списание по инциденту что это
Почему инциденты – это полезно, и как их правильно готовить
Что такое инцидент? Как взаимосвязаны изменения и инциденты?
Для начала давайте разберемся в том, что же такое инцидент.
Из понятия инцидента логичным образом вытекает понятие изменений, потому что если инцидент произошел, значит, что-то нужно поменять.
Что такое изменения?
Для того, чтобы изменения не стали источником проблем, процессом изменений нужно управлять. Естественно, мы можем управлять только теми изменениями, которые происходят внутри нашей компании, но в любом случае управление изменениями обязательно должно быть частью процесса управления инцидентами.
Процесс управления инцидентами
Вообще само по себе управление инцидентами не является каким-то «ноу-хау» – чем-то таким новым, чего раньше никто не делал. Все, кто внедрял у себя ISO9001 (та самая система менеджмента качества), знают, что один из обязательных процессов, который должен быть задействован – это процесс «Корректирующие и предупреждающие действия» – об этом процессе в стандарте ISO9001 достаточно хорошо и подробно описано.
И я расскажу о том, каким образом этот процесс запускался у нас, в нашей реально работающей большой организации: с какими проблемами мы столкнулись, как мы их решали, и какие подходы были найдены. Надеюсь, это будет полезно.
На слайде показано, как выглядит логическая схема процесса по управлению инцидентами: регистрация, купирование, расследование, разработка корректирующих мероприятий и т.д. – это та последовательность шагов, которая должна быть выполнена для того, чтобы была пройдена одна итерация процесса.
Сейчас мы более подробно рассмотрим, что представляетсобой каждый из этих шагов, и какие у них есть ключевые особенности, на которые нужно обращать внимание. Я также расскажу, с какими проблемами мы столкнулись при работе с инцидентами и что вообще с этим делать. И, в завершение, мы попытаемся разобраться, какие есть инструменты, позволяющие сделать управление инцидентами проще, лучше, понятнее.
Итак, мы для себя полностью автоматизировали управление инцидентами на платформе 1С в самописной конфигурации, написанной с нуля.
Карта маршрута получившегося бизнес-процесса показана на слайде – она полностью соответствует описанной ранее логической схеме, но несколько сложнее.
Почему мы выбрали именно такую реализацию для процесса? На самом деле – это частности, потому что не так важно, каким образом процесс работает: он может вестись на бумаге, в Excel, на корпоративном портале, в 1С, на любой другой системе – главное, чтобы процесс работал. Просто когда все данные находятся в автоматизированной системе – это удобно.
Регистрация и купирование инцидентов
По поводу регистрации инцидентов.
Первое (и самое сложное), с чего нужно начать, – это начать регистрировать инциденты.
Оказывается, убедить людей в том, что они должны это делать, иногда бывает очень сложно. Почему это проблема? Потому что для того, чтобы зарегистрировать инцидент – встать и сказать, что «у меня произошел сбой» – нужно признать, что инцидент произошел, что был сбой в работе процесса. А поскольку у многих людей в голове существует стереотип, что сбои происходят из-за плохой работы, и если бы они работали хорошо, то сбоя бы не было, то им достаточно сложно признать факт того, что в их зоне ответственности что-то пошло не так.
С чем мы столкнулись? Оказалось, что инциденты, произошедшие в смежных подразделениях, люди регистрировали достаточно охотно, потому что «это не я виноват, это они накосячили», а инциденты, произошедшие в зоне своей ответственности, регистрировать не хотели, потому что для этого нужно было признать что есть проблема. Вместо этого сотрудники пытались как-то спрятать инцидент, «не выносить сор из избы» и пр.
Каким образом мы с этим боролись?
Здесь суть не в конкретных цифрах, а в самом подходе – инцидент может быть одного плана, но в зависимости от тяжести его последствий его нужно рассматривать на разных уровнях. И если на самом нижнем уровне (уровне простого персонала) он может быть просто купирован, то на верхнем уровне он обязательно должен быть расследован, потому что если инцидент дошел до такого уровня, значит проблема есть и она носит системный характер. И если не найти её причину инцидент будет повторяться вновь и вновь.
Списки инцидентов должны быть у всех руководителей – от уровня генерального директора до линейных руководителей и начальников отделов.
У нас в системе форма регистрации инцидента выглядит так, как показано выше.
Расследование инцидентов
Теперь о том, что касается расследования инцидента.
Все инциденты, входящие в список значимых, расследуются в обязательном порядке. Это расследование заключается в выявлении причины появления инцидента: пытаемся разобраться, какие наши действия привели к тому, что этот инцидент произошел.
Здесь хочу отметить важный момент – проблему, с которой мы столкнулись в процессе своей работы: мы вроде добились того, что люди начали регистрировать у себя инциденты и начали их расследовать, но делали они это только внутри своего центра ответственности. То есть, когда произошел какой-то сбой, начальник отдела позвал ответственного за это сотрудника, они там десять минут посидели, какую-то бумажку написали – все, расследование закончилось.
Так нельзя, это не будет работать – нужно обязательно создать рабочую группу, в которую будут входить сотрудники из разных подразделений:
Количество людей в такой группе должно быть 5-6 человек – больше не нужно, иначе эффективность начнет падать.
К расследованию нужно приступить сразу после возникновения инцидента. Чем раньше мы это сделаем, тем выше вероятность, что расследование будет проведено качественно, и мы правильно определим причины, потому что особенность человеческой памяти – все имеет свойство забываться. Поэтому в течение первой недели расследования рабочая группа должна собираться как минимум два-три раза в неделю – это позволит эффективнее расследовать инцидент «по свежим следам». И желательно, чтобы это расследование было завершено в срок не более 10 дней.
Инструменты для расследования инцидентов
Какие есть инструменты для выявления причин инцидентов?
Инструментов, в принципе, достаточно много. Но я вам расскажу про те, которые показали эффективность по нашему опыту внедрения. Это:
5 «почему»
Что такое «5 почему»?
Если задать вопрос «Почему» несколько раз подряд, каждый раз спрашивая про предыдущий ответ, мы можем быстро докопаться до причины. На слайде приведена небольшая стихотворная иллюстрация по этому поводу.
Диаграмма Исикавы
Диаграмма Исикавы – это, по сути, те же самые «5 почему», только усложненный вариант.
Диаграмму Исикавы удобнее использовать, когда причин много и мы классифицируем их по группам, относящимся к оборудованию, к материалам, к методам выполнения работ, к персоналу.
Как ее использовать? Рисуем квадратик, в котором коротко сообщаем суть инцидента, и от него начинаем рисовать вот такую диаграмму (она еще называется «рыбья кость»), на каждой линии которой мы будем размещать вот эти «5 почему», группируя их причины по зонам.
Принцип Парето
А принцип Парето, я думаю, и так уже многим известен: 80% результата можно получить, приложив 20% усилий, а оставшиеся 80% усилий дадут только 20% результата.
Принцип Парето применим в случае, когда инцидент произошел в ходе процесса, на который влияет очень много факторов, и для того, чтобы разобраться, какой из них конкретно вызвал инцидент, мы должны часть факторов отбросить и оставить только те 20% из них, которые дают 80% влияния на результат.
Классификация причин инцидентов.
Корневые причины и корректирующие мероприятия – взаимосвязь с регламентом
Сами причины инцидента делятся на три группы – корневые, сопутствующие и непосредственные. Что здесь важно?
После того, как причины определены, их всегда необходимо правильно классифицировать, чтобы понять, какая из них является корневой.
Что здесь поможет?
Есть критерий определения корневой причины: корневая причина всегда связана либо с нарушением регламента, либо с его отсутствием, либо с некорректностью самого регламента.
Теперь по поводу корректирующих мероприятий. После выявления причин и их классификации нужно разработать корректирующие мероприятия, которые будут направлены на устранение этих причин. Очень важно, что правильно составленные корректирующие мероприятия обязательно должны завершаться внесением изменений в какие-то регламенты (или их созданием). Фактически, мы должны изменить течение процесса, зафиксировать эти изменения в документации и обучить людей, как действовать правильно.
Акт расследования
Как произвести расследование и правильно составить акт?
Процесс внедрения корректирующих изменений
После того как составлен акт расследования инцидента, он передается на подписание руководителю рабочей группы, которая проводила расследование. И только после этого рабочая группа приступает к разработке корректирующих мероприятий.
Следует отметить, что мероприятия по купированию (по прекращению инцидента) не являются корректирующими. Корректирующие мероприятия всегда направлены на устранение именно выявленных причин. Для планирования таких мероприятий разрабатывается отдельный самостоятельный документ, который не является частью акта.
Как правильно внедрять те корректирующие мероприятия, которые были запланированы?
Пример расследования инцидента
Коротко – пример реального живого расследования инцидента, который произошел совсем недавно. В чем заключалась его суть?
Поступила претензия от клиента о выявлении брака. В ходе расследования было выявлено, что еще до того, как поступила эта претензия, у данной серии приборов обнаружилась проблема, связанная с ошибкой встроенного ПО. Для исправления этой ошибки была выпущена новая версия ПО, и на завод (в производство и на склад готовой продукции) были направлены электронные письма, в которых говорилось о том, что производство этих приборов нужно остановить, а те приборы, которые лежат на складе, нужно вернуть на доработку, чтобы заменить им программное обеспечение. В итоге, несмотря на все эти действия, клиенту все-таки ушли приборы с версией ПО, которая содержала ошибку.
Какие здесь могут быть причины?
И вот такая серия из «Почему?» позволила нам узнать, из-за чего в результате клиенту все-таки ушел брак. И корневой причиной явилось то, что в письме, которое содержало документацию по описанию работы с данной несоответствующей продукцией, ни слова не было сказано о том, как нужно было действовать, если эта продукция обнаружена на складе. Там очень подробно было все расписано – кто, как, в какой последовательности, что делает, кому передает. Но как поступить с бракованной продукцией, выявленной на складе, как ее изолировать и что с ней делать дальше, там указано не было.
Заключение
Собственно, на слайде указано, какие проблемы вас ждут, если вы решитесь у себя это внедрить.
Как с этим бороться и наш опыт того, как мы с этим боролись, я уже рассказал.
Данная статья написана по итогам доклада, прочитанного на конференции INFOSTART EVENT 2015 CONNECTION 15-17 октября 2015 года.
Порядок расследования и учета инцидентов на ОПО
Порядок проведения технического расследования причин аварий, инцидентов и случаев утраты взрывчатых материалов промышленного назначения утвержден приказом Ростехнадзора от 8 декабря 2020 года № 503. Приказ вступил в силу с 1 января 2021 года и будет действовать до 1 января 2027 года. В статье мы расскажем, чем отличается инцидент от аварии, как без ошибок организовать расследование и учет инцидентов на опасных производственных объектах, какие документы нужно оформить.
Содержание
Инцидент и авария на ОПО. Основные различия
Давайте разберемся, чем отличается инцидент от аварии. В статье 1 Закона Российской Федерации от 21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных объектов» указаны основные различия между аварией и инцидентом.
Инцидент – отказ или повреждение технических устройств на опасном производственном объекте (далее – ОПО), а также отклонение от установленного режима технологического процесса. При этом инцидент не является аварией, но систематическое нарушение порядка его расследования, несоблюдение технологии могут привести к аварии.
Технические устройства – это различное оборудование, системы машин или оборудования, агрегаты, аппаратура, механизмы, применяемые при эксплуатации на ОПО.
Таким образом, технические устройства лишь входят в состав сооружения на ОПО, при этом, не являясь сооружением в целом. К сооружениям относят, например, трубопровод, а вот трубопроводную арматуру – к техническим устройствам в составе этого сооружения. Поэтому если повреждение арматуры не является разрушением и будет устранено на отдельном участке, это не приведет к разрушению магистрального трубопровода. Если же одно из звеньев трубопровода не починить вовремя, неминуемо разрушение технического устройства, а это уже авария.
Положение о порядке расследования и учета инцидентов на ОПО
Надлежащее, объективное и беспристрастное расследование каждого инцидента – важная часть безопасности ОПО. В разделе V порядка, утвержденного приказом Ростехнадзора от 08.12.2020 №503 разъясняется, как проводить техническое расследование инцидентов, учитывать инциденты и анализировать полученные данные.
Техническое расследование причин инцидента на ОПО. Этапы проведения
По общему правилу, расследование инцидента должно быть проведено в суточный срок с момента происшествия, затем нужно подать оперативное сообщение по результатам расследования и внести записи в учетный журнал.
Техническое расследование состоит из 4 последовательных этапов:
1 этап. Локализация инцидента
При получении информации об инциденте необходимо принять меры по локализации инцидента (аварийно-восстановительные работы по устранению источника опасного фактора), убедиться в том, что пострадавшим оказана первая, а также профессиональная медицинская помощь, и на месте инцидента не осталось работающих бригад.
2 этап. Расследование инцидента
Немедленно после получения информации об инциденте специально созданная комиссия выезжает на место происшествия, для изучения обстоятельств и последствий произошедшего инцидента. Комиссия должна установить вид инцидента: отказ технического устройства, его повреждение или отклонение от технологического режима эксплуатации. У комиссии нет суток на расследование. В течение 24 часов с момента происшествия нужно подать извещение в органы по списку рассылки. Значит, комиссия должна оперативно построить свою работу.
Сведения об инциденте председатель комиссии по расследованию вносит в журнал. Время указывают московское. Акт расследования подразумевает не только описание произошедшего инцидента, но и расчет экономико-экологических последствий. Ущерб указывают в акте, и сумма должна совпадать с записью в журнале учета инцидентов. Также комиссия должна зафиксировать, сколько длился простой объекта из-за инцидента.
Важно! Если были пострадавшие, нужно указать, сведения из формы 315-у. Учетную форму №315/у «Медицинское заключение о характере полученных повреждений здоровья в результате несчастного случая на производстве и степени их тяжести» выдают по запросу работодателя в медицинскую организацию, куда впервые обратился за помощью пострадавший. Делают это незамедлительно после поступления запроса.
Поэтому нужно будет получить такую справку. Она потребуется не только для расследования несчастного случая, но и для указания в акте расследования и в оперативном извещении об инциденте.
3 этап. Направление оперативного сообщения об инциденте по списку рассылки
Если в эксплуатирующей организации произошел инцидент, в течение 24 часов с момента возникновения события нужно подать оперативное сообщение. Рекомендованная форма такого извещения приведена в приложении № 2 к Порядку расследования № 503. Список рассылки оперативного сообщения следующий:
Внимание! Территориальное управление Росприродназора извещать не требуется, если произошел инцидент. Этот орган извещают, если произошла авария, связанная с выбросом опасного вещества. Поскольку инцидент не является аварией, то и извещать Росприроднадзор не нужно. Комиссию по ЧС местных органов самоуправления и территориальный орган МЧС при аварии также оповещать не нужно. Это потребуется при аварии.
Приложение № 2. Оперативное сообщение об инциденте на опасном производственном объекте (рекомендуемый образец в Приказе Ростехнадзора от 08.12.2020 №503)
Форма сообщения является рекомендованной, ее можно дополнить строками, но главное – вовремя передать по списку рассылки. Учтите, что время происшествия указывается московское. В извещении нужно указать место происшествия. Так как арматура магистрального трубопровода может пролегать по территории необжитой лесостепи, нужно сделать привязку к трассе с указанием ближайшего населенного пункта.
Пример. Трубопровод пролегает по территории N-ской области, поэтому участок, где была повреждена арматура, нужно привязать к ближайшему населенному пункту. Поэтому в оперативном извещении указывают наименование ОПО, адрес: 118 км трассы T-95, в 3 км от станицы Белогорская. Поскольку область N-ская, то извещать нужно администрацию органа местного самоуправления, на территории которого находится станица Белогорская, ближайшая к месту инцидента.
Этап 4. Ежеквартальный отчет в Ростехнадзор о произошедших инцидентах
Ежеквартально нужно подавать в территориальный орган Ростехнадзора (по месту расположения опасного производственного объекта), отчет о произошедших инцидентах. На практике это нужно делать следующим образом. Например, юридический адрес организации находится в Москве, но магистраль проходит по территории Иркутской области. Следовательно, отчет о произошедшем в Иркутской области инциденте нужно подавать в Иркутское областное управление Ростехнадзора – именно туда, куда ранее вы направили оперативное сообщение об инциденте.
В отчете нужно указать:
| № п.п. | Наименование эксплуатирующей организации | Характер инцидентов | Анализ причин возникновения инцидентов | Принятые меры по устранению причин возникновения инцидентов |
|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 |
Учтите! Если в течении прошедшего квартала инцидентов не происходило, то отчет в Ростехнадзор подавать не требуется.
Необходимо помнить, что территориальные управления Ростехнадзора проверяют, как в эксплуатирующей организации учитывают инциденты, как проводят расследование, в достаточном ли количестве в акте и в плане мероприятий указывают действия по недопущению в будущем новых инцидентов.
Этап 5. Контроль выполнения плана мероприятий по профилактике инцидентов (согласно акту расследования)
Комиссия по расследованию причин инцидента на ОПО. Состав. Порядок формирования и работы
В локальном Положении о порядке расследования и учета инцидентов на ОПО необходимо указать, сколько членов комиссии должно участвовать в работе комиссии. Для того, чтобы провести объективное расследование произошедших инцидентов приказом руководителя эксплуатирующей организации издается приказ о создании комиссии.
Напоминаем, что комиссия должна состоять не менее чем из трех участников. Нельзя, чтоб число участников было четным. В этом случае нарушаются принципы коллегиальности большинства. В комиссию по расследованию нельзя назначать руководителя подразделения, в котором произошли инциденты. Это может отразиться на объективности результатов, негативно повлияет на ход расследования и грозит конфликтом интересов.
Обратите внимание! В оперативном сообщении об инциденте один экземпляр направляют в профсоюз. Поэтому целесообразно включить в состав комиссии председателя первичной профсоюзной организации.
Оформление результатов расследования причин инцидентов на ОПО
По итогам расследования комиссия должна составить акт. Акт о расследовании инцидентов на ОПО — это внутренний распорядительный акт комиссии. В этом документе указывают, при каких обстоятельствах произошел инцидент, что послужило предпосылками для случившегося, какой был нанесен вред, сколько часов или дней не работали технические устройства и по чьей вине.
На этом этапе комиссия устанавливает не только причины инцидента, но и виновных лиц, анализирует, что нужно сделать для того, чтобы предотвратить повторение инцидентов. Акт является основанием для привлечения виновных должностных лиц к дисциплинарной ответственности.
Главное — это разработка плана мероприятий по устранению причин инцидентов для того, чтобы случившееся не произошло вновь. Форма акта должна быть приведена как приложение к вашему локальному нормативному акту — Положению о расследовании инцидентов.
Учет инцидентов, произошедших на ОПО. Форма журнала
Каждый инцидент нужно зарегистрировать в специальном журнале. В положении о расследовании инцидентов необходимо указать, что журнал должен содержать защиту от подлога и утери данных. Для этого нужно его зарегистрировать в делопроизводстве, прошить, пронумеровать все листы, скрепить печатью. Все записи в журнале ведутся в строгом хронологическом порядке.
