Блок 4 "Incident Management and Response".
name='more'>
Понимание и знания этого домена базируются на:
name='more'>
Понимание и знания этого домена базируются на:
- Develop and implement processes for detecting, identifying, analyzing and responding to information security incidents. - Разработка и внедрение процесса
- Establish escalation and communication processes and lines of authority. - Управление коммуникациями
- Develop plans to respond to and document information security incidents. Разработка планов реагирования
- Establish the capability to investigate information security incidents (e.g., forensics, evidence collection and preservation, log analysis, interviewing). - Расследование
- Develop a process to communicate with internal parties and external organisations (e.g., media, law enforcement, customer). - Разработка процесса взаимодействия с внутренними и внешними сторонами.
- Integrate information security incident response plans with the organization's disaster recovery (DR) and business continuity plan. - Интеграция с непрерывностью бизнеса
- Organize, train, and equip teams to respond to information security incidents.- Организация команд реагирования
- Periodically test and refine information security incident response plans. - проверка планов реагирования
- Manage the response to information security incidents. Управление инцидентами ИБ
- Conduct reviews to identity causes of information security incidents, develop corrective actions and reassess risk. - Оценка причин и разработка корректирующих действий
Что интересно, большая часть материала относится скорее к непрерывности бизнеса и восстановлении, нежели просто к управлению инцидентами. Важно понимать взаимосвязь этих областей. В мануале CISM описаны лишь основные моменты, поэтому следует дополнительно изучить материалы NIST и BS 25999, 25777, а также соответсвующие процессы ITIL и Cobit.
Как я уже писал ранее в управлении рисками, сертификация не предполагает глубоких знаний методологий, а ориентирована в первую очередь на понимание процесса и его интеграцию с бизнес-процессами компании. Так, следует понимать:
- цели управления инцидентами и управления непрерывностью бизнеса
- порядок и принципы создания планов восстановления
- разделение ответственности в команде реагирования на инциденты
- назначение и принципы сортировки/категорирования инцидентов
- понимание типов резервных площадок и факторы их выбора
- общие представления о расследовании преступлений (сбор доказательств)
- принципы тестирования (проверки) планов восстановления
- взаимосвязь RTO/RPO
Краткая майнкарта по мануалу:
