагирования на инциденты безопасности, связанных процедур и профиля бизнес-рисков, даже если рассматриваемый инцидент не затронул участника. Каждый участник должен произвести оценку инцидента и ответных действий на него, а также выявить возможные улучшения в собственных процессах и принять соответствующие меры для постоянного улучшения собственных процессов реагирования.

16.1.7 Сбор доказательств

16.1.8 Система раннего оповещения

Пункт 16.1.8 ИСО/МЭК 27002:2013 дополняется следующим:

Меры обеспечения ИБ

Для эффективной передачи приоритетной информации сразу же после ее поступления в сообществе по обмену информацией должна быть развернута система раннего оповещения.

Руководство по внедрению

Приоритетная информация - это информация, которая может позволить другим членам сообщества избежать или минимизировать нежелательные события. Важно, чтобы такая информация передавалась в срочном порядке, даже если она не была полностью проанализирована или подтверждена.