Управление инцидентами информационной безопасности

Проведение расследований кибер-атак.
Проведение расследований инцидентов информационной безопасности.
Результат проведения расследования инцидента информационной безопасности.

Развитие и совершенствование компьютерных технологий и сферы их применения, внедрение информационных систем во все сферы жизнедеятельности человека кроме упрощения и оптимизации процессов, способствуют появлению новых видов преступных посягательств, объектами которых являются информация и денежные средства.

С каждым годом возрастает количество преступлений, совершаемых с использованием компьютерных технологий, которые задевают как физических так и юридических лиц.
Все чаще юридические лица несут репутационные и финансовые потери от кражи информации, составляющей коммерческую тайн, подвергаются атакам, терпят убытки из-за использования вредоносного программного обеспечения или по вине нерадивых сотрудников.

Под прицелом находится неприкосновенность частной жизни, тайны переписки и телефонных переговоров, авторские и смежные права, коммерческая и банковская тайны, денежные средства.

Помочь разобраться в инцидентах компьютерной безопасности могут наши специалисты.

Проведение расследований инцидентов ИБ и кибер-атак

Специалисты нашей организации проводят расследование кибер-атак, совершаемых на всех уровнях (физическом, канальном, сетевом, транспортном, сеансовом, уровнях представления и прикладном). К таким атакам относятся DDoS атаки, различного рода ARP Poisoning, использование вредоносных программ, фишинга и др. Предусмотрены программы мониторинга, изучения безопасности ресурсов и сетей, подготовка отчетов и предложений по модернизации.

Расследование инцидентов информационной безопасности

Обращение в нашу компанию для проведения расследования инцидента информационной безопасности может быть связано с нежеланием огласки произошедшего инцидента, для ускорения процесса расследования или необходимостью получения доказательной базы перед обращением в правоохранительные органы или суд.

Примерами инцидентов информационной безопасности могут быть:

— разглашение конфиденциальной или внутренней информации;
— неправомерный доступ к компьютерной информации, относящейся к категории ограниченного доступа (личным и корпоративным электронным почтовым адресам, базам данных предприятия, учетным записям и документам и др.);
— несанкционированное копирование, удаление или модификация компьютерной информации;
— блокирование компьютерной информации;
— использование вредоносных программ;
— мошеннические действия;
— хищение денежных средств;
— скрытый майнинг криптовалют в корпоративной сети.

Одной из новых угроз информационной безопасности с недавних пор стал скрытый манинг, который зачастую связан с использованием вредоносных программ и является одной из новых угроз информационной безопасности.

На протяжении 2017 года и за первый месяц 2018 года участились обращения, связанные с необходимостью информационно-технического исследования и получения заключения эксперта в отношении различного рода инцидентов информационной безопасности, связанных с функционированием программ, предназначенных для майнинга криптовалют.

К основным рискам стоит отнести две основные проблемы, таящиеся за использованием «нестандартных» методов майнинга.

Во-первых, при распространении программ для скрытого майнинга используются вредоносные программы — «загрузчики», которые подгружают на зараженных компьютер основной функционал с ресурсов, посредством которых распространяются и другого типа программы, в частности, предназначенные для хищения идентификационных данных пользователей или обеспечивающих доступ для последующего совершения хищения денежных средств (посредством ДБО) или компьютерной информации.

Руководителям организации мы настоятельно рекомендуем провести аудит безопасности компьютерной техники, серверов, да и сети с целью обнаружения и пресечения и в сети «бомбы замедленного действия» в виде сомнительного программного обеспечения для майнинга.

Во-вторых, желание сотрудника подзаработать, устанавливая на компьютерах организации безобидное программное обеспечение для майнига наносит огромный ущерб информационной безопасности предприятия, нанося удар изнутри защищенной системы.

Расследование инцидентов информационной безопасности специалистами и экспертами нашей компании осуществляется совместно с частными детективами, имеющими лицензию на осуществление детективной деятельности на территории России.

Результат проведения расследования инцидента информационной безопасности

В результате проведения расследования наши специалисты помогут определить источник угрозы, обстоятельства, приведшие к возникновению инцидента, окажут помощь в фиксации доказательной базы и следов совершенного компьютерного преступления.
Результатом расследования является заключение специалиста (специалистов), которое в дальнейшем можно использовать при обращении с заявлением в правоохранительные органы или суд.

