Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Проведение штабных киберучений

Цель: проверка реагирования службы информационной безопасности и персонала компании на типовые сценарии инцидентов безопасности.

Штабные киберучения позволяют проверить как будет производиться реагирование на различные сценарии угроз и определить необходимую степень взаимодействия между различным персоналом, как со стороны службы информационной безопасности, так и со стороны других подразделений организации. 
В отличие от проведения тестирования на проникновение или проведения тренировок на киберполигоне штабные киберучения не требуют работы с инфраструктурой, но требуют построения четкого плана по минимизации рисков той или иной угрозы.
Примеры сценариев для киберучений

Способ реализации: самостоятельно или с привлечением внешних контрагентов/консультантов.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на проведение киберучений.
  • В результатах выполненных задач или в заметках к мере вести учет принятых корректирущих действий по результатам киберучений.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

CIS Critical Security Controls v8 (The 18 CIS CSC):
17.4
17.4 Establish and Maintain an Incident Response Process
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
Косвенно 17.5
17.5 Assign Key Roles and Responsibilities
Assign key roles and responsibilities for incident response, including staff from legal, IT, information security, facilities, public relations, human resources, incident responders, and analysts, as applicable. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
Косвенно 17.1
17.1 Designate Personnel to Manage Incident Handling
Designate one key person, and at least one backup, who will manage the enterprise’s incident handling process. Management personnel are responsible for the coordination and documentation of incident response and recovery efforts and can consist of employees internal to the enterprise, third-party vendors, or a hybrid approach. If using a third-party vendor, designate at least one person internal to the enterprise to oversee any third-party work. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
Косвенно РИ.12
РИ.12 Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
  • анализ инцидента;
  • определение источников и причин возникновения инцидента;
  • оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;
  • принятие мер по устранению последствий инцидента;
  • планирование и принятие мер по предотвращению повторного возникновения инцидента
NIST Cybersecurity Framework (RU):
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
Косвенно RS.MI-2
RS.MI-2: Смягчаются последствия от инцидента 
Косвенно PR.IP-9
PR.IP-9:  Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное  восстановление) 
Косвенно DE.AE-2
DE.AE-2: Обнаруженные события анализируются для определения целей и методов атаки 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.4 ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
Косвенно ИНЦ.3 ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами
Косвенно ИНЦ.6 ИНЦ.6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов
Косвенно ИНЦ.5 ИНЦ.5 Принятие мер по устранению последствий инцидентов
Косвенно ИНЦ.1 ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и реагирование на них
Косвенно ИНЦ.2 ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов
Приказ ФСБ России № 282 от 19.06.2019 "Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации":
п. 11
11. Субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
  • анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;
  • проведение мероприятий в соответствии с Планом;
  • определение в соответствии с Планом необходимости привлечения к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак подразделений и должностных лиц ФСБ России и Банка России.
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.16.1.1 A.16.1.1 Обязанности и процедуры
Средства реализации: Должна быть установлены обязанности руководства и процедуры, чтобы гарантировать быстрый, результативный и надлежащий ответ на инциденты информационной безопасности.
Косвенно A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
Косвенно A.6.1.1 A.6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Косвенно A.16.1.5 A.16.1.5 Ответные меры на инциденты информационной безопасности
Средства реализации: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документированными процедурами.
Косвенно A.16.1.7 A.16.1.7 Сбор свидетельств
Средства реализации: Организация должна определить и применять процедуры для идентификации, сбора, комплектования и сохранения информации, которая может служить в качестве свидетельств.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1 CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Косвенно CSC 19.3 CSC 19.3 Designate Management Personnel to Support Incident Handling
Designate management personnel, as well as backups, who will support the incident handling process by acting in key decision-making roles.
Косвенно CSC 19.2 CSC 19.2 Assign Job Titles and Duties for Incident Response
Assign job titles and duties for handling computer and network incidents to specific individuals, and ensure tracking and documentation throughout the incident through resolution.
SWIFT Customer Security Controls Framework v2022:
7 - 7.1 Cyber Incident Response Planning
7.1 Cyber Incident Response Planning
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.3 ИНЦ.3 Анализ компьютерных инцидентов
Косвенно ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
Косвенно ИНЦ.0 ИНЦ.0 Разработка политики реагирования на компьютерные инциденты
Косвенно ИНЦ.4 ИНЦ.4 Устранение последствий компьютерных инцидентов
Косвенно ИНЦ.2 ИНЦ.2 Информирование о компьютерных инцидентах
Косвенно ИНЦ.5 ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
NIST Cybersecurity Framework (EN):
RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
Косвенно DE.AE-2 DE.AE-2: Detected events are analyzed to understand attack targets and methods
Косвенно RS.MI-2 RS.MI-2: Incidents are mitigated
Косвенно PR.IP-9 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Косвенно Р. 6 п. 1 п.п. 2 п.п.п. 1
1. Цель и задачи менеджмента инцидентов ИБ. Основные цели менеджмента инцидентов ИБ, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ, должны определять:
  • создание условий для осуществления своевременного обнаружения и оперативного реагирования на инциденты ИБ, в том числе их закрытия;
  • предотвращение и (или) снижение негативного влияния инцидентов ИБ на выполнение банковских технологических процессов организации БС РФ и (или) ее клиентов;
  • оперативное совершенствование СОИБ организации БС РФ. 
Основные задачи, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ и решаемые в рамках менеджмента инцидентов ИБ, должны обеспечивать достижение установленных целей менеджмента инцидентов ИБ путем:
  • своевременного обнаружения инцидентов ИБ;
  • оперативного реагирования на инциденты ИБ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и регламентами, установленными внутренними документами организации БС РФ;
  • координации деятельности работников структурных подразделений организации БС РФ в рамках процессов реагирования на инциденты ИБ, в том числе их закрытия; 
  • ведения базы данных зарегистрированных событий ИБ и обнаруженных инцидентов ИБ;
  • накопления и повторного использования знаний по обнаружению инцидентов ИБ и реагированию на них; 
  • анализа, оценки эффективности и совершенствования процессов менеджмента инцидентов ИБ организации БС РФ; 
  • предоставления руководству организации БС РФ информации и отчетов по результатам выполнения процессов менеджмента инцидентов ИБ, в том числе информации о фактах обнаружения инцидентов ИБ и результатах реагирования на них. 
Косвенно Р. 8 п. 8
8.8. В организации БС РФ рекомендуется установить процедуры информирования руководства организации БС РФ о результатах анализа процессов менеджмента инцидентов ИБ, а также о значимых инцидентах ИБ, оказывающих существенное негативное влияние на выполнение бизнес-процессов организации БС РФ. 
Косвенно Р. 6 п. 1 п.п. 1
6.1.1. Политика менеджмента инцидентов ИБ организации БС РФ является внутренним документом организации БС РФ, устанавливающим принципы и основные положения, регламентирующие деятельность по менеджменту инцидентов ИБ организации БС РФ. 
Политика менеджмента инцидентов ИБ организации БС РФ разрабатывается службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждается руководством организации БС РФ. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.3 ИНЦ.3 Анализ компьютерных инцидентов
Косвенно ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
Косвенно ИНЦ.0 ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты
Косвенно ИНЦ.2 ИНЦ.2 Информирование о компьютерных инцидентах
Косвенно ИНЦ.5 ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Косвенно ИНЦ.4 ИНЦ.4 Устранение последствий компьютерных инцидентов
Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":
Косвенно II п.10
10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
  • разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
  • проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
  • обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
  • обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
  • осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
  • организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  • готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.
Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.

Связанные риски

Ничего не найдено