facebook

Postępowanie z incydentami bezpieczeństwa informacji Drukuj

Jak postępować z incydentami bezpieczeństwa informacji?

Wprowadzenie
Zwiń

Obecny rozwój systemów informacyjnych a także uzależnienie innych procesów decyzyjnych od samych danych składających się na suchą informację sprawił, iż jednym z najbardziej istotnych warunków, które musi spełniać system uznany za bezpieczny, jest niezawodność. Nie mniej jednak biorąc pod uwagę fakt, iż jedno z najbardziej znanych praw Murphyego również sprawdza się w dzisiejszym świecie, wszystko to dowodzi, że obsługa anomalii, ich odpowiednie rozpoznanie i rozwiązanie, jest szczególnie istotne.

Rosnąca liczba oraz różnorodność zagrożeń i podatności sprawia bowiem, że coraz to większego znaczenia nabiera nie tylko sprawne i efektywne zarządzanie ale też obsługa zdarzeniami i incydentami bezpieczeństwa informacji w organizacji.

Dlatego też odpowiednie rozwiązanie tematu musi sprowadzić się do obsługi tych dwóch stanów.

Wg norm międzynarodowych w zakresie zarządzania incydentami - zdarzenie związane z bezpieczeństwem informacji to określony stan systemu, usługi lub sieci który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem. Incydentem natomiast nazywamy pojedyncze zdarzenie lub serię niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań i zagrażają bezpieczeństwu informacji.

Odpowiednie i szybkie rozpoznanie danych stanów daje podstawę odpowiedniego i sprawnego postępowania w zakresie minimalizacji następstw jakie zaistnieją w ramach zdarzenia zakwalifikowanego jako incydent bezpieczeństwa informacji.

Organizacja czy firma (niezależnie od ilości procesów wewnętrznych lub wielkości zatrudnienia) musi mieć pełną zdolność działania w tym zakresie, ponieważ bez funkcjonalnej i skutecznej obsługi incydentów bezpieczeństwa informacji narażona jest ona na pominięcia w obrębie tego procesu, na wykrywanie incydentów z opóźnieniem lub niewłaściwe postępowanie w procesie obsługi zaistniałego incydentu a tym samym destabilizację całego procesu zarządzania, w tym zarządzania bezpieczeństwem informacji.

Definicje
Rozwiń
Schemat postępowania
Zwiń

Krok 1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji

Pracownik, który podejrzewa, że zaistniało zdarzenie, które powinno być zaklasyfikowane jako incydent bezpieczeństwa zgłasza jak najszybciej dane zdarzenie na podstawie Listy incydentów. Incydenty zgłaszane są w formie telefonicznej lub przy pomocy poczty elektronicznej do CSO (lub innej osoby, której zakres odpowiedzialności związany jest z tworzeniem regulacji w obszarze bezpieczeństwa informacji).

W przypadku gdy firma/organizacja posiada HelpDesk/ServiceDesk pracownik tego działu wstępnie na podstawie wytycznych i szkolenia przygotowanych przez CSO ocenia skalę zdarzenia i pomaga pracownikowi w eskalacji i poprawnej obsłudze zgłoszenia incydentu (pracownik HelpDesk/Servicedesk nie odpowiada jednak za obsługę incydentów).

W przypadku gdy zachodzi konieczność natychmiastowej reakcji na zaistniały incydent (np. kradzież lub wyciek dokumentów) należy dodatkowo poinformować bezpośredniego przełożonego.

W przypadku, gdy zdarzenie ma miejsce poza godzinami pracy firmy/organizacji zdarzenie to należy zgłosić do swojego przełożonego, który zobowiązany jest bezzwłocznie dany incydent eskalować zgodnie ze zdefiniowaną ścieżką kontaktową.

