Zdarzenia, incydenty i zarządzanie
- Patryk Królikowski,
- 03.03.2008
Kiedy organizacja, a wraz z nią struktura informatyczna zaczynają się rozrastać, pojawiają się problemy, które spędzają sen z powiek osób odpowiedzialnych za bezpieczeństwo IT. Objęcie czujnym okiem kilku systemów bezpieczeństwa, kilkudziesięciu serwerów, kilkuset urządzeń sieciowych, z których każde generuje tony informacji w różnych formatach - to prawdziwa "Mission Impossible". Prezentujemy bardzo ogólne spojrzenie na "Incident Management", zagadnienie na tyle skomplikowane, że nie mieści się w całości w tym krótkim opracowaniu.
Kiedy organizacja, a wraz z nią struktura informatyczna zaczynają się rozrastać, pojawiają się problemy, które spędzają sen z powiek osób odpowiedzialnych za bezpieczeństwo IT. Objęcie czujnym okiem kilku systemów bezpieczeństwa, kilkudziesięciu serwerów, kilkuset urządzeń sieciowych, z których każde generuje tony informacji w różnych formatach - to prawdziwa "Mission Impossible". Prezentujemy bardzo ogólne spojrzenie na "Incident Management", zagadnienie na tyle skomplikowane, że nie mieści się w całości w tym krótkim opracowaniu.
Mówiąc o zarządzaniu incydentami, należy przede wszystkim poprawnie zrozumieć dwa terminy, którymi będziemy się dalej posługiwali - zdarzenie i incydent.
Według normy PN/ISO 27001:2007 zdarzeniem związanym z bezpieczeństwem informacji jest taki stan systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem.
Incydentem bezpieczeństwa natomiast możemy nazwać takie niepożądane lub niespodziewane pojedyncze zdarzenie lub ich serię, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Wynika stąd zatem, że incydent jest pojęciem zdecydowanie szerszym, niż zdarzenie. Wystąpienie określonego zdarzenia nie musi równać się naruszeniu zasad bezpieczeństwa. Natomiast powstanie incydentu stanowi dla nich (zasad) bezpośrednie zagrożenie.
Kolejnym aktem normatywnym, który koniecznie powinien znaleźć się na podorędziu, powinien być ISO/IEC TR 18044:2004. Jest to tak naprawdę raport techniczny pokazujący, w jaki sposób powinno odbywać się zarządzanie incydentami bezpieczeństwa. Zawiera nie tylko wskazówki, ale również przykłady incydentów bezpieczeństwa wraz z wyjaśnieniem ich przyczyn. Traktuje także o dokumentacji, jaka powinna być prowadzona podczas wdrażania zasad zarządzania incydentami.
Poza tymi dwoma dokumentami tematyka związana z incydentami bezpieczeństwa pojawia się także we wszelkiego rodzaju metodykach. Przykładem może być ITIL (Information Technology Insfrastructure Library) zawierająca między innymi stosunkowo niewielki dział poświęcony Incident Management. ITIL wskazuje w nim, jak powinien wyglądać proces zarządzania incydentami, aby możliwe było jak najszybsze powrócenie do stanu "normalności", minimalizując przy tym negatywny wpływ na działania biznesowe.
Normalność to takie funkcjonowanie usług, które jest zgodne z SLA (Service Level Agreement). ITIL rozumie incydent w sposób zbliżony do normy PN/ISO 27001:2007, z tym że nacisk położony jest tutaj na cele biznesowe i utrzymanie jakości świadczonych usług. Innym przykładem metodyki, czy też zestawu najlepszych praktyk, która porusza problem Incident Management jest CoBIT (Control Objectives for Information and related Technology). Stanowi ona, według wielu specjalistów, znakomite uzupełnienie w tym temacie dla ITIL.
Warto też wspomnieć o wytycznych publikowanych w słynnej serii 800 przez amerykański NIST (National Institute of Standards and Technology). Nie należy pomijać również wskazówek stworzonych przez stowarzyszenie ISSA (Information Systems Security Association) - GAISP (Generally Accepted Information Security Principles) - m.in. zasada BFP-7 mówiąca, że kierownictwo powinno zapewnić zdolność do reagowania oraz umożliwić rozwiązywanie incydentów związanych z naruszeniem bezpieczeństwa informacji tak szybko i efektywnie, aby zminimalizować wpływ incydentu na działalność biznesową oraz zminimalizować prawdopodobieństwo wystąpienia podobnych incydentów w przyszłości.
Wspomnieliśmy, że zarządzanie incydentami to proces. Musi zatem składać się z pewnych faz. W zależności od podejścia, model procesu może przybierać różne postaci.