Została opublikowana nowa wersja normy ISO/IEC 27035-1 :2023 (seria norm ISO/IEC 27035), która dostarcza dodatkowe wytyczne dla kontroli zarządzania incydentami określonymi w normie ISO/IEC 27002.
Wiemy już, że wszystkie kontrole, w tym zakresie powinny być wdrożone w oparciu o ryzyka związane z bezpieczeństwem informacji, które występują w organizacji. I tu pojawiają się jedna z większych przeszkód w funkcjonowaniu zarządzania bezpieczeństwem informacji (cyberbezpieczeństwem). Czy dokonana analiza ryzyka, a w szczególności identyfikacja podatności jest aktualna i adekwatna dla danej organizacji, czy raczej oparta jest o standardowe szablony uzyskane z nieznanych źródeł i całkowicie nie adekwatna do faktycznego stanu jaki jest w podmiocie.
Często organizacja lekceważy prawidłowe podejście do analizy ryzyka, a to dzięki niej rysuje się nam obraz zagrożeń i możliwość ich niwelowania, poprzez działania zapobiegające ich zmaterializowaniu się w jej działalności. Więc należy pamiętać, analiza ryzyka jest ciągłym procesem, który podmiot ma ciągle udoskonalać, aktualizować i weryfikować pod względem jego prawidłowości i skuteczności.
Prawidłowa analiza ryzyka i działania jakie są podejmowanie na jej podstawie ograniczą utratę podstawowych zasad bezpieczeństwa informacji (ochrony danych osobowych, cyberbezpieczeństwa) takich jak poufność, dostępność, integralność i zminimalizuje skutki prawne, finansowe oraz aspekt wiarygodności organizacji i jej podejścia do bezpieczeństwa informacji – jej reputacji.
Wróćmy jednak do zarządzania incydentami bezpieczeństwa informacji. W obecnych realiach mamy do czynienia coraz częściej (uwzględniając oficjalne informacje) z atakami hackerskimi związanymi z Ransomware lub podobnymi zdarzeniami, które powodują, że organizacja staje się bezużyteczna, w zakresie swojej działalności albo jej działalność jest ograniczona. Szczególnie z dużym problemem mają do czynienia podmioty medyczne, publiczne, finansowe (kryptowaluty).
Uwzględniając obecną tendencję i wykorzystanie już AI (sztucznej inteligencji) spowoduje to wzrost występowania zagrożeń od 40 do 60% rocznie, nie uwzględniając czynnika obecnej sytuacji na świecie jakim jest konflikt zbrojny w Ukrainie lub sytuacja polityczna w innych regionach.
Biorąc pod uwagę wszystkie zagrożenia (wynikające z analizy ryzyka 😊), należy być przygotowanym na wypadek zaistnienia incydentu w podmiocie, a najlepiej podejmować wszystkie działania w celu jego niewystąpienia i monitorowania, w przypadku możliwości jego wystąpienia (wymagane jest ciągłe monitorowanie bezpieczeństwa informacji). Sama dokumentacja tj.: polityki lub środki kontroli bezpieczeństwa informacji nie gwarantują całkowitej ochrony informacji, systemów informacyjnych, usług lub sieci. Po wdrożeniu środków kontroli prawdopodobnie pozostaną luki, które mogą zmniejszyć skuteczność bezpieczeństwa informacji i ułatwić wystąpienie incydentów związanych z bezpieczeństwem informacji.
Może to mieć potencjalnie bezpośrednie i pośrednie negatywne konsekwencje dla działalności biznesowej organizacji. Ponadto nieuniknione jest, że nowe przypadki niezidentyfikowanych wcześniej zagrożeń powodują wystąpienie incydentów. Niewystarczające przygotowanie organizacji do radzenia sobie z takimi incydentami sprawia, że każda reakcja jest mniej skuteczna i zwiększa stopień potencjalnych negatywnych konsekwencji biznesowych (prawnych).
Dlatego dla każdej organizacji pragnącej mieć silny program bezpieczeństwa informacji niezbędne jest ustrukturyzowane i zaplanowane podejście do następujących działań:
– zaplanować i przygotować zarządzanie incydentami związanymi z bezpieczeństwem informacji, w tym politykę, organizację, plan, wsparcie techniczne, szkolenie świadomości i umiejętności, itp.;
– wykrywać, zgłaszać i oceniać incydenty związane z bezpieczeństwem informacji oraz podatności związane z danym incydentem;
– reagowanie na incydenty związane z bezpieczeństwem informacji, w tym uruchomienie odpowiednich środków kontroli w celu zapobiegania, ograniczania i usuwania skutków;
– odpowiednio postępować ze zgłoszonymi słabościami bezpieczeństwa informacji związanymi z incydentem;
– wyciągać wnioski z incydentów dotyczących bezpieczeństwa informacji i podatności związanych z incydentem, wdrażać i weryfikować kontrole zapobiegawcze oraz wprowadzać ulepszenia do ogólnego podejścia do zarządzania incydentami dotyczącymi bezpieczeństwa informacji.
Norma ISO/IEC 27035 (seria norm) ma na celu uzupełnienie innych norm i dokumentów zawierających wytyczne dotyczące badania i przygotowania do badania incydentów związanych z bezpieczeństwem informacji. Jest ona kompleksowym przewodnikiem i stanowi odniesienie do pewnych podstawowych zasad i zdefiniowanego procesu, które mają zapewnić, że narzędzia, techniki i metody mogą być odpowiednio dobrane i wykazane, że są odpowiednie do celu, jeśli zajdzie taka potrzeba.
No i co z tym Incydentem?
Wiele aspektów zarządzania bezpieczeństwem informacji, to przede wszystkim przeciwdziałanie występowania zakłóceń w zarządzaniu przetwarzaniem informacji (ochrony danych osobowych), ale co wtedy jeżeli one jednak wystąpią? Zdarzenia i incydenty mogą wystąpić z kilku powodów, a mianowicie:
– podatności techniczne lub technologiczne, organizacyjne lub fizyczne, częściowo wynikające z niepełnego wdrożenia ustalonych kontroli, które mogą zostać wykorzystane, ponieważ całkowite wyeliminowanie ekspozycji lub ryzyka jest mało prawdopodobne. Należy zwrócić uwagę na ciągłe monitowanie (kontrolowanie) zarządzania bezpieczeństwem informacji pod względem techniczny, organizacyjnym i prawnym;
– popełnienie błędów przez ludzi (personel, osoby współpracujące). Należy zapewnić ciągłe uświadamianie poprzez szkolenia, spotkania informacyjne. Wprowadzić ograniczenia w zakresie możliwości popełnienia błędów i zapewnienia rozliczalności wykonywanych czynności przez personel.
– rozwiązania technologiczne są nieaktualne do występujących podatności i zagrożeń. Brak wsparcia producenta, brak aktualizacji firmware, oprogramowania lub nieodpowiednia konfiguracja urządzeń.
– ocena ryzyka jest niekompletna, a ryzyko zostało pominięte; Nieprawidłowa przeprowadzona ocena ryzyka, brak ciągłości jej aktualizowania i monitorowania oraz działań jej niwelujących.
– traktowanie ryzyka nie obejmuje w wystarczającym stopniu ryzyka. Często ryzyko nie jest odpowiednio ocenione i scenariusze jego występowania nie podlegają adekwatnej ocenie przez kompetentne osoby;
– zmiany w kontekście (wewnętrznym i/lub zewnętrznym), w wyniku których pojawiają się nowe rodzaje ryzyka lub dotychczasowe rodzaje ryzyka nie są już w wystarczającym stopniu uwzględnione.
Należy pamiętać, że wystąpienie zdarzenia związanego z bezpieczeństwem informacji nie oznaczać, że atak się powiódł lub że istnieją jakiekolwiek skutki dla poufności, integralności lub dostępności, tzn. nie wszystkie zdarzenia związane z bezpieczeństwem informacji są klasyfikowane jako zdarzenia związane z bezpieczeństwem informacji.
Określa się, że incydenty związane z bezpieczeństwem informacji mogą być celowe (np. spowodowane przez złośliwe oprogramowanie lub naruszenie dyscypliny), przypadkowe (np. spowodowane przez nieumyślny błąd człowieka) lub środowiskowe (np. spowodowane przez pożar lub powódź) i mogą być spowodowane środkami technicznymi (np. wirusy komputerowe) lub nietechnicznymi (np. utrata lub kradzież dokumentów papierowych).
Incydenty mogą obejmować nieuprawnione ujawnienie, modyfikację, zniszczenie lub niedostępność informacji albo uszkodzenie lub kradzież aktywów organizacyjnych zawierających informacje. Wszystkie zagrożenie mogą wykorzystywać podatności (słabości) w systemach informatycznych, usługach lub sieciach, powodując wystąpienie zdarzeń związanych z bezpieczeństwem informacji, a tym samym potencjalnie powodując incydenty w informacji.
Odpowiednia koordynacja działań jest ważnym aspektem w zarządzaniu incydentami bezpieczeństwa informacji. Wiele incydentów może przekraczać obszary organizacyjne i wtedy stają się trudniejsze do rozwiązania przez pojedynczą organizację lub część organizacji, w której incydent został wykryty. Organizacje powinny zaangażować się w realizację ogólnych celów zarządzania incydentami. Koordynacja zarządzania incydentami jest wymagana w całym procesie zarządzania incydentami, aby wiele organizacji mogło współpracować przy obsłudze incydentów bezpieczeństwa informacji. Jest to na przykład rola zespołów CERT i CSIRT.
