29.04.2010

Методические указания по управлению инцидентами

По заказу одного из промышленных предприятий, я сейчас творю курс по управлению инцидентами (именно по управлению, а не по реагировпанию, обработке или расследованию инцидентов). И вот обратил внимание на интересный момент - действительно адекватных методических и практических рекомендаций почти нет. Хотя самих материалов немало. Это и ISO 18044, и ITU-T E.409, и RFC 2350, и многие другие. Но действительно выстроенной цепочки документов от создания CSIRT и до формализации ее работы в виде отрисованных и описанных процессов почти нет. Мне удалось найти только один ресурс, который является лидером по части управления инцидентами на протяжении последних двух десятков лет. Речь идет о CERT. На его сайте можно найти отличные материалы по выстраиванию процесса управления инцидентами, как на корпоративном, так и национальном уровне (такие попытки сейчас делаются и в России).

14 коммент.:

Baevsky комментирует...

Да, очень хороший сайт.
Часто туда наведываюсь. :)

Baevsky комментирует...

Еще на google books есть неплохие книжки.

Vair комментирует...

Рекомендую NIST и https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/incident/223-BSI.html

Quiet Zone комментирует...

Да, плюс к SP 800-61 есть еще старые документы SANS и Defining Incident Management Processec for CSIRTs: А Work in Progress от Карнеги Меллон (очень подробный, с диаграммами workflow, process mapping и кучей ссылок внутри, мощный документ).

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

вот тут еще можно глянуть
http://www.enisa.europa.eu/act/cert

есть даже руководство на корявом русском:
http://www.enisa.europa.eu/act/cert/support/guide/files/csirt-setting-up-guide-in-russian

Алексей Лукацкий комментирует...

Baevsky: Хороших книг именно по управлению инцидентами не встречал. По расследованию - да, есть.

Vair: Не весь процесс описывает ;-)

Quiet Zone: С SANS та же штука, что и с NIST. А Карнеги-Меллон и CERT - это одно и тоже ;-)

pushkinist: ENISA только входит в эту тему и их рекомендации не всегда практически реализуемы. Хотя как начальное описание, можно использовать. CERT хорош тем, что их рекомендации проверены 20-летней практикой.

Можно еще много ссылок приводить. Например, неплохие материалы у МинЮста США, ФБР и МинОбороны США, но они ориентированы на их судебную систему, которая коренным образом отличается от нашей. Но как общий подход, тоже неплохи. А CERT - странонезависим ;-)

Алексей Т. комментирует...

Алексей, не совсем понятно, как Вы управление инцидентами отделяете от реагирования, обработки и расследования. 18044 как раз освещает вопросы менеджмента инцидентов (менеджмент=управление, надеюсь с этим никто не спорит :-), "трудности перевода" виноваты). В 18044 без реагирования и обработки не обходится. Осветите, что же вы понимаете под "управлением"?

Алексей Лукацкий комментирует...

Управление включает в себя обработку, которая включает в себя реагирование. Но не ограничивается только этим. Сервисы, входящие в жизненный цикл управления инцидентами, не ограничиваются только обработкой.

chinga99 комментирует...

Алексей, есть такой вопрос, связанный с управлением инцидентами. Многие забугорные методологии включают такой пункт (в вольном переводе) "политика оповещения и обязательного раскрытия информации". В РФ есть какие-либо законодательные/нормативные акты, обязывающие к публичному обязательному раскрытию информации об инцидинтах ИБ?

Алексей Лукацкий комментирует...

Нет, у нас такого нет. Собственно как и во многих странах мира. Такое требование есть в США (почти во всех штатах) и еще паре стран.

СуперИван комментирует...

А ITIL чем не устраивает?

СуперИван комментирует...

Или MOF

Алексей Лукацкий комментирует...

В смысле не устраивает? Они на безопасность не ориентированы в принципе. И многие аспекты не учитывают по определению. Да и цели у них другие немного.