Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 513-ст)
- Приложение А (справочное). Образец формы отчета о событиях и инцидентах информационной безопасности
Приложение А (справочное). Образец формы отчета о событиях и инцидентах информационной безопасности
Приложение А
(справочное)
Образец формы отчета о событиях и инцидентах информационной безопасности
Отчеты о событиях и инцидентах информационной безопасности
Рекомендации по заполнению
Назначением данной формы (формы отчета о событиях и инцидентах ИБ) является обеспечение информацией о событии ИБ, а затем, если оно определено как инцидент ИБ, то и об инциденте ИБ, для определенных лиц.
Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям или ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации.
Представленная информация будет использована для инициирования соответствующего процесса оценки, которая определит, должно ли это событие категорироваться как инцидент ИБ и (в случае положительного ответа), какие корректирующие меры, необходимые для предотвращения или ограничения потерь или ущерба, следует предпринять. Поскольку процесс оценки по своему характеру является краткосрочным, то в данный момент необязательно заполнять все поля формы отчета.
Если сотрудник является членом группы обеспечения эксплуатации, анализирующим полностью/частично заполненные формы отчета, то он должен принять решение, надо ли отнести данное событие к категории инцидента ИБ. При положительном решении сотрудник должен внести в форму отчета об инциденте ИБ как можно больше информации и передать формы отчетов о событии и инциденте ИБ в ГРИИБ. Независимо от того, будет ли событие ИБ отнесено к категории инцидента ИБ, база данных событий/инцидентов ИБ должна быть обновлена.
Если сотрудник является сотрудником ГРИИБ, анализирующим формы отчетов о событиях и инцидентах ИБ, переданные членом группы обеспечения эксплуатации, то форма отчета об инциденте ИБ должна обновляться по ходу расследования и, соответственно, должна обновляться база данных событий/инцидентов ИБ. При заполнении форм следует соблюдать следующие рекомендации:
- по возможности формы отчета должны заполняться и передаваться в электронном виде*. В случае, если существуют проблемы или считается, что существуют проблемы с принятыми по умолчанию механизмами электронного оповещения (например электронная почта), включая случаи, когда система может подвергаться атаке и формы отчета могут быть прочитаны несанкционированными лицами, должны использоваться альтернативные средства связи. Альтернативными средствами связи могут быть телефон или текстовые сообщения, а также использование курьеров;
- следует представить информацию, основанную на фактах, в которой сотрудник уверен, не следует что-либо придумывать для того, чтобы заполнить все формы. Если сотрудник считает уместным включить иную информацию, которую не может подтвердить, следует указать, что это неподтвержденная информация, и причину убежденности в ее недостоверности;
- следует подробно указать, как можно связаться с сотрудником. Немедленно или спустя некоторое время может возникнуть необходимость контакта с ним для получения дальнейшей информации, касающейся Вашего отчета.
Если позднее сотрудник обнаружит, что какая-либо представленная им информация неточна, неполна или ошибочна, то следует внести поправки в отчет и представить его повторно.
Отчет о событии информационной безопасности
Дата события
Номер события**: Соответствующие идентификационные
номера событий и (или) инцидентов
(если требуется):
Информация о сообщающем лице
Фамилия ________________ Адрес _______________
Организация ________________ _______________
Телефон ________________ Электронная почта _______________
___________________________________________
Описание события ИБ
Описание события:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие на бизнес
Любые идентифицированные уязвимости
Подробности о событии ИБ
Дата и время наступления события
Дата и время обнаружения события
Дата и время сообщения о событии
/---\ /---\
Закончилось ли событие? (отметить в квадрате) Да | | Нет | |
\---/ \---/
Если "да", то уточнить длительность
события в днях/часах/минутах
Отчет об инциденте информационной безопасности
Дата инцидента
Номер инцидента***: Соответствующие идентификационные
номера событий и (или) инцидентов
(если требуется):
Информация о сотруднике группы обеспечения эксплуатации
Фамилия ________________ Адрес _________________
Телефон ________________ Электронная почта _________________
Информация о сотруднике ГРИИБ
Фамилия ________________ Адрес _________________
Телефон ________________ Электронная почта _________________
_____________________________________________
Описание инцидента ИБ
Дополнительное описание инцидента:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие на бизнес
Любые идентифицированные уязвимости
Подробности об инциденте ИБ
Дата и время возникновения инцидента
Дата и время обнаружения инцидента
Дата и время сообщения об инциденте
/---\ /---\
Закончился ли инцидент? (отметить в квадрате) Да | | Нет | |
\---/ \---/
Если "Да", то уточнить длительность инцидента
в днях/часах/минутах. Если "Нет", то уточнить,
как долго он уже длится
Отчет об инциденте информационной безопасности
Тип инцидента ИБ
/---\ /---\
(Сделать отметку в Действительный | | Попытка | | Предполагаемый
одном из квадратов, за- \---/ \---/
тем заполнить ниже со-
ответствующие поля)
/---\
(Один из) Намеренная | | (указать типы угрозы)
\---/
/---\
Хищение (ТН) | | Хакерство/логическое проникновение
\---/ (НА)
/---\
Мошенничество (FR) | | Неправильное использование ресурсов
\---/ (MI)
/---\
Саботаж/физический ущерб (SA) | | Другой ущерб (OD)
\---/
/---\
Вредоносная программа (МС) | |
\---/
Определить:
/---\
(Один из) Случайная | | (указать типы угрозы)
\---/
/---\
Отказ аппаратуры (HF) | | Другие природные события (NE)
\---/
/---\
Отказ ПО (SF) | | Определить:
\---/
/---\
Отказ системы связи (CF) | | потеря значимых сервисов (LE)
\---/
/---\
Пожар (НЕ) | | недостаточное кадровое обеспечение (SS)
\---/
/---\
Наводнение (FL) | | Другие случаи (ОА)
\---/
Определить:
/---\
(Один из) Ошибка | | (указать типы угрозы)
\---/
/---\
Операционная ошибка (ОЕ) | | Ошибка пользователя (UE)
\---/
Ошибка в эксплуатации аппаратных /---\ Ошибка проектирования (DE)
средств (НЕ) | |
\---/
/---\
Ошибка в эксплуатации ПО (SE) | | Другие случаи (включая ненамеренные
\---/ ошибки) (ОА)
Определить:
/---\
Неизвестно | | (Если еще не установлен тип
\---/ инцидента ИБ (намеренный, случайный,
ошибка), то следует сделать отметку
в квадрате "неизвестно" и, по возможности
указать тип угрозы, используя сокращения,
приведенные выше)
Определить:
Отчет об инциденте информационной безопасности
Пораженные активы
Пораженные активы (при (Дать описания активов, пораженных инцидентами ИБ или связанных с ним,
наличии) включая (где требуются), серийные, лицензионные номера и номера версий)
Информация/данные ________________________________
Аппаратные средства ________________________________
Программное обеспечение ________________________________
Средства связи ________________________________
Документация ________________________________
Негативное воздействие/влияние инцидента на бизнес
Сделать отметку в соответствующих квадратах для указанных ниже нарушений, затем в колонке
"значимость" указать степень негативного воздействия на бизнес по шкале, используя следующие
сокращения (указатели категорий): (FD) - финансовые убытки/разрушение бизнес-операций, (СЕ) -
коммерческие и экономические интересы, (РI) - информация, содержащая персональные данные, (LR) -
правовые и нормативные обязательства (это необходимо сравнить с английским оригиналом), (МО) -
менеджмент и бизнес-операции, (LG) - потеря престижа (см. примеры в приложении В). Записать кодовые
буквы в колонке "указатели", а если известны действительные издержки, - указать их в колонке
"стоимость".
Значимость Указатели Издержки
Нарушение /---\
конфиденциальности (то есть | |
несанкционированное раскрытие) \---/
Нарушение целостности (то /---\
есть несанкционированная | |
модификация) \---/
/---\
Нарушение доступности (то | |
есть недоступность) \---/
/---\
| |
Нарушение неотказуемости \---/
/---\
| |
Уничтожение \---/
Общие расходы на восстановление после инцидента ИБ
Значимость Указатели Издержки
(Там, где возможно,
необходимо указать общие расходы
на восстановление после
инцидента ИБ в целом по шкале
для "значимости" и в
деньгах для "стоимости")
Отчет об инциденте информационной безопасности
Разрешение инцидента
Дата начала расследования инцидента ИБ ____________________________________________
Фамилия (ии) лица (лиц), проводившего (их) ____________________________________________
расследование инцидента
Дата завершения инцидента ИБ ____________________________________________
Дата окончания воздействия ____________________________________________
Дата завершения расследования инцидента ИБ ____________________________________________
Место хранения отчета о расследовании ____________________________________________
Причастные к инциденту лица/нарушители
/---\
(Один Лицо (РЕ) | | Легально учрежденная организация
из) \---/ /учреждение (OI)
/---\
Организованная группа (GR) | | Случайность(АС)
\---/
Отсутствие нарушителя (NP)
Например, природные факторы, отказ
оборудования, человеческий фактор
Описание нарушителя
Действительная или предполагаемая мотивация
/---\
(Один Криминальная/финансовая | | Развлечение/хакерство (РН)
из) выгода(СG) \---/
/---\
Политика/терроризм (РТ) | | Месть (RE)
\---/
Другие мотивы (ОМ)
Определить:
Действия, используемые для разрешения инцидента ИБ
(например, "никаких действий", "подручными
средствами", "внутреннее расследование", "внешнее
расследование с привлечением...")
Действия, запланированные для разрешения инцидента
(включая возможные приведенные выше
действия)
Прочие действия
(например, по-прежнему требуется проведение
расследования, но другим персоналом)
Отчет об инциденте ИБ
Заключение
/---\ /---\
(Сделать отметку в одном из квадратов, Значительный | | Незначительный | |
является ли инцидент значительным или нет, и \---/ \---/
приложить краткое изложение обоснования этого
заключения)
(Указать любые другие заключения)
Оповещенные лица/субъекты
/---\
(Эта часть отчета Руководитель службы /---\ Руководитель ГРИИБ | |
заполняется соответствующим ИБ | | \---/
лицом, на которое возложены \---/
обязанности в области ИБ и Местный руководи- /---\ Руководитель информационных /---\
которое формулирует требуемые тель (уточнить, какого | | систем | |
действия. Обычно этим лицом подразделения) \---/ \---/
является руководитель ИБ /---\ /---\
организации) Автор отчета | | Руководитель автора отчета | |
\---/ \---/
/---\ /---\
Полиция | | Другие лица | |
\---/ \---/
(например, справочная служба,
отдел кадров, руководство, служба
внутреннего аудита, регулятивный
орган, сторонняя КСБР)
Определить:
Привлеченные лица
Инициатор Аналитик Аналитик
Подпись ___________________ Подпись ___________________ Подпись ___________________
Фамилия ___________________ Фамилия ___________________ Фамилия ___________________
Должность ___________________ Должность ___________________ Должность ___________________
Дата ___________________ Дата ___________________ Дата ___________________
Аналитик Аналитик Аналитик
Подпись ___________________ Подпись ___________________ Подпись ___________________
Фамилия ___________________ Фамилия ___________________ Фамилия ___________________
Должность ___________________ Должность ___________________ Должность ___________________
Дата ___________________ Дата ___________________ Дата ___________________
_____________________________
* Если возможно, то формы отчетов должны быть, например, на безопасной web-странице с привязкой к электронной базе данных событий инцидентов ИБ. В настоящее время основанная на бумажной технологии система является слишком медленно действующей и далеко не самой эффективной в эксплуатации.
** Номера событий назначаются руководителем ГРИИБ организации.
*** Номера инцидентов назначаются руководителем ГРИИБ организации и привязываются к номеру(ам) соответствующих событий.