Pages - Menu

Страницы

29.4.10

Методические указания по управлению инцидентами

По заказу одного из промышленных предприятий, я сейчас творю курс по управлению инцидентами (именно по управлению, а не по реагировпанию, обработке или расследованию инцидентов). И вот обратил внимание на интересный момент - действительно адекватных методических и практических рекомендаций почти нет. Хотя самих материалов немало. Это и ISO 18044, и ITU-T E.409, и RFC 2350, и многие другие. Но действительно выстроенной цепочки документов от создания CSIRT и до формализации ее работы в виде отрисованных и описанных процессов почти нет. Мне удалось найти только один ресурс, который является лидером по части управления инцидентами на протяжении последних двух десятков лет. Речь идет о CERT. На его сайте можно найти отличные материалы по выстраиванию процесса управления инцидентами, как на корпоративном, так и национальном уровне (такие попытки сейчас делаются и в России).

14 комментариев:

  1. Да, очень хороший сайт.
    Часто туда наведываюсь. :)

    ОтветитьУдалить
  2. Еще на google books есть неплохие книжки.

    ОтветитьУдалить
  3. Рекомендую NIST и https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/incident/223-BSI.html

    ОтветитьУдалить
  4. Да, плюс к SP 800-61 есть еще старые документы SANS и Defining Incident Management Processec for CSIRTs: А Work in Progress от Карнеги Меллон (очень подробный, с диаграммами workflow, process mapping и кучей ссылок внутри, мощный документ).

    ОтветитьУдалить
  5. Этот комментарий был удален автором.

    ОтветитьУдалить
  6. вот тут еще можно глянуть
    http://www.enisa.europa.eu/act/cert

    есть даже руководство на корявом русском:
    http://www.enisa.europa.eu/act/cert/support/guide/files/csirt-setting-up-guide-in-russian

    ОтветитьУдалить
  7. Baevsky: Хороших книг именно по управлению инцидентами не встречал. По расследованию - да, есть.

    Vair: Не весь процесс описывает ;-)

    Quiet Zone: С SANS та же штука, что и с NIST. А Карнеги-Меллон и CERT - это одно и тоже ;-)

    pushkinist: ENISA только входит в эту тему и их рекомендации не всегда практически реализуемы. Хотя как начальное описание, можно использовать. CERT хорош тем, что их рекомендации проверены 20-летней практикой.

    Можно еще много ссылок приводить. Например, неплохие материалы у МинЮста США, ФБР и МинОбороны США, но они ориентированы на их судебную систему, которая коренным образом отличается от нашей. Но как общий подход, тоже неплохи. А CERT - странонезависим ;-)

    ОтветитьУдалить
  8. Алексей, не совсем понятно, как Вы управление инцидентами отделяете от реагирования, обработки и расследования. 18044 как раз освещает вопросы менеджмента инцидентов (менеджмент=управление, надеюсь с этим никто не спорит :-), "трудности перевода" виноваты). В 18044 без реагирования и обработки не обходится. Осветите, что же вы понимаете под "управлением"?

    ОтветитьУдалить
  9. Управление включает в себя обработку, которая включает в себя реагирование. Но не ограничивается только этим. Сервисы, входящие в жизненный цикл управления инцидентами, не ограничиваются только обработкой.

    ОтветитьУдалить
  10. Алексей, есть такой вопрос, связанный с управлением инцидентами. Многие забугорные методологии включают такой пункт (в вольном переводе) "политика оповещения и обязательного раскрытия информации". В РФ есть какие-либо законодательные/нормативные акты, обязывающие к публичному обязательному раскрытию информации об инцидинтах ИБ?

    ОтветитьУдалить
  11. Нет, у нас такого нет. Собственно как и во многих странах мира. Такое требование есть в США (почти во всех штатах) и еще паре стран.

    ОтветитьУдалить
  12. В смысле не устраивает? Они на безопасность не ориентированы в принципе. И многие аспекты не учитывают по определению. Да и цели у них другие немного.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.