Немного про управление инцидентами. Incident Management Life Cycle Phases

Немного про управление инцидентами. Incident Management Life Cycle Phases
Недавно пересматривал документ ISACA (white paper от марта 2012) " Incident Management and Response " и обратил внимание на представленную таблицу Incident Management Life Cycle Phases. Приведу ее полностью:

1. Planning and preparation //
Планирование и подготовка
• Creating policies, acquiring management support, developing user awareness, building a response capability // Создание политик, получение поддержки руководства, развитие осведомленности пользователей, построение системы реагирования
• Conducting research and development // Проведение исследований и разработок
• Buildin
g checklists and acquiring necessary tools // Формирование перечней (чек-листов) и приобретение необходимых инструментов
• Developing a communication plan and awareness training // Разработка плана коммуникаций (оповещений) и проведение тренингов повышения осведомленности


2. Detection, triage and investigation //
Обнаружение, сортировка и изучение
• Defining events vs. incidents and notification process // Определение событий отличных от инцидентов и процесс уведомлений
• Detecting and validating incidents // Выявление и подтверждение инцидентов
• Prioritizing and rating incidents // Определение приоритетов и ранжирование инцидентов
• Implementing intrusion detection systems (IDSs), intrusion prevention systems (IPSs) and security information events
monitoring (SIEM) // Внедрение систем обнаружения и предотвращения вторжения (IDS и IPS) и систем мониторинга событий безопасности (SIEM)
• Utilizing anti-malware and vulnerability management systems // Использование защиты от вредоносных программ и систем управления уязвимостями
• Conducting and participating in global incident awareness, e.g., CERT // Использование и участие в системе глобальной осведомленности об инцидентах, например CERT

• Conducting log and audit analysis // Проверка логов и аудит 

3. Containment, analysis, tracking and recovery //
Сдерживание, анализ, отслеживание и восстановление
• Executing containment strategy for various incidents // Выполнение стратегии сдерживания для различных инцидентов
• Performing forensic analysis according to evidence-handling processes // Проведение расследования в соответствии с собранными свидетельствами
• Executing recovery procedures in line with the enterprise business continuity plans (BCPs) and disaster recovery plans (DRPs) // Выполнение процедур восстановления в соответствии с корпоративными планами непрерывности бизнеса (BCP) и планами аварийного восстановления (DRP). 

• Determining the source of the incident // Определение источника инцидента

4. Postincident assessment //
Оценка после инцидента
• Conducting postmortem // Анализ после инцидента :
– Exactly what happened, and at what times? // Это именно то, что произошло, и в это время?
– How well did staff and management perform in dealing with the incident? Were the documented procedures followed? 
Were they adequate? // Насколько хорошо сотрудники и руководители выполняли свои задачи во время инцидента? Были ли соблюдены документированные процедуры? Были ли они адекватными?
– What corrective actions can prevent similar incidents in the future? // Какие корректирующие действия могут предотвратить аналогичные инциденты в будущем?
• Reporting on incident management related metrics, e.g., mean-time-to-incident-discovery, cost of recovery // Составление отчетов об управлении инцидентов, содержащим метрики, например, среднее время до обнаружения инцидента, стоимость восстановления. 
• Providing feedback of lessons learned // Обеспечение обратной связи от "выученных уроках" (накопленный опыт об инцидентах)

5. Incident closure //
Закрытие инцидента
• Conducting incident response postmortem analysis //  Проведение анализа после закрытия инцидента
• Submitting reports to management and stakeholders // Предоставление отчетов для руководства и заинтересованных сторон


К чему это я? Дело в том, что очень часто под понятием "управление инцидентами" сотрудники служб информационной безопасности понимают (а значит и используют) лишь отдельные элементы, не видя весь процесс в целом. При этом ни как нельзя говорить не только о каком-либо управлении, но порой и о реагировании и закрытии инцидентов. Процедуры не эффективны, причины инцидентов не анализируются, корректирующие и предупреждающие действия не планируются, выводы об инцидентах даже если и делаются, то скоро забываются...Важно понимать, что процесс управления инцидентами не прост. Его построение и "затачивание" требует времени, знаний и трудозатрат. Процесс управление инцидентами следует рассматривать комплексно и системно.
Возможно представленная таблица наведет вас на новые мысли и идеи. Удачи!



Еще можете посмотреть:
Про ИБ Incident Management
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире