Інциденти інформаційної безпеки та управління ними
Інцинденти ІБ вважаються окремим підкласом кризових та надзвичайних ситуацій, які можуть відбуватися у інформаційній, соціальній та технічній інфраструктурі держави, також вони вважаються окремим випадком в організаційно технічних — системах та інфокумунікаційних мережах, впливаючи на стан державних інформаційних ресурсів і національної безпеки.
Різні підтримки рішень під час інциндентіів ІБ. Можна розглядати як важливу частину більш загальної проблеми підтримки прийняття управлінських рішень у і різних ситуаціях (кризових).
Для того щоб забезпечити управління інциндентами ІБ, потрібно забезпечити застосування послідовного та ефективного підходу. При цьому мають бути присутні відповідальності та процедури ефективної обробки подій та слабких місць ІБ зразу після звітування про них. Для загального управління інциндентами ІБ повинен застоовуватися процес безперервного вдосконалення. Це потрібно через те, що дуже багато нової інформації, а без вдосконалення не буде ефективності дій.
Також при великій необхідності забезпечення відповідності правових вимог, повинні бути зібрані докази.
Для початку мають бути розроблені відповідальні керівництва та процедури для забезпечення швидкого і правильного реагування на інцинденти ІБ. Додатково до цого має використовуватись моніторинг систем, сигналів та ін. Наприклад можна виділити процедури управління інциндентами ІБ:
1. Процедури обробки різних видів інциндентів ІБ (відмови ІС і втрата послуг, зловмисний код, відмова в обслуговувані, помилки в наслідок не точних даних, порушення конфіденційності, зловживання ІС).
2. Дії в аварійних обставинах (аналіз та індентифікація причин інцинденту, локалізація, впровадження коригувальних дій для запобігання рецидивів, зв'язок з тим хто постраждав від інцинденту чи залучений до відновлення, звітування про дії, внутрішній аналіз проблеми ведення переговорів щодо компенсації від постачальників ПЗ і послуг, доступ до систем тільки авторизованому персоналу).
Управління інциндентом ІБ має бути узгоджене з керівництвом і особи відповідальні за управління інциндентами ІБ, мають розуміти всі пріоритети організації щодо обробки інциндентів ІБ.
Інценденти ІБ можуть виходити за межі організації. Але щоб на це якось реагувати існує зростаюча потреба координування дій у відповідь і спільне використання інформації щодо цих інциндентів з потрібними зовнішніми організаціями.
Також мають бути наявні механізми, які дозволять визначати кількість здійснюватння типів моніторингів, обсягів та вартості інцидентів ІБ. А інформація, яка отримана від оцінювання інцидентів ІБ, повинна використовуватися для ідентифікації інцидентів, які можуть повторюються або мати великий вплив. Оцінювання інцидентів ІБ може вказувати на потребу в удосконаленні або у додатковому контролі для обмеження ушкодження та вартості майбутніх інцидентів або може бути взяте до уваги в процесі перегляду політики безпеки. У випадкам оцінювання може розглядатись будь-який із варіантів.
У випадках подальших дій проти особи чи організації після інциденту ІБ, що тягнуть за собою судовий позив, збираються, зберігаються та надаються докази. Правила щодо збирання доказів:
1. Припустимість доказу (щоб досягти результату, організація має бути впевнена, що її інформаційні системи задовольняють будь-який опублікований стандарт або звід правил отримання доказів, які можуть бути прийняті судом).
2. Вагомість доказу (щоб досягти результату, має бути продемонстровано в доказовому виді якість та повнота контролів, використаних для правильного та несуперечливого захисту доказу протягом періоду зберігання та оброблення даних).
Коли подію ІБ виявлено вперше, може не бути зразу видно, чи дійсно ця подія призведе до судових дій. Тому існує небезпека, що необхідний доказ буде зруйнований навмисно або випадково, це залежить від інциденту. У таких випадках треба, щоб організація мала право збирати необхідну інформацію як доказ. Щоб максимально збільшити можливості визнання за межами відповідної юрисдикції.