CISM. Incident Management. Chapter Review

CISM. Incident Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление инцидентами безопасности, планирование аварийного восстановления и планирование обеспечения непрерывности бизнеса - все это поддерживает центральную цель: устойчивость и быстрое восстановление при возникновении аварийных событий.

Инцидент безопасности - это событие, при котором конфиденциальность, целостность или доступность информации или информационных систем были или находятся под угрозой нарушения. Распространение подключенных устройств делает безопасность жизнедеятельности дополнительным фактором во многих организациях.

Этапы реагирования на инциденты включают планирование, обнаружение, инициирование, анализ, локализация, ликвидация, восстановление, восстановление, закрытие и анализ после инцидента. Планирование состоит из разработки политики реагирования на инциденты, ролей и обязанностей, процедур, а также тестирования и обучения.

name='more'>

Организация, разрабатывающая планы реагирования на инциденты безопасности, должна определить цели высокого уровня. Это необходимо для того, чтобы планы реагирования соответствовали поставленным целям. Реагирование на инциденты безопасности требует возможностей обнаружения инцидентов, которые позволяют организации быть в курсе инцидента по мере его возникновения. Без возможности обнаружения инцидентов позволяют организациям не знать о вторжении в течение многих месяцев, если вообще когда-либо узнают. Основной возможностью реагирования на инциденты является видимость событий, которая обычно обеспечивается с помощью информации о безопасности и системы управления событиями.

Многие организации предпочитают передавать мониторинг событий безопасности на аутсорсинг стороннему поставщику управляемых услуг безопасности. Организации также часто передают реагирование на инциденты на аутсорсинг фирмам, предоставляющим профессиональные услуги в области безопасности, приобретая плату за реагирование на инциденты, которая является предоплаченной.

Помните, что аутсорсинг деятельности не означает, что компания передает риски или ответственность за программу или ее влияние на бизнес.

С распространением аутсорсинга среди поставщиков облачных услуг многие инциденты безопасности теперь происходят в сторонних организациях. Это требует дополнительного планирования и координации, чтобы реагирование на инциденты с участием третьей стороны было эффективным.

Планирование обеспечения непрерывности бизнеса и планирование аварийного восстановления работают вместе, чтобы обеспечить выживание организации во время и после стихийного или техногенного бедствия.

Анализ воздействия на бизнес - это деятельность, используемая для определения воздействия различных сценариев стихийных бедствий и определения наиболее важных процессов и систем в организации. BIA помогает организации сосредоточить свое планирование BCP и DRP на бизнес-функциях, которые наиболее важны для организации.

Разработка целевых показателей восстановления, включая цель времени восстановления, цель точки восстановления и цель потенциала восстановления, помогает организации понять, насколько быстро должны выполняться различные бизнес-процессы. восстановился после катастрофы. Скорость восстановления является важным фактором, поскольку стоимость восстановления сильно варьируется.

Планы обеспечения непрерывности бизнеса определяют методы, которые организация будет использовать для продолжения важнейших бизнес-операций после аварии. Планы аварийного восстановления определяют шаги, которые организация будет использовать для спасения и восстановления систем, поврежденных в результате стихийного бедствия. Как деятельность BCP, так и деятельность DRP направлены на восстановление возможностей их первоначальных (или заменяющих) объектов. Безопасность персонала является наиболее важным фактором в любом плане аварийного восстановления.

Планирование аварийного восстановления связано с вопросами устойчивости системы, включая резервное копирование и репликацию данных, создание альтернативных мест обработки (горячих, теплых, холодных, облачных, мобильных или взаимных), а также восстановление приложений и данных. Сложность планов DR требует проверок и испытаний, чтобы убедиться, что планы DR эффективны и будут работать во время реальной катастрофы.

Notes

• Понимание цепочки устранения компьютерных вторжений может помочь организации определить возможности повышения устойчивости своих систем к вторжениям.

• Разработка пользовательских учебных пособий, посвященных конкретным типам инцидентов безопасности, обеспечит более быстрое и эффективное реагирование на инцидент безопасности. Высокоскоростные инциденты, такие как уничтожение данных и программы-вымогатели, требуют быстрого, почти автоматизированного реагирования.

• Организациям необходимо внимательно ознакомиться со всеми условиями и исключениями в любом полисе страхования от кибератак, чтобы убедиться в отсутствии исключений это привело бы к отказу в предоставлении льгот после инцидента.

• В связи с тем, что так много организаций используют облачные сервисы, особенно важно, чтобы организации подробно понимали свои собственные роли и обязанности, а также обязанности каждого поставщика облачных услуг. Это необходимо для того, чтобы организация могла эффективно реагировать на инциденты в случае возникновения инцидента у поставщика облачных услуг.

• Поиск угроз и анализ киберугроз могут помочь организации более эффективно предвидеть и обнаруживать инциденты по мере их развития. Это помогает уменьшите потенциально вредные последствия за счет профилактики.

• Многие организации предпочитают передавать на аутсорсинг часть судебной экспертизы и анализа реагирования на инциденты безопасности, поскольку персонал, обладающий этими навыками, трудно найти, а используемые инструменты дороги.

• При реагировании на инцидент с безопасностью организациям следует рассмотреть возможность создания цепочки поставок на ранней стадии, на случай, если могут последовать дисциплинарные или судебные разбирательства.

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Шауро

Блог специалиста по информационной безопасности