29.4.10
Методические указания по управлению инцидентами
По заказу одного из промышленных предприятий, я сейчас творю курс по управлению инцидентами (именно по управлению, а не по реагировпанию, обработке или расследованию инцидентов). И вот обратил внимание на интересный момент - действительно адекватных методических и практических рекомендаций почти нет. Хотя самих материалов немало. Это и ISO 18044, и ITU-T E.409, и RFC 2350, и многие другие. Но действительно выстроенной цепочки документов от создания CSIRT и до формализации ее работы в виде отрисованных и описанных процессов почти нет. Мне удалось найти только один ресурс, который является лидером по части управления инцидентами на протяжении последних двух десятков лет. Речь идет о CERT. На его сайте можно найти отличные материалы по выстраиванию процесса управления инцидентами, как на корпоративном, так и национальном уровне (такие попытки сейчас делаются и в России).
Подписаться на:
Комментарии к сообщению (Atom)
14 коммент.:
Да, очень хороший сайт.
Часто туда наведываюсь. :)
Еще на google books есть неплохие книжки.
Рекомендую NIST и https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/incident/223-BSI.html
Да, плюс к SP 800-61 есть еще старые документы SANS и Defining Incident Management Processec for CSIRTs: А Work in Progress от Карнеги Меллон (очень подробный, с диаграммами workflow, process mapping и кучей ссылок внутри, мощный документ).
вот тут еще можно глянуть
http://www.enisa.europa.eu/act/cert
есть даже руководство на корявом русском:
http://www.enisa.europa.eu/act/cert/support/guide/files/csirt-setting-up-guide-in-russian
Baevsky: Хороших книг именно по управлению инцидентами не встречал. По расследованию - да, есть.
Vair: Не весь процесс описывает ;-)
Quiet Zone: С SANS та же штука, что и с NIST. А Карнеги-Меллон и CERT - это одно и тоже ;-)
pushkinist: ENISA только входит в эту тему и их рекомендации не всегда практически реализуемы. Хотя как начальное описание, можно использовать. CERT хорош тем, что их рекомендации проверены 20-летней практикой.
Можно еще много ссылок приводить. Например, неплохие материалы у МинЮста США, ФБР и МинОбороны США, но они ориентированы на их судебную систему, которая коренным образом отличается от нашей. Но как общий подход, тоже неплохи. А CERT - странонезависим ;-)
Алексей, не совсем понятно, как Вы управление инцидентами отделяете от реагирования, обработки и расследования. 18044 как раз освещает вопросы менеджмента инцидентов (менеджмент=управление, надеюсь с этим никто не спорит :-), "трудности перевода" виноваты). В 18044 без реагирования и обработки не обходится. Осветите, что же вы понимаете под "управлением"?
Управление включает в себя обработку, которая включает в себя реагирование. Но не ограничивается только этим. Сервисы, входящие в жизненный цикл управления инцидентами, не ограничиваются только обработкой.
Алексей, есть такой вопрос, связанный с управлением инцидентами. Многие забугорные методологии включают такой пункт (в вольном переводе) "политика оповещения и обязательного раскрытия информации". В РФ есть какие-либо законодательные/нормативные акты, обязывающие к публичному обязательному раскрытию информации об инцидинтах ИБ?
Нет, у нас такого нет. Собственно как и во многих странах мира. Такое требование есть в США (почти во всех штатах) и еще паре стран.
А ITIL чем не устраивает?
Или MOF
В смысле не устраивает? Они на безопасность не ориентированы в принципе. И многие аспекты не учитывают по определению. Да и цели у них другие немного.
Отправить комментарий