Wymiana informacji jest niezbędna dla koordynacji zarządzania incydentami, gdzie różne organizacje dzielą się informacjami o zagrożeniach, atakach i podatnościach, tak aby wiedza każdej organizacji przynosiła korzyści drugiej. Organizacje powinny chronić informacje wrażliwe podczas wymiany informacji i komunikacji.
Należy pamiętać, że rozwiązanie incydentu bezpieczeństwa informacji powinno nastąpić w określonym czasie, aby uniknąć niedopuszczalnych szkód lub wynikającej z nich katastrofy. To opóźnienie w rozwiązaniu nie jest tak istotne w przypadku zdarzenia, podatności czy niezgodności.
Czy pomoże nam odpowiednie zarządzanie incydentami?
Oczywiście, że pomoże. Po pierwsze, uporządkuje działania związane z występowaniem incydentów i odpowiednie postępowanie w tym zakresie. Kluczowym elementem ogólnej strategii bezpieczeństwa informacji organizacji powinno być wprowadzenie kontroli, w tym odpowiednich procedur, które umożliwią zorganizowane i dobrze zaplanowane podejście do zarządzania incydentami bezpieczeństwa informacji. Głównym celem jest uniknięcie lub ograniczenie wpływu incydentów bezpieczeństwa informacji w organizacji, w celu zminimalizowania bezpośrednich i pośrednich szkód w jej działalności spowodowanych przez incydenty.
Uszkodzenie aktywów informacyjnych może mieć negatywne konsekwencje dla operacji, perspektywy biznesowe i operacyjne organizacji i duży wpływ na określenie bardziej szczegółowych celów zarządzania incydentami bezpieczeństwa informacji. Cele zorganizowanego, dobrze zaplanowanego podejścia do zarządzania incydentami powinny obejmować przede wszystkim:
a) Wykrywania i skuteczne postępowanie ze zdarzeniami związanymi z bezpieczeństwem informacji, w szczególności decydowanie, czy należy je zakwalifikować jako incydenty związane z bezpieczeństwem informacji;
b) Zidentyfikowane incydenty powinny być ocenianie i reakcja na nie powinna być najbardziej odpowiednia i skuteczna oraz realizowana we wcześniej ustalonych ramach czasowych;
c) niekorzystny(e) wpływ(y) incydentów bezpieczeństwa informacji na organizację i zaangażowane strony oraz ich działania są minimalizowane poprzez odpowiednie kontrole w ramach reagowania na incydenty;
d) ustanowiono powiązanie z odpowiednimi elementami zarządzania kryzysowego i zarządzania ciągłością działania poprzez proces eskalacji. Istnieje potrzeba szybkiego przeniesienia odpowiedzialności i działań z zarządzania incydentem do zarządzania kryzysem, gdy wymaga tego sytuacja, przy czym kolejność ta jest odwracana po rozwiązaniu kryzysu, aby umożliwić całkowite rozwiązanie incydentu;
e) podatności bezpieczeństwa informacji związane z incydentem lub odkryte podczas incydentu są oceniane i odpowiednio traktowane w celu zapobiegania lub ograniczania incydentów. Ocena ta może być przeprowadzona przez zespół reagowania na incydent (IRT) lub inne zespoły w organizacji i zaangażowane strony, w zależności od podziału obowiązków;
f) szybkie wyciąganie wniosków z incydentów naruszenia bezpieczeństwa informacji, związanych z nimi słabych punktów i zarządzania nimi. Ten mechanizm informacji zwrotnej ma na celu zwiększenie szans na zapobieganie przyszłym incydentom bezpieczeństwa informacji, poprawę wdrażania i stosowania środków kontroli bezpieczeństwa informacji oraz poprawę ogólnego planu zarządzania incydentami bezpieczeństwa informacji.
Organizacje, aby pomóc w osiągnięciu tych celów powinny zapewnić, że incydenty związane z bezpieczeństwem informacji są udokumentowane w spójny sposób, przy użyciu odpowiednich standardów lub procedur kategoryzacji incydentów, klasyfikacji, priorytetyzacji (hierarchii ważności) i udostępniania, tak aby można było uzyskać metryki z zagregowanych danych w danym okresie czasu.
Ma to na celu dostarczenie cennych informacji wspomagających proces podejmowania decyzji strategicznych przy inwestowaniu w środki kontroli bezpieczeństwa informacji. System zarządzania zdarzeniami związanymi z bezpieczeństwem informacji powinien być w stanie udostępniać informacje odpowiednim stronom wewnętrznym i zewnętrznym.
Koniec części pierwszej
W części drugiej dowiesz się jakie korzyści wynikając z ustrukturyzowanego podejścia zarządzania incydentami bezpieczeństwa informacji.