Krok 2. Proces weryfikacji incydentów bezpieczeństwa informacji

CSO rejestruje wszystkie zgłoszenia incydentów w Rejestrze incydentów a następnie weryfikuje czy zgłoszenie jest incydentem bezpieczeństwa na podstawie Listy incydentów oraz na podstawie przewidywanych następstw.

W przypadku, gdy incydentu nie ma na Liście incydentów bezpieczeństwa a jest on naruszeniem zasad bezpieczeństwa, postępuje się jak z incydentem z Listy incydentów.

W przypadku zgłoszenia incydentu poza godzinami pracy firmy/organizacji lub w dni wolne, portier lub osoby monitorujące dany obszar, wyposażone są w instrukcję postępowania w przypadku sytuacji awaryjnych, która została opracowana lub zatwierdzona przez CSO.

Krok 3. Zamknięcie zdarzenia nie będącego incydentem bezpieczeństwa informacji

W przypadku, gdy zgłoszone zdarzenie nie zostało zaklasyfikowane jako incydent bezpieczeństwa informacji CSO informuje pracownika zgłaszającego zdarzenie wyjaśniając mu zasadność podjętej decyzji a następnie zamyka dane zgłoszenie.

W wybranych przypadkach CSO decyduje o publikacji informacji o kwalifikacji danego zdarzenia do wszystkich interesariuszy.

Krok 4. Obsługa incydentu bezpieczeństwa informacji

CSO informuje o wystąpieniu incydentu bezpieczeństwa osoby związane z incydentem oraz w zależności od konieczności odpowiedni szczebel Kierownictwa.

W szczególnych przypadkach CSO informuje o naruszeniu bezpieczeństwa informacji Najwyższe Kierownictwo, które podejmuje stosowne działania np. powiadomienie odpowiednich służb.

CSO rejestruje incydent w Rejestrze incydentów oraz powiadamia odpowiedniego Operatora Obsługi Incydentu.

W przypadku gdy incydent nie znajduje się na Liście incydentów, CSO uzupełnia Listę incydentów bezpieczeństwa o nowe zdarzenie oraz przypisuje do niego odpowiedniego Operatora Obsługi Incydentu.

Operator Obsługi Incydentu podejmuje działania minimalizujące wystąpienia incydentu. Gromadzi materiał dowodowy (np. logi systemowe, zabezpiecza miejsce włamania, dokonuje zabezpieczenia plików elektronicznych itp.).

Operator Obsługi Incydentu podejmuje działania niezbędne do usunięcia skutków zgłoszonego incydentu bezpieczeństwa.

W przypadku potrzeby zachowania materiału dowodowego Operator Obsługi Incydentu ściśle współpracuje z CSO w zakresie zachowania pełnej integralności i niezaprzeczalności dowodu. Dokumentem wspomagającym ten proces jest Instrukcja zabezpieczania komputerów.

Krok 5. Zakończenie obsługi incydentu

Operator Obsługi Incydentu przygotowuje opis czynności oraz wyniki podjętych działań i przesyła je pisemnie do CSO.

Po zakończeniu obsługi zgłoszenia przez Operatora Obsługi Incydentu oraz otrzymaniu informacji od Operatora, CSO uzupełnia Rejestr incydentów.

Krok 6. Działania kontrolne i udoskonalające

CSO zobowiązany jest do regularnych przeglądów incydentów bezpieczeństwa uwzględniając:
- ich częstotliwość
- obszar występowania
- czas obsługi incydentu
- powtarzalność incydentów
- skuteczność działań naprawczych i minimalizujących ponowne wystąpienie.

CSO przygotowuje Raport z przeglądu incydentów bezpieczeństwa wg wzoru.

Raport przygotowany przez CSO przedkładany jest Kierownictwo do zatwierdzenia.

CSO zdaje przedstawia okresowy Raport z obsługi incydentów Kierownictwu wraz z analizą działań zapobiegawczych mających na celu minimalizację ryzyka ponownego pojawienia się incydentu w danym obszarze.

Autor
Rozwiń
Załączniki
Rozwiń