25 Февраля, 2012

CISM Управление инцидентами (intro)

Andrey Prozorov
Блок 4 "Incident Management and Response".

name='more'>
Понимание и знания этого домена базируются на:

  1. Develop and implement processes for detecting, identifying, analyzing and responding to information security incidents. - Разработка и внедрение процесса
  2. Establish escalation and communication processes and lines of authority. - Управление коммуникациями
  3. Develop plans to respond to and document information security incidents. Разработка планов реагирования
  4. Establish the capability to investigate information security incidents (e.g., forensics, evidence collection and preservation, log analysis, interviewing). - Расследование
  5. Develop a process to communicate with internal parties and external organisations (e.g., media, law enforcement, customer). - Разработка процесса взаимодействия с внутренними и внешними сторонами. 
  6. Integrate information security incident response plans with the organization's disaster recovery (DR) and business continuity plan. - Интеграция с непрерывностью бизнеса
  7. Organize, train, and equip teams to respond to information security incidents.- Организация команд реагирования
  8. Periodically test and refine information security incident response plans. - проверка планов реагирования
  9. Manage the response to information security incidents. Управление инцидентами ИБ
  10. Conduct reviews to identity causes of information security incidents, develop corrective actions and reassess risk. - Оценка причин и разработка корректирующих действий
Что интересно, большая часть материала относится скорее к непрерывности бизнеса и восстановлении, нежели просто к управлению инцидентами. Важно понимать взаимосвязь этих областей. В мануале CISM описаны лишь основные моменты, поэтому следует дополнительно изучить материалы NIST и BS 25999, 25777, а также соответсвующие процессы ITIL и Cobit.

Как я уже писал ранее в управлении рисками, сертификация не предполагает глубоких знаний методологий, а ориентирована в первую очередь на понимание процесса и его интеграцию с бизнес-процессами компании. Так, следует понимать:

  • цели управления инцидентами и управления непрерывностью бизнеса
  • порядок и принципы создания планов восстановления
  • разделение ответственности в команде реагирования на инциденты
  • назначение и принципы сортировки/категорирования инцидентов
  • понимание типов резервных площадок и факторы их выбора
  • общие представления о расследовании преступлений (сбор доказательств)
  • принципы тестирования (проверки) планов восстановления
  • взаимосвязь RTO/RPO
Краткая майнкарта по мануалу: