Недавно пересматривал документ ISACA (white paper от марта 2012) " Incident Management and Response " и обратил внимание на представленную таблицу Incident Management Life Cycle Phases. Приведу ее полностью:
1. Planning and preparation // Планирование и подготовка | • Creating policies, acquiring management support, developing user awareness, building a response capability // Создание политик, получение поддержки руководства, развитие осведомленности пользователей, построение системы реагирования • Conducting research and development // Проведение исследований и разработок • Building checklists and acquiring necessary tools // Формирование перечней (чек-листов) и приобретение необходимых инструментов • Developing a communication plan and awareness training // Разработка плана коммуникаций (оповещений) и проведение тренингов повышения осведомленности |
2. Detection, triage and investigation // Обнаружение, сортировка и изучение | • Defining events vs. incidents and notification process // Определение событий отличных от инцидентов и процесс уведомлений • Detecting and validating incidents // Выявление и подтверждение инцидентов • Prioritizing and rating incidents // Определение приоритетов и ранжирование инцидентов • Implementing intrusion detection systems (IDSs), intrusion prevention systems (IPSs) and security information events monitoring (SIEM) // Внедрение систем обнаружения и предотвращения вторжения (IDS и IPS) и систем мониторинга событий безопасности (SIEM) • Utilizing anti-malware and vulnerability management systems // Использование защиты от вредоносных программ и систем управления уязвимостями • Conducting and participating in global incident awareness, e.g., CERT // Использование и участие в системе глобальной осведомленности об инцидентах, например CERT • Conducting log and audit analysis // Проверка логов и аудит |
3. Containment, analysis, tracking and recovery // Сдерживание, анализ, отслеживание и восстановление | • Executing containment strategy for various incidents // Выполнение стратегии сдерживания для различных инцидентов • Performing forensic analysis according to evidence-handling processes // Проведение расследования в соответствии с собранными свидетельствами • Executing recovery procedures in line with the enterprise business continuity plans (BCPs) and disaster recovery plans (DRPs) // Выполнение процедур восстановления в соответствии с корпоративными планами непрерывности бизнеса (BCP) и планами аварийного восстановления (DRP). • Determining the source of the incident // Определение источника инцидента |
4. Postincident assessment // Оценка после инцидента | • Conducting postmortem // Анализ после инцидента : – Exactly what happened, and at what times? // Это именно то, что произошло, и в это время? – How well did staff and management perform in dealing with the incident? Were the documented procedures followed? Were they adequate? // Насколько хорошо сотрудники и руководители выполняли свои задачи во время инцидента? Были ли соблюдены документированные процедуры? Были ли они адекватными? – What corrective actions can prevent similar incidents in the future? // Какие корректирующие действия могут предотвратить аналогичные инциденты в будущем? • Reporting on incident management related metrics, e.g., mean-time-to-incident-discovery, cost of recovery // Составление отчетов об управлении инцидентов, содержащим метрики, например, среднее время до обнаружения инцидента, стоимость восстановления. • Providing feedback of lessons learned // Обеспечение обратной связи от "выученных уроках" (накопленный опыт об инцидентах) |
5. Incident closure // Закрытие инцидента | • Conducting incident response postmortem analysis // Проведение анализа после закрытия инцидента • Submitting reports to management and stakeholders // Предоставление отчетов для руководства и заинтересованных сторон |
К чему это я? Дело в том, что очень часто под понятием "управление инцидентами" сотрудники служб информационной безопасности понимают (а значит и используют) лишь отдельные элементы, не видя весь процесс в целом. При этом ни как нельзя говорить не только о каком-либо управлении, но порой и о реагировании и закрытии инцидентов. Процедуры не эффективны, причины инцидентов не анализируются, корректирующие и предупреждающие действия не планируются, выводы об инцидентах даже если и делаются, то скоро забываются...Важно понимать, что процесс управления инцидентами не прост. Его построение и "затачивание" требует времени, знаний и трудозатрат. Процесс управление инцидентами следует рассматривать комплексно и системно.
Возможно представленная таблица наведет вас на новые мысли и идеи. Удачи!
Еще можете посмотреть:
