Група реагування на інциденти інформаційної безпеки
Група реагування на інциденти інформаційної безпеки (ГРІІБ), (англ. Information Security Incident Response Team (ISIRT)) — це група кваліфікованих та надійних членів організації, яка виконує, координує й підтримує реагування на порушення інформаційної безпеки, що зачіпають інформаційні системи в межах визначеної зони відповідальності.
Дана група іноді може доповнюватися зовнішніми експертами, наприклад, з загальновизнаною групи реагування на комп'ютерні інциденти або комп'ютерної групи швидкого реагування (КГШР).
ГРІІБ створюється для забезпечення організації відповідним персоналом для оцінки, реагування на інциденти інформаційної безпеки та отримання досвіду з них, а також необхідної координації, менеджменту, зворотного зв'язку і процесу передачі інформації. Члени ГРІІБ беруть участь у зниженні фізичної, матеріальної та фінансового шкоди, а також шкоди для репутації організації, пов'язаної з інцидентами інформаційної безпеки[1].
- Кількість і склад даного персоналу повинні відповідати масштабу й цілям діяльності організації.
- ГРІІБ може представляти собою окремо створену команду або колектив залучених працівників з різних підрозділів організації (наприклад, ІТ/телекомунікації, бухгалтерія, відділи кадрів і маркетингу).
- Керівник ГРІІБ повинен мати окрему лінію для оповіщення керівництва, ізольовану від інших бізнес-процесів[1].
Обов'язки ГРІІБ можна розділити на 2 основні групи:
- дії в реальному часі, безпосередньо пов'язані з головним завданням — реагуванням на порушення;
- профілактичні дії, які відіграють допоміжну роль і здійснюються не в реальному масштабі часу.
Перша група включає оцінку входять доповідей (класифікація порушень) і роботу над надійшла інформацією разом з іншими групами, постачальниками послуг Internet та іншими організаціями (координація реагування), а також допомога локальним користувачам у відновленні роботи після порушення (вирішення проблем). Класифікація порушень включає в себе:
- оцінка доповідей: вхідна інформація ранжується за ступенем важливості, співвідноситься з триваючими подіями і виявляються тенденціями;
- верифікація: виявляється порушення і його масштаби[1].
- категорування інформації: інформація, що відноситься до порушення (реєстраційні журнали, контактна інформація і т. д.) категоризується відповідно до політики розкриття інформації;
- координація: у відповідності з політикою розкриття відомостей про порушення повідомляються інші сторони.
Обов'язок вирішення проблем:
- технічна підтримка;
- викорінення проблем: усунення причин порушення та його проявів;
- відновлення: допомога в поверненні систем у нормальний стан[2].
Профілактичні дії:
- надання інформації: підтримка архіву відомих уразливих місць, способів вирішення минулих проблем чи організація списків розсилки з рекомендаційними цілями; надання засобів безпеки (наприклад, коштів аудиту);
- навчання і підготовка кадрів;
- оцінка продуктів;
- оцінка захищеності організації;
- консультаційні послуги.
- ↑ а б в МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Архів оригіналу за 29 червня 2012. Процитовано 24 квітня 2018.
- ↑ Computer Security Incident Response Team (CSIRT). Архів оригіналу за 24 серпня 2018. Процитовано 24 серпня 2018.
- Computer Security Incident Response Team (CSIRT) [Архівовано 24 серпня 2018 у Wayback Machine.]
- Computer Incident Response Team [Архівовано 9 вересня 2018 у Wayback Machine.]
На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій. |