Zarządzanie incydentami

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Zarządzanie incydentami
Zgłaszanie, dokumentowanie i korygowanie zauważonych słabości systemu
Organizacja ustanawiająca SZBI opracowuje i wdraża Politykę zarządzania incydentami oraz
zauważonymi słabościami związanymi z bezpieczeństwem informacji. Polityka zobowiązuje
wszystkich pracowników Organizacji do raportowania zauważonych słabości systemu mogących
skutkować naruszeniem bezpieczeństwa informacji. Raport powinien być przekazany niezwłocznie
do osoby odpowiedzialnej za zarządzanie bezpieczeństwem informacji (Administrator
Bezpieczeństwa Informacji - ABI), który jest zobowiązany do przyjęcia zgłoszenia, umieszczenia
go w prowadzonym rejestrze słabości i incydentów oraz do niezwłocznego podjęcia działań
mających na celu zapobieżeniu wykorzystania wykrytej słabości systemu zabezpieczeń.
W dalszej kolejności ABI podejmuje działania korygujące mające na celu wyeliminowanie
zauważonej słabości systemu zabezpieczeń.
Incydenty związane z bezpieczeństwem informacji
Incydent bezpieczeństwa informacji definiuje się jak zdarzenie lub ciąg zdarzeń, które stwarzają
znaczne prawdopodobieństwo zakłócenia procesów biznesowych o istotnym znaczeniu dla
Organizacji albo ujawnienia informacji posiadających dużą wartość dla Organizacji lub
chronionych z mocy prawa.
Incydenty bezpieczeństwa informacji mogą być związane z przyczynami zewnętrznymi –
wyładowania atmosferyczne, powódź, pożar itp., celowymi działaniami ludzkimi (zarówno w celu
uzyskania korzyści finansowych, chęci sprawdzenia własnych umiejętności, zemsty),
niezamierzonymi błędami lub zaniedbaniami.
Wiele rodzajów informacji oraz zbiorów danych jest chronionych z mocy prawa – dane osobowe,
dokumentacja medyczna, informacje niejawne itp. Ochrona tych informacji wymaga szczególnie
starannego opracowania systemu zarządzania incydentami.
Organizacja ustanawiająca SZBI powinna:
•
•
•
Wdrożyć procedury i inne mechanizmy i zabezpieczenia zdolne do natychmiastowego
wykrycia zdarzeń oraz reagowania na incydenty związane z naruszeniem bezpieczeństwa,
Prowadzić monitorowanie skuteczności zabezpieczeń oraz dokonywać ich regularnych
przeglądów stosowania procedur i funkcjonowania mechanizmów bezpieczeństwa,
wdrożyć mechanizmy natychmiastowego identyfikowania naruszeń bezpieczeństwa oraz
incydentów niezależnie od tego, czy zostały zakończone niepowodzeniem czy sukcesem.
Rozdział 10: Zarządzanie incydentami
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 2
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Zarządzanie incydentem – zgłoszenie:
•
•
•
•
•
należy opracować formalną procedurę zgłaszania incydentu i zapoznać z nią pracownikóa
Organizacji,
wyznaczyć punkt kontaktowy (osobę) w którym należy dokonać zgłoszenia incydentu,
zobowiązać pracowników do natychmiastowego zanotowania szczegółów incydentu oraz do
niepodejmowania żadnych działań z nim związanych,
przygotować procedury dla działu IT oraz ABI definiujące działania, które należy podjąć po
otrzymaniu zgłoszenia incydentu,
opracować reguły postępowania dyscyplinującego wobec wszystkich osób zaangażowanych
w zaistnienie incydentu.
Zarządzanie incydentem – działanie:
•
•
•
•
•
analiza i identyfikacja przyczyn wystąpienia incydentu,
ograniczenie zasięgu naruszenia bezpieczeństwa informacji i jego skutków,
zaplanowanie i wdrożenie działań naprawczych zmierzających do uniknięcia powtórzenia
się incydentu,
prowadzenie komunikacji z podmiotami dotkniętymi incydentem i koordynacja działań
prowadzonych w celu minimalizacji jego skutków,
sporządzenie raportu dla kierownictwa Organizacji.
Zarządzanie incydentem – analiza przyczyn:
•
•
•
•
•
zgromadzenie i przygotowanie materiału dowodowego,
negocjacje w sprawie ewentualnych rekompensat,
przywrócenie pełnej sprawności i funkcjonalności systemu,
sformułowanie wniosków (nauk) z incydentu,
ewentualne podjęcie kroków prawnych.
Uwagi końcowe
Organizacja powinna zapewnić osobom odpowiedzialnym za bezpieczeństwo informacji dostęp
do odpowiednich narzędzi monitorujących pracę systemów oraz sieci komputerowej. Osoby
odpowiedzialne za reagowanie na incydenty związane z bezpieczeństwem informacji powinny
zostać odpowiednio przeszkolone oraz dysponować możliwością kontaktu ze ekspertami
zewnętrznymi – np. CERT Computer Emergency Response Team oraz wyciągać odpowiednie
wnioski z raportów publikowanych przez odpowiednie instytutcje (np. www.cert.pl ).
Rozdział 10: Zarządzanie incydentami
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 2 z 2