Иллюстрированный самоучитель по Development of safety
Работа с отчетностью об инцидентах, затрагивающих информационную безопасность - часть 2
Если утвердить такое правило, то не избежать проблемы, вызванной тем, что ответственное руководящее лицо недостаточно осведомлено в вопросах безопасности и не может руководить этими расследованиями. В организации решили включить в правила такую формулировку, рассчитывая разработать специальные процедуры позже. Формулировка выглядела следующим образом.
Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.
Заключительный аспект правил составления отчетности относится к работе с широковещательными сообщениями о проблемах, поступающими от поставщиков и групп реагирования на инциденты. Здесь возникает спорный вопрос, касающийся того, какие отчеты каких групп реагирования принимать в качестве достоверного источника сообщений о потенциальных проблемах. Некоторые советуют прислушиваться к мнению поставщиков, хотя их критикуют за слишком медленное реагирование. Другие для получения надежной информации предпочитают работать с такими организациями, как координационный центр CERT (CERT/CC). Однако CERT/CC критикуют за то, что он не реагирует на все инциденты. Кроме того, они не рассматривают доклады поставщиков антивирусного обеспечения о вирусах.
Все вышесказанное усложняет разработку правил широковещательного раскрытия информации. Разработчики правил имеют тенденцию включать в правила принципы работы со всеми группами реагирования на инциденты для обеспечения гарантий того, что ничего не будет упущено. Вместо того чтобы разрабатывать комплексные правила, лучше включить в правила формулировку, предписывающую разработку процедур, которые можно менять при изменении требований. Формулировка может выглядеть следующим образом.
Администраторы должны отслеживать широковещательные публикации организаций, сообщающих об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации.В список этих организаций должны входить поставщики информационных систем, используемых в организации, по крайней мере, две ведущие организации, а также выбранный организацией поставщик антивирусного программного обеспечения.
