ISO/IEC 27035 Zarządzanie Incydentami w Bezpieczeństwie Informacji

ISO/IEC 27035: Przewodnik dotyczący reagowania na incydenty związane z bezpieczeństwem informacji

W dzisiejszym świecie biznesu incydenty związane z bezpieczeństwem informacji są uważane za znaczne ryzyko, które może poważnie zaszkodzić firmie. W celu zabezpieczenia zasobów informacyjnych firmy muszą szybko identyfikować, oceniać i skutecznie zarządzać incydentami.

 

Incydent związany z bezpieczeństwem informacji, to pojedyncze zdarzenie lub serie niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Takie sytuacje wymagają stworzenia odpowiedniej struktury oraz procedur, by móc zapobiegać ich wystąpieniu oraz skutecznie na nie reagować.

 

Czym jest ISO/IEC 27035?

ISO/IEC 27035 Zarządzanie incydentami związanymi z bezpieczeństwem informacji to norma o charakterze międzynarodowym, ponieważ trend bezpieczeństwa informacji jest globalny. Norma ISO/IEC 27035 stanowi usystematyzowaną odpowiedź na zainteresowanie firm w tym obszarze. Wskazuje najlepsze praktyki i wytyczne dotyczące prowadzenia strategicznego planu zarządzania i reagowania na incydenty. Ponadto norma ISO/IEC 27035 obejmuje określone procesy zarządzania zdarzeniami i potencjalnymi lukami w zabezpieczeniach informacji.

 

Norma ISO/IEC 27035 składa się z trzech części, wytyczne które wskazuje są uniwersalne. Znajdą one zastosowanie w każdej branży, niezależnie od wielkości przedsiębiorstwa. Norma ma na celu pomóc osobom posiadającym wszechstronną wiedzę specjalistyczną w wykrywaniu, zgłaszaniu i ocenie incydentów związanych z bezpieczeństwem informacji. ISO/IEC 27035 pomoże stać się specjalistą ds. bezpieczeństwa, który będzie w stanie zminimalizować skutki każdego incydentu organizacji. Ten międzynarodowy standard jest przewodnikiem dla osób pragnących zdobyć najwyższe umiejętności i wiedzę, aby chronić swoją organizację przed incydentami bezpieczeństwa i ograniczyć wynikające z nich skutki finansowe.

 

Powiązanie ISO/IEC 27035 i ISO/IEC 27001

ISO/IEC 27001 to najpopularniejsza i najważniejsza międzynarodowa norma dotycząca zarządzania bezpieczeństwem informacji. ISO/IEC 27001 określa wymagania dla tzw. Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Jednym z elementów SZBI jest zarządzanie incydentami. Celem normy ISO/IEC 27035 jest nie tylko zastosowanie wytycznych dotyczących zarządzania incydentami, przedstawienie procesów zarządzania nimi i wykrycie luk w SZBI, ale także pomoc w spełnieniu wymagań stawianych przez ISO/IEC 27001.

 

Budowa ISO 27035

Norma ISO 27035 składa się z 3 oddzielnych dokumentów:

  • ISO/IEC 27035-1 Zasady zarządzania incydentami - Przedstawia koncepcje i fazy zarządzania incydentami związanymi z bezpieczeństwem informacji;
  • ISO/IEC 27035-2 Wytyczne dotyczące planowania i przygotowania do reagowania na incydenty;
  • ISO/IEC 27035-3 Wytyczne dotyczące reagowania na incydenty w operacjach związanych z bezpieczeństwem teleinformatycznym;

 

Cykl zarządzania incydentami ISO/IEC 27035

ISO/IEC 27035 opiera się na następujących fazach zarządzania incydentami. Cykliczne podejście, gdzie ostatnia faza (Wyciągnięte wnioski) stanowi wkład do pierwszej fazy (Planowanie i przygotowanie) zapewnia ciągłe doskonalenie zarządzania.

 

Do faz cyklu należą:

1. Planowanie i przygotowanie

2. Identyfikacja i zgłoszenie incydentu

3. Ocena incydentu i podjęcie decyzji odnośnie reakcji na incydent

4. Odpowiedź na incydent

5. Wyciąganie wniosków

 

Faza planowania i przygotowania

Właściwe planowanie to skuteczna reakcja na incydent. Norma jako pierwszy krok przygotowawczy wskazuje ustanowienie polityki zarządzania incydentami związanymi z bezpieczeństwem informacji. Taka polityka powinna obejmować nie tylko ogólne podejście do zarządzania incydentami cyberbezpieczeństwa, ale także wymieniać korzyści płynące dla organizacji z odpowiednio ustrukturyzowanego zarządzania incydentami. Taka polityka powinna być znana wszystkim pracownikom oraz najwyższemu kierownictwu, co zapewni przydzielenie zasobów adekwatnych do podejmowanych działań.

 

ISO/IEC 27035 wymaga, aby istnienie polityki zarządzania incydentami związanymi z bezpieczeństwem informacji było odzwierciedlone w innych dokumentach wysokiego poziomu jak np. polityka bezpieczeństwa informacji w organizacji.

 

Polityka zarządzania incydentami związanymi z bezpieczeństwem informacji jest ogólnym dokumentem wysokiego poziomu. Powinna być podstawą procedur niższego szczebla. Podstawowym dokumentem dotyczącym zarządzania incydentami powinien być schemat zarządzania incydentami bezpieczeństwa informacji (zwany również planem reagowania), zawierający szczegółowe informacje proceduralne i techniczne dotyczące podejścia do zarządzania incydentami.

 

Częścią działań przygotowawczych powinno być również opracowanie programu szkoleniowego w zakresie incydentów cyberbezpieczeństwa i reagowania na incydenty. Taka świadomość pracownika może mieć krytyczny wpływ na prawidłową reakcję na incydent. Mogą wystąpić zdarzenia, które nie są wykrywane przez zautomatyzowane systemy, ale mogą być postrzegane przez pracowników jako anomalie – wtedy tylko od wiedzy pracownika zależy, czy takie zdarzenie będzie zgłoszone, czy nie. Nie należy więc lekceważyć tego kroku przygotowawczego. I wreszcie, co nie mniej ważne, należy utworzyć zespół reagowania na incydenty  - Incident Response Team (IRT).

 

Identyfikacja i zgłoszenie incydentu

ISO/IEC 27035 różnicuje następujące źródła informacji o zdarzeniach:

  • systemy zabezpieczeń technicznych;
  • analiza logów;
  • dział IT / helpdesk;
  • użytkownicy;
  • strony zewnętrzne.

 

Zarządzanie wszystkimi tymi źródłami może być nieco skomplikowane, więc możesz rozważyć użycie oprogramowania do automatyzacji zabezpieczeń do obsługi określonych interakcji i komunikacji.

 

Norma podkreśla, że wykryte podatności i rosnące ryzyka powinny wyzwalać odpowiednie działania ze strony zespołu reagowania na incydenty. Wszystkie zdarzenia powinny być śledzone w dedykowanym systemie śledzenia i monitorowania, obsługiwanym przez zespół reagowania na incydenty. Wskazuje również, że jednym z głównych celów tworzenia takiego systemu jest wsparcie zespołu w podejmowaniu odpowiednich decyzji. Celem jest, żeby były one podejmowane w oparciu o rzetelne dowody, dlatego do systemu należy wprowadzać jak najwięcej istotnych danych.

 

Ocena incydentu i podjęcie decyzji odnośnie reakcji na incydent

ISO/IEC 27035 proponuje dwupoziomowe podejście do oceny sytuacji. Oceny pierwszego zdarzenia dokonuje tzw. PoC (point of contact), który może nie być zespołem reagowania na incydenty (może to być np. helpdesk). PoC musi postępować zgodnie ze standardową procedurą operacyjną, aby określić, czy zdarzenie jest incydentem, czy nie.

 

Norma definiuje trzy obszary oceny, które wpływają na kategoryzację zdarzenia jako incydentu:

  • domena oddziaływania;
  • narażone procesy, informacje i aktywa;
  • wpływ na podstawowe usługi organizacji.

 

Takie podejście zapewnia, że fałszywe alarmy i inne nieistotne zdarzenia są eliminowane z dalszego przetwarzania, a zespół reagowania na incydenty nie angażuje się w działania niezwiązane z rzeczywistymi incydentami.

 

Następnie PoC decyduje, czy zdarzenie powinno zostać przekazane do IRT. Jeśli tak, IRT przeprowadza drugą ocenę, aby ponownie potwierdzić (lub zmienić) klasyfikację zdarzenia. Jeśli zdarzenie jest sklasyfikowane jako incydent, zadaniem IRT jest ustalenie priorytetów i zaplanowanie odpowiednich działań.

 

Norma wymaga również, aby ta faza obejmowała formalne przypisanie działań reagowania na incydenty odpowiednim osobom, rejestrowanie wszystkich działań IRT i elektroniczne gromadzenie dowodów.

 

Odpowiedź na incydent

Podczas tej fazy wykonywane są decyzje podjęte w poprzedniej fazie. ISO/IEC 27035 rozróżnia stan „kryzysowy” i stan „bezkryzysowy”. To bardzo ważne rozróżnienie w zakresie zarządzania ciągłością działania. Wiele incydentów, choć poważnych, nie zagraża ciągłości działania i nie wymaga uruchomienia procedur obsługi kryzysowej. Tak więc, jeśli IRT jest w stanie przejąć kontrolę nad incydentem, powinien podjąć odpowiednie działania i zapewnić, że organizacja odzyskała sprawność po incydencie. Jeśli nie jest to możliwe, należy eskalować obsługę incydentów do obsługi kryzysowej.

 

Podobnie jak w poprzedniej fazie, standard wymaga, aby wszystkie działania IRT były odpowiednio rejestrowane, a wszystkie dowody incydentów były zebrane i odpowiednio zabezpieczone.

 

Ważną częścią tej fazy jest komunikacj. W poprzednich fazach nie była potrzebna komunikacja poza zespołem reagowania na incydenty. Jednakże podczas reagowania na incydent, właściwa komunikacja z IRT może mieć kluczowe znaczenie. ISO/IEC 27035 stwierdza, że ​​taka komunikacja powinna odbywać się nie tylko wewnątrz organizacji, ale także być skierowana do wszystkich stron zainteresowanych, które muszą być zaangażowane do prawidłowego zarządzania incydentem.

 

Wyciąganie wniosków

Ta faza służy ciągłej poprawie bezpieczeństwa. Każdy incydent, po jego zamknięciu musi zostać wykorzystany, aby wyciągnąć z niego wnioski i poprawić:

  • narzędzia, konfiguracje i procedury bezpieczeństwa;
  • procesy zarządzania ryzykiem cyberbezpieczeństwa;
  • procesy zarządzania incydentami.

 

Organizacja może również zdecydować o podzieleniu się wyciągniętymi wnioskami z innymi organizacjami lub społecznością zajmującą się bezpieczeństwem.

 

Jakie są korzyści z wdrożenia normy ISO/IEC 27035?

Zaletą ISO/IEC 27035 jest fakt, że nie tylko nakreśla i uszczegóławia podejście do zarządzania incydentami, pozwalając organizacji na pełne planowanie i realizację tego zarządzania, ale podejmuje także działania prewencyjne.

 

Do głównych zalet wdrożenia wytycznych należą:

  • poprawa bezpieczeństwa informacji;
  • wzmocnienie ciągłości działania
  • ukierunkowanie na zapobieganiu incydentom bezpieczeństwa informacji,
  • poprawa priorytetyzacji działań;
  • poprawa jakości dowodów;
  • poprawa uzasadniania budżetu i zasobów;
  • poprawa zarządzania ryzykiem;
  • podnoszenie świadomości bezpieczeństwa;
  • doskonalenie polityk i procedur bezpieczeństwa.

 

Niektóre z tych korzyści są oczywiste dla praktyków cyberbezpieczeństwa. Ważne jest, by zauważyć jak mocno zarządzanie incydentami cybernetycznymi jest powiązane z innymi działaniami organizacji. Może je znacznie wspomóc, usprawniając jednocześnie realizację celów biznesowych organizacji.

Skontaktuj się z nami

„Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informujemy, iż Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa.  Państwa dane osobowe przetwarzane będą w celach kontaktowych niezbędnych do realizacji usługi, zgodnie z obowiązującymi przepisami prawa na podstawie art. 6 ust. 1 lit. f RODO.„

>>Wyrażam zgodę na przetwarzanie moich danych osobowych przez ISOQAR CEE sp. z o.o jako administratora danych osobowych, w celach otrzymywania informacji handlowych i marketingowych wysyłanych na podany adres e-mail na podstawie art. 6 ust. 1 lit. a RODO. Więcej informacji w Polityka prywatności

Polityka prywatności

Klauzula informacyjna w zakresie przetwarzania danych osobowych na potrzeby newsletter

W związku z obowiązywaniem od dnia 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, str. 1), zwanego dalej „rozporządzeniem RODO”, informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

  2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

  3. Pani/Pana dane osobowe będą przetwarzane w celach wysyłki i otrzymywania newslettera.

  4. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie wyrażonej przez Panią/Pana zgody (podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO

  5. Pani/Pana dane osobowe będą przetwarzane do czasu cofnięcia przez Panią/Pana zgody. 

  6. Odbiorcą Pani/Pana danych osobowych będą podmioty, którym Administrator zleca wykonywanie czynności, z którymi wiąże konieczność przetwarzania danych (podmioty przetwarzające) oraz podmioty publiczne na podstawie odrębnych przepisów prawa. 

  7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu prawo dostępu do treści danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. 

  8. Ma Pani/Pan prawo do cofnięcia zgody na przetwarzanie Pani/Pana danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  9. W przypadku uznania, że przetwarzanie przez Administratora Pani/Pana danych osobowych narusza przepisy Rozporządzenia ma Pani/Pan prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). 

  10. Podanie przez Panią/Pana danych osobowych jest dobrowolne, jednak jest warunkiem wysyłki newslettera.

  11. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany, nie będą poddawane profilowaniu.

  12. Pani/Pana dane osobowe mogą być przekazywane do państwa trzeciego (UK).

Klauzula informacyjna zapytanie ofertowe

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informuję, iż:

1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną:  iod@isoqar.pl

3. Pani/Pana dane osobowe przetwarzane będą w celu:

•             odpowiedzi na zapytanie ofertowe na podstawie art. 6 ust. 1 lit. f RODO

więcej informacji pod linkiem

•             kontaktu w celu przekazania informacji marketingowych i handlowych na podstawie art. 6 ust. 1 lit. a RODO

•             w celu realizacji prawnie uzasadnionego interesu Spółki, polegającego na ewentualnym ustaleniu lub dochodzeniu roszczeń lub obronie przed roszczeniami, na podstawie prawnie uzasadnionego interesu Spółki (art. 6 ust. 1 lit. f RODO).

4. Odbiorcą Pani/Pana danych osobowych będą wspólnicy i pracownicy Administratora w zakresie swoich obowiązków służbowych na podstawie upoważnienia.

5. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego ani organizacji międzynarodowej;

6. Pani/Pana dane osobowe będą przechowywane do czasu zakończenia współpracy lub do czasu cofnięcia przez Pani/Pana zgody.

7. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do przenoszenia danych.

8. Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego- Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;

9. Podanie przez Pana/Panią danych osobowych jest dobrowolne, jednak konieczne w celu realizacji przedmiotu umowy/ jest konieczne w związku z przepisami szczególnymi ustawy (przetwarzanie danych osobowych jest wymogiem ustawowym). W przypadku niewyrażenia zgody na przetwarzanie danych osobowy, Administrator może zrezygnować z zawarcia umowy.

10. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania tzn. żadne decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływające nie będą oparte wyłącznie na automatycznym przetwarzaniu danych osobowych i nie wiążą się z taką automatycznie podejmowaną decyzją.