Работа с отчетностью об инцидентах, затрагивающих информационную безопасность
Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать. Отчеты об инцидентах могут приходить и извне организации, зафиксированные посторонними службами администрирования, так как проблемы могут быть связаны с сайтом организации, правовыми нарушениями или с контролирующими органами и т.п. И, наконец, может быть широковещательное оповещение о проблемах, которое может исходить от поставщика или группы реагирования на инциденты.
В первую очередь, в данных правилах устанавливаются требования по отчетности для администраторов и пользователей. При разработке этих правил желательно ввести в них формулировку с требованием, чтобы отчетность составлялась строго по определенным методикам. Это означает, что кто-то должен разработать эти методики. Формулировка может выглядеть следующим образом.
Администраторы и пользователи должны докладывать обо всех нарушениях правил безопасности и связанных с ними процедур, в которых используются утвержденные методики составления отчетности.
Затем, в правилах необходимо рассмотреть, что следует предпринимать, когда отчет об инциденте приходит из внешних источников. Большинство организаций, с которыми пришлось иметь дело, предпочитают относиться к этим сообщениям серьезно и хотят с ними разобраться. На этом основании можно написать следующую формулировку.
Администраторы должны серьезно относиться к сообщениям об инцидентах от всех внешних источников и проверять их достоверность. Результатами этих проверок необходимо оперировать, руководствуясь утвержденными правилами.
В этих правилах ничего не говорится о том, что делать, если сообщение об инциденте приходит от правоохранительных органов. В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем. В одной организации, с которой сотрудничал автор книги, хотели разработать правило, предписывающее прямую ответственность руководства за все, что относится к расследованиям, связанным с правоприменением.
Если утвердить такое правило, то не избежать проблемы, вызванной тем, что ответственное руководящее лицо недостаточно осведомлено в вопросах безопасности и не может руководить этими расследованиями. В организации решили включить в правила такую формулировку, рассчитывая разработать специальные процедуры позже. Формулировка выглядела следующим образом.
Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.
Заключительный аспект правил составления отчетности относится к работе с широковещательными сообщениями о проблемах, поступающими от поставщиков и групп реагирования на инциденты. Здесь возникает спорный вопрос, касающийся того, какие отчеты каких групп реагирования принимать в качестве достоверного источника сообщений о потенциальных проблемах. Некоторые советуют прислушиваться к мнению поставщиков, хотя их критикуют за слишком медленное реагирование. Другие для получения надежной информации предпочитают работать с такими организациями, как координационный центр CERT (CERT/CC). Однако CERT/CC критикуют за то, что он не реагирует на все инциденты. Кроме того, они не рассматривают доклады поставщиков антивирусного обеспечения о вирусах.
Все вышесказанное усложняет разработку правил широковещательного раскрытия информации. Разработчики правил имеют тенденцию включать в правила принципы работы со всеми группами реагирования на инциденты для обеспечения гарантий того, что ничего не будет упущено. Вместо того чтобы разрабатывать комплексные правила, лучше включить в правила формулировку, предписывающую разработку процедур, которые можно менять при изменении требований. Формулировка может выглядеть следующим образом.
Администраторы должны отслеживать широковещательные публикации организаций, сообщающих об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации.В список этих организаций должны входить поставщики информационных систем, используемых в организации, по крайней мере, две ведущие организации, а также выбранный организацией поставщик антивирусного программного обеспечения.