Группа реагирования на инциденты информационной безопасности

Группа реагирования на инциденты информационной безопасности (ГРИИБ), (англ. Information Security Incident Response Team (ISIRT)) — это группа квалифицированных и доверенных членов организации, которая выполняет, координирует и поддерживает реагирование на нарушения информационной безопасности, затрагивающие информационные системы в пределах определённой зоны ответственности.

Примечания

Данная группа иногда может дополняться внешними экспертами, например, из общепризнанной группы реагирования на компьютерные инциденты или компьютерной группы быстрого реагирования (КГБР).
ГРИИБ создаётся для обеспечения организации соответствующим персоналом для оценки, реагирования на инциденты информационной безопасности и извлечения опыта из них, а также необходимой координации, менеджмента, обратной связи и процесса передачи информации. Члены ГРИИБ участвуют в снижении физического, материального и финансового ущерба, а также ущерба для репутации организации, связанного с инцидентами информационной безопасности.

Состав ГРИИБ

1. Количество и состав данного персонала должны соответствовать масштабу и целям деятельности организации.
2. ГРИИБ может представлять собой отдельно созданную команду или коллектив привлечённых сотрудников из разных подразделений организации (например, ИТ/телекоммуникации, бухгалтерия, отделы кадров и маркетинга).
3. Руководитель ГРИИБ должен иметь отдельную линию для оповещения руководства, изолированную от прочих бизнес-процессов.

Обязанности ГРИИБ

Обязанности ГРИИБ можно разделить на 2 основные группы:

• действия в реальном времени, непосредственно связанные с главной задачей - реагированием на нарушения;
• профилактические действия, играющие вспомогательную роль и осуществляемые не в реальном масштабе времени.

Первая группа включает оценку входящих докладов (классификация нарушений) и работу над поступившей информацией вместе с другими группами, поставщиками услуг Internet и иными организациями (координация реагирования), а также помощь локальным пользователям в восстановлении работы после нарушения (разрешение проблем). Классификация нарушений включает в себя:

• оценка докладов: входящая информация ранжируется по степени важности, соотносится с продолжающимися событиями и выявляемыми тенденциями;
• верификация: выявляется нарушение и его масштабы.

Координаций реагирования включает в себя:

• категорирование информации: информация, относящаяся к нарушению (регистрационные журналы, контактная информация и т.д.) категорируется согласно политике раскрытия сведений;
• координация: в соответствии с политикой раскрытия сведений о нарушении извещаются другие стороны.

Обязанность разрешения проблем заключается в следующем:

• техническая поддержка;
• искоренение проблем: устранение причин нарушения и его проявлений;
• восстановление: помощь в возвращении систем в нормальное состояние.

В профилактические действия входят:

• предоставление информации: поддержка архива известных уязвимых мест, способов разрешения прошлых проблем или организация списков рассылки с рекомендательными целями; предоставление средств безопасности (например, средств аудита);
• обучение и подготовка кадров;
• оценка продуктов;
• оценка защищённости организации;
• консультационные услуги.

Ссылки

• [1] Архивная копия от 29 июня 2012 на Wayback Machine ГОСТ Р ИСО/МЭК ТО18044-2007
• Информационная безопасность
• Компьютерная группа реагирования на чрезвычайные ситуации