|
|
|
|
Как должна работать программа реагирования на инциденты безопасности
Реагирование на инциденты безопасности (Incident Response) – набирающее силу направление в работе корпоративных служб ИТ и безопасности. Данная программа предполагает координацию действий по своевременному реагированию на нарушения безопасности предприятия (в частности, речь идет о несанкционированных вторжениях в компьютерные сети), быстрому восстановлению нормальной, безопасной работы организации, извлечению уроков с целью предотвращения подобных инцидентов.
Разумеется, о слаженности действий разных служб, в первую очередь информационных технологий и охраны, можно говорить при условии четкого, заблаговременно разработанного плана. Подготовить такой план не просто, отмечает редактор сайта csoonline.com Стив Раган: «Инциденты могут носить физический или технологический характер, и поскольку невозможно быть готовым к абсолютно любым, неожиданным происшествиям, целесообразно проанализировать наиболее вероятные проблемы, с которыми организация может столкнуться (csoonline.com, August 01, 2013).
Раган подчеркивает, что в разработке плана Incident Response должны принимать участие разные подразделения организации: юристы, информационщики, офицеры безопасности, руководители профильных бизнес подразделений. При этом необходимо следовать некоторым обязательным правилам:
Знать, где хранится служебная информация. Это означает иметь ясное представление, какие данные и в каких базах имеются, какие данные наиболее ценные, могут представлять первостепенный интерес для потенциальных злоумышленников. Обычно такой картиной располагают в отделе информационных технологий. Проблема в том, что очень часто организации не умеют правильно распорядиться своими знаниями. Они не продумывают заранее, с какой целью могут совершаться атаки на сети, за какой информацией будут охотиться, с помощью каких способов и методов. Эксперты утверждают, что изучение и учет всех подступов к наиболее ценным для организации базам данным – важнейшее условие эффективности программы Incident Response.
Документировать наиболее вероятные сценарии. В ходе планирования важно предусмотреть все реально возможные формы инцидентов безопасности – вторжение извне, неправильные действия собственного сотрудника, случайная утечка, потеря мобильных носителей служебной информации и т.п. Важное значение имеет контроль за трафиком в сетях. Мониторингу подлежат не только входящие данные, но и поток информации из организации вовне.
Предусмотреть в плане единый центр реагирования на инциденты безопасности, который координирует всю работу по «латанию дыры», обеспечивает нужной информацией всех, кто в ней нуждается. Если об инциденте необходимо сообщить публично (партнерам, клиентам), то заранее назначается представитель организации, обладающий исключительными полномочиями говорить от имени организации.
Регулярно обновлять и дополнять план реагирования. Учитывать новые технологии, технические и программные средства, поступающие в организацию, кадровые изменения. Такие обновления следует производить, по меньшей мере, ежегодно.
|