Журнал учета инцидентов, произошедших на опасных производственных объектах
Списание по инциденту что это
ГОСТ Р ИСО/МЭК ТО 18044-2007
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология. Методы и средства обеспечения безопасности
МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security incident management
Дата введения 2008-07-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
Введение
— обнаружению, оповещению об инцидентах информационной безопасности и их оценке;
— реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после негативных воздействий (например, в областях поддержки и планирования непрерывности бизнеса);
— извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.
Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне.
Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации.
1 Область применения
В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей.
2 Нормативные ссылки
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ ИСО/МЭК 13335-1, ИСО/МЭК 17799, а также следующие термины с соответствующими определениями.
3.1 планирование непрерывности бизнеса (business continuity planning): Процесс обеспечения восстановления операции в случае возникновения какого-либо неожиданного или нежелательного инцидента, способного негативно воздействовать на непрерывность важных функций бизнеса и поддерживающих его элементов.
3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) [Information Security Incident Response Team (ISIRT)]: Группа обученных и доверенных членов организации.
4 Общие положения
4.1 Цели
В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:
— события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ ;
События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных мер ИБ, но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была успешной и, следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность, то есть не все события ИБ будут отнесены к категории инцидентов ИБ.
— идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;
— воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;
— из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.
4.2 Этапы
Для достижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:
1) планирование и подготовка;
Основное содержание этих этапов показано на рисунке 1.
4.2.1 Планирование и подготовка
Эффективный менеджмент инцидентов ИБ нуждается в надлежащем планировании и подготовке. Для обеспечения эффективности реакции на инциденты ИБ необходимо:
— разработать и документировать политики менеджмента инцидентов ИБ, а также получить очевидную поддержку этой политики заинтересованными сторонами и в особенности высшего руководства;
— разработать и в полном объеме документировать систему менеджмента инцидентов ИБ для поддержки политики менеджмента инцидентов ИБ. Формы, процедуры и инструменты поддержки обнаружения, оповещения, оценки и реагирования на инциденты ИБ, а также градации шкалы серьезности инцидентов должны быть отражены в документации на конкретную систему (следует отметить, что в некоторых организациях такая система может называться «Планом
реагирования на инциденты ИБ»);
Необходимо иметь определенную шкалу серьезности инцидентов с соответствующей классификацией. Эта шкала может состоять, например, из двух положений: «значительные» и «незначительные». Выбор градаций шкалы должен основываться на фактических или предполагаемых негативных воздействиях на бизнес-операции организации.
— обновить политики менеджмента ИБ и рисков на всех уровнях, то есть на корпоративном и для каждой системы, сервиса и сети отдельно с учетом системы менеджмента инцидентов ИБ;
— создать в организации соответствующее структурное подразделение менеджмента инцидентов ИБ, то есть ГРИИБ, с заданными обязанностями и ответственностью персонала, способного адекватно реагировать на все известные типы инцидентов ИБ. В большинстве организаций ГРИИБ является группой, состоящей из специалистов по конкретным направлениям деятельности, например при отражении атак вредоносной программы привлекают специалиста по инцидентам подобного типа;
— ознакомить весь персонал организации посредством инструктажей и (или) иными способами с существованием системы менеджмента инцидентов ИБ, ее преимуществами и с надлежащими способами сообщения о событиях ИБ. Необходимо проводить соответствующее обучение персонала, ответственного за управление системой менеджмента инцидентов ИБ, лиц, принимающих решения по определению того, являются ли события инцидентами, и лиц, исследующих инциденты;
— тщательно тестировать систему менеджмента инцидентов ИБ.
4.2.2 Использование системы менеджмента инцидентов информационной безопасности
При использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:
— обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);
— сбор информации, связанной с событиями ИБ, и оценку этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
— реагирование на инциденты ИБ:
— немедленно, в реальном или почти реальном масштабе времени;
— если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);
— если инциденты ИБ не находятся под контролем, то выполнить «антикризисные» действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);
— сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций [что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений];