Отчетность о нарушениях безопасности
Требуемые действия
После сообщения об инциденте собираются улики и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик.
Для правильного применения некоторых правил требуются познания в области работы с уликами, которые необходимы для применения юридических санкций. Все это можно отразить в нескольких общих формулировках правил. Разрабатывая эти формулировки, необходимо учитывать правила, касающиеся следующих вопросов.
- Если рассматривать обобщенно, правила, охватывающие работу с информацией, связаны с нарушениями безопасности или нарушениям этих правил. Чтобы избежать проблем с законом, правила можно написать так. чтобы детали реализации не попали в них, а были рассмотрены на этапе внедрения.
- Расширение правил в отношении отчетности и устранения заражения вирусами.
- Как документировать и реагировать на запрошенную отчетность о неисправностях программного обеспечения и других изъянах.
- Предупреждение потенциальных проблем при получении сообщений о проблемах от групп реагирования на инциденты.
Аудит и сбор данных
За определенное время администраторы могут собрать много данных. Независимо от того, выбираются эти данные из системных журналов или являются копией системного или сетевого трафика, их можно использовать для проверки эффективности применения правил. В качестве одного из этапов периодического аудита, проводимого для оценки эффективности применения правил, эти данные могут оказаться полезными при изучении проблем, вызванных применением правил или выявленных в результате применения правил.
Автор обнаружил, что эти данные полезны для того, чтобы лучше понять, как работает организация, и полезны для совершенствования правил. Дополнительно к этому, они также могут предоставить информацию о загрузке сети, а это может помочь организации провести изменения для повышения эффективности работы сети. Поэтому, в правила аудита необходимо также включить требование по сохранению информации для последующего изучения. Формулировка правил может быть довольно проста.
Данные, необходимые для обработки информации о нарушениях информационной безопасности и об инцидентах, должны сохраняться, чтобы их можно было использовать во время анализа правил информационной безопасности на эффективность применения.