"Лучшие практики" по управлению инцидентами

"Лучшие практики" по управлению инцидентами
Может быть кто-то помнит, что пару лет назад я написал большую статью " Стандарты, которые полезно знать специалистам по ИБ ", в которой, помимо прочего, были представлены сгруппированные по темам ссылки на стандарты и "лучшие практики". Сегодня решил обновить и расширить один из блоков - "управление инцидентами".

В итоге получилась вот такая майндкарата, содержащая ссылки на полезные рекомендации по этой теме:



Продублирую их списком.

Стандарты ISO и переводные ГОСТы:
  • Выписка из  ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security controls (A.16 Information security incident management)
  • Выписка из ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (А13. Менеджмент инцидентов ИБ). Старая версия международного стандарта 
  • ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management. И проекты дополнений к нему: 
    • CD 27035-1 Part 1: Principles of incident management
    • CD 27035-2 Part 2: Guidelines to plan and prepare for incident response
    • CD 27035-3 Part 3: Guidelines for CSIRT operations
  • старый ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. Одноименный ISO 18044-2004 уже отменен.
  • ISO/IEC 27037:2012 Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence
  • одноименный ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
  • ISO/IEC 27043:2015 Information technology. Security techniques. Incident investigation principles and processes
  • ISO 22320:2011 Societal security. Emergency management. Requirements for incident response

СТО БР ИББС
  • РС БР ИББС-2.5-2014 "Менеджмент инцидентов ИБ" ( ссылка )
  • Выписка из СТО БР ИББС-1.0-2014 (8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности)  ( ссылка )

NIST 
  • NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide ( ссылка )
  • NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response ( ссылка )
  • из NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR -  Incident Response) ( ссылка )

Процессы ITSM
  • Процессы COBIT5 (книги COBIT5 Enabling Processes и COBIT5 for Information Security)
    • DSS 02  Manage Service Requests and Incidents
    • DSS 03 Manage Problems
  • Процессы ITIL (книга Service operation)
    • Event management
    • Incident management
    • Problem management
  • Процессы ISO 20000 "Information technology. Service management ..."
    • Incident Management
    • Problem management

Прочее
  • Материалы ENISA: 
    • "Good Practice Guide for Incident Management"  ( ссылка )
    • "CSIRT Setting up Guide in Russian"  ( ссылка )
  • Короткий документ от ISACA "Incident Management and Response"  (ссылка)
  • Материалы SANS, SANS Institute InfoSec Reading Room. Incident Handling (более 100 документов, ссылка )
  • Материаалы CERT:
    • Incident Management  ( ссылка )
    • Incident Management and General CSIRT Resources  ( ссылка )
    • Collecting Evidence/Forensics  ( ссылка )
    • Incident Management Publications  ( ссылка )
    • Документ "Handbook for Computer Security Incident Response Teams (CSIRTs)"  ( ссылка )

Для общего понимания темы и при проектировании процесса управления инцидентами рекомендую особенно внимательно изучить выписку из ISO 27002, РС БР ИББС-2.5-2014, NIST SP 800-61, ENISA Good Practice Guide for Incident Management и процессы COBIT5. Удачи!
Alt text