Zarządzanie incydentami
Transkrypt
Zarządzanie incydentami
System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Zarządzanie incydentami Zgłaszanie, dokumentowanie i korygowanie zauważonych słabości systemu Organizacja ustanawiająca SZBI opracowuje i wdraża Politykę zarządzania incydentami oraz zauważonymi słabościami związanymi z bezpieczeństwem informacji. Polityka zobowiązuje wszystkich pracowników Organizacji do raportowania zauważonych słabości systemu mogących skutkować naruszeniem bezpieczeństwa informacji. Raport powinien być przekazany niezwłocznie do osoby odpowiedzialnej za zarządzanie bezpieczeństwem informacji (Administrator Bezpieczeństwa Informacji - ABI), który jest zobowiązany do przyjęcia zgłoszenia, umieszczenia go w prowadzonym rejestrze słabości i incydentów oraz do niezwłocznego podjęcia działań mających na celu zapobieżeniu wykorzystania wykrytej słabości systemu zabezpieczeń. W dalszej kolejności ABI podejmuje działania korygujące mające na celu wyeliminowanie zauważonej słabości systemu zabezpieczeń. Incydenty związane z bezpieczeństwem informacji Incydent bezpieczeństwa informacji definiuje się jak zdarzenie lub ciąg zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia procesów biznesowych o istotnym znaczeniu dla Organizacji albo ujawnienia informacji posiadających dużą wartość dla Organizacji lub chronionych z mocy prawa. Incydenty bezpieczeństwa informacji mogą być związane z przyczynami zewnętrznymi – wyładowania atmosferyczne, powódź, pożar itp., celowymi działaniami ludzkimi (zarówno w celu uzyskania korzyści finansowych, chęci sprawdzenia własnych umiejętności, zemsty), niezamierzonymi błędami lub zaniedbaniami. Wiele rodzajów informacji oraz zbiorów danych jest chronionych z mocy prawa – dane osobowe, dokumentacja medyczna, informacje niejawne itp. Ochrona tych informacji wymaga szczególnie starannego opracowania systemu zarządzania incydentami. Organizacja ustanawiająca SZBI powinna: • • • Wdrożyć procedury i inne mechanizmy i zabezpieczenia zdolne do natychmiastowego wykrycia zdarzeń oraz reagowania na incydenty związane z naruszeniem bezpieczeństwa, Prowadzić monitorowanie skuteczności zabezpieczeń oraz dokonywać ich regularnych przeglądów stosowania procedur i funkcjonowania mechanizmów bezpieczeństwa, wdrożyć mechanizmy natychmiastowego identyfikowania naruszeń bezpieczeństwa oraz incydentów niezależnie od tego, czy zostały zakończone niepowodzeniem czy sukcesem. Rozdział 10: Zarządzanie incydentami (C) Tomasz Barbaszewski Materiał szkoleniowy str. 1 z 2 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Zarządzanie incydentem – zgłoszenie: • • • • • należy opracować formalną procedurę zgłaszania incydentu i zapoznać z nią pracownikóa Organizacji, wyznaczyć punkt kontaktowy (osobę) w którym należy dokonać zgłoszenia incydentu, zobowiązać pracowników do natychmiastowego zanotowania szczegółów incydentu oraz do niepodejmowania żadnych działań z nim związanych, przygotować procedury dla działu IT oraz ABI definiujące działania, które należy podjąć po otrzymaniu zgłoszenia incydentu, opracować reguły postępowania dyscyplinującego wobec wszystkich osób zaangażowanych w zaistnienie incydentu. Zarządzanie incydentem – działanie: • • • • • analiza i identyfikacja przyczyn wystąpienia incydentu, ograniczenie zasięgu naruszenia bezpieczeństwa informacji i jego skutków, zaplanowanie i wdrożenie działań naprawczych zmierzających do uniknięcia powtórzenia się incydentu, prowadzenie komunikacji z podmiotami dotkniętymi incydentem i koordynacja działań prowadzonych w celu minimalizacji jego skutków, sporządzenie raportu dla kierownictwa Organizacji. Zarządzanie incydentem – analiza przyczyn: • • • • • zgromadzenie i przygotowanie materiału dowodowego, negocjacje w sprawie ewentualnych rekompensat, przywrócenie pełnej sprawności i funkcjonalności systemu, sformułowanie wniosków (nauk) z incydentu, ewentualne podjęcie kroków prawnych. Uwagi końcowe Organizacja powinna zapewnić osobom odpowiedzialnym za bezpieczeństwo informacji dostęp do odpowiednich narzędzi monitorujących pracę systemów oraz sieci komputerowej. Osoby odpowiedzialne za reagowanie na incydenty związane z bezpieczeństwem informacji powinny zostać odpowiednio przeszkolone oraz dysponować możliwością kontaktu ze ekspertami zewnętrznymi – np. CERT Computer Emergency Response Team oraz wyciągać odpowiednie wnioski z raportów publikowanych przez odpowiednie instytutcje (np. www.cert.pl ). Rozdział 10: Zarządzanie incydentami (C) Tomasz Barbaszewski Materiał szkoleniowy str. 2 z 2