Основываясь на большом практическом опыте, можно с уверенность говорить, что наличие готового заключения специалиста ускоряет общий процесс расследования: рассмотрения заявления о преступлении, принятие решения о возбуждении уголовного дела, наложение ареста на банковские счета другое имущество, установление лиц, причастных к хищению денежных средств.

Анализ данных, полученных в ходе проведения расследования инцидента, позволяет установить схему совершения неправомерных действий, а зачастую и лиц, причастных к их совершению.

Для корпоративных клиентов существует система абонентского обслуживания по долгосрочным договорам, предусматривающая существенные скидки при обращении в Центр Безопасности при проведении компьютерных экспертиз, исследований, расследований инцидентов информационной безопасности.

Управление инцидентами — один из важнейших процессов управления информационной безопасностью. Организациям важно правильно и своевременно отслеживать обработку инцидентов: идентифицировать, классифицировать, информировать, сдерживать, расследовать и устранять последствия.

Пользователям ViPNet TIAS доступна глубокая интеграция с Системой управления инцидентами (СУИ) «Перспективного мониторинга», в которую передаются карточки инцидентов для совместного разбора и реагирования. Аналитик может прямо из интерфейса СУИ запросить необходимую информацию о связанных с инцидентом событиях из ViPNet TIAS, дополнить её вручную, оповестить конкретных сотрудников ИБ- и ИТ-служб и передать рекомендации по реагированию на исполнение.

Создание карточки инцидента информационной безопасности

В Системе управления инцидентами главной сущностью является карточка инцидента, в которой собирается вся связанная с инцидентом информация и с которой работают сотрудники Центра мониторинга и сотрудники группы реагирования на стороне заказчика.

Карточка инцидента автоматически создаётся ViPNet TIAS или заводится вручную сотрудниками ИБ-службы заказчика или Центра мониторинга нашей компании.

Для инцидента автоматически или вручную устанавливаются:

  • класс инцидента;
  • признаки инцидента;
  • вовлечённые активы;
  • критичность.

Все поля карточки инцидента можно корректировать вручную.

Карточки инцидента и относящаяся к инциденту информация, включая пикапы трафика, файлы, образцы вредоносного кода, индикаторы компрометации и т.д., находятся в отказоустойчивом, зарезервированном по оборудованию, каналам связи и электропитанию хранилище не менее трёх лет.

Оповещение

Дежурная смена Центра мониторинга получает оповещения об обнаруженном инциденте в реальном времени в интерфейсе Системы управления инцидентами.

Ответственные сотрудники организаций, информационные системы которых подключены к Центру мониторинга, получают оповещения по почте, смс или телефону согласно ролевой модели.

Реагирование

Threat Intelligence Analytics System умеет автоматически выявлять 295 кластеров инцидентов ИБ. Для каждого такого кластера Система управления инцидентами предоставляет заранее разработанные стандартные рекомендации по реагированию.

Пример рекомендаций

После подробного разбора инцидента аналитики Центра мониторинга предлагают дополнительные меры реагирования, которые помогут:

  • Расследовать инцидент — установить источник атак и причастных к инциденту лиц, выявить косвенно затронутые инцидентом ресурсы, собрать доказательства.
  • Снизить негативное влияние на контролируемую систему, быстрее восстановить работоспособность затронутых узлов.
  • Исключить повторение подобных инцидентов в будущем.

Если все рекомендации по реагированию выполнены, и на узле в период от двух недель до месяца связанная с инцидентом активность не повторяется, то инцидент закрывается.

Отчётность

Примеры отчётов:

Отчёт Центра мониторинга за II квартал 2016 года.

Отчёт Центра мониторинга за III квартал 2016 года.

Отчёт Центра мониторинга за IV квартал 2016 года.

Отчёт Центра мониторинга за I квартал 2017 года.

Отчёт Центра мониторинга за II квартал 2017 года.

Отчёт Центра мониторинга за второе полугодие 2017 года.

Отчёт Центра мониторинга за первое полугодие 2018 года.

Менеджмент инцидентов ИБ относится к управлению эккаунтингом, которое связано с процессом сбора, обработки и анализа данных о работе организации, их сравнения с исходными и плановыми показателями, с целью своевременного выявления проблем, вскрытия резервов для более полного использования имеющегося потенциала.

ГОСТ Р ИСО/МЭК 27001-2006: система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Составной частью системы общего менеджмента ИБ является система менеджмента инцидентов ИБ, предназначенная для комплексного решения следующих задач:

  • обнаружение, информирование и учет инцидентов ИБ;
  • реагирование на инциденты ИБ, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
  • анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения ИБ в целом.

Определение и понятие инцидента информационной безопасности:

ГОСТ Р ИСО/МЭК 18044-2007: Событие информационной безопасности: Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

ГОСТ Р ИСО/МЭК 27001:2006: Инцидент информационной безопасности: любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В стандарте приводится также перечень основных видов инцидентов ИБ:

  • утрата услуг, оборудования или устройств;
  • системные сбои или перегрузки;
  • ошибки пользователей;
  • несоблюдение политики или рекомендаций по ИБ;
  • нарушение физических мер защиты;
  • неконтролируемые изменения систем;
  • сбои программного обеспечения и отказы технических средств;
  • нарушение правил доступа.

Поделиться записью:

  • Введение
  • Этапы управления инцидентами и событиями ИБ
  • Обнаружение компьютерных атак
  • Анализ данных о событиях безопасности
  • Регистрация инцидентов
  • Реагирование на инциденты и ликвидация их последствий
  • Установление причин инцидентов
  • Анализ результатов устранения последствий инцидентов
  • Заключение

Введение

Практики построения процесса управления инцидентами и событиями ИБ будут рассмотрены в разрезе международных стандартов и Методических рекомендаций по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – Методические рекомендации ГосСОПКА).

Этапы управления инцидентами и событиями ИБ

Снижение потенциальных рисков нарушения доступности, целостности и конфиденциальности информационных ресурсов вследствие инцидентов ИБ может быть достигнуто путем их своевременного обнаружения в комплексе с реагированием. Более того, реагирование на инциденты ИБ – часто менее дорогостоящее и более эффективное средство, чем их расследование, так как возникший инцидент ИБ может привести к сбою работоспособности систем, сервисов, сетей, и, как следствие, к длительной недоступности критичных бизнес-процессов, потере / модификации передаваемой или хранимой информации без возможности ее восстановления, репутационным рискам владельца информационных ресурсов и контрагентов. Практический подход к построению эталонного процесса подробно описан в международных стандартах:

  • ISO/IEC 27001:2005 Information security management system. Requirements – стандарт, который содержит как рекомендации по построению, внедрению, использованию и поддержке системы менеджмента ИБ в целом, так и подходы к управлению инцидентами ИБ.
  • NIST SP 800-61 Computer security incident handling guide – полноценное руководство по обработке инцидентов ИБ, которое описывает различные подходы к реагированию на инциденты и их обработке.
  • CMU/SEI-2004-TR-015 Defining incident management processes for CISRT – документ для оценки эффективности работы подразделения CISRT (Critical Incident Stress Response Team), обеспечивающего предотвращение, обработку и реагирование на инциденты ИБ.
  • ISO/IEC TR 18044:2004 Information security incident management –документ устанавливает рекомендации к менеджменту инцидентов ИБ в отношении планирования, эксплуатации, анализа и улучшения процесса.
  • NIST SP 800-83 Guide to Malware Incident Prevention and Handling – руководство по предотвращению и обработке инцидентов, связанных с заражением рабочих станций и ноутбуков вредоносным программным обеспечением.
  • NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response – руководство по техникам проведения расследований в рамках реакции на выявленные инциденты.

Практический подход в российской нормативной документации подробно описан в следующих стандартах и рекомендациях:

  • Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» подробно описывает стадии планирования, эксплуатации, анализа и улучшения системы управления инцидентами безопасности.
  • Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016) определяет необходимость выполнения организациями банковской системы Российской Федерации деятельности по выявлению инцидентов ИБ и реагированию на инциденты ИБ.
  • Методические рекомендации ГосСОПКА разработаны для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА, государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА. Рекомендации разработаны Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации в соответствии с основными положениями следующих нормативных документов:
    • Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
    • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом Российской Федерации 03.02.2012 № 803);
    • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом Российской Федерации 12.12.2014 № К 1274).

Каждый из вышеперечисленных документов с разной степенью детализации и в различной структуре описывает полный набор мер построения процесса управления инцидентами и событиями ИБ. Выполнение любого из данных стандартов целесообразно для большинства организаций. Однако стоит выделить, что в целом Методические рекомендации ГосСОПКА являются локализацией и дополнением к вышеперечисленным международным стандартам. В общем случае жизненный цикл управления событиями и инцидентами ИБ принято разделять на несколько основных последовательных этапов:

  1. Обнаружение компьютерных атак.
  2. Анализ данных о событиях безопасности.
  3. Регистрация инцидентов.
  4. Реагирование на инциденты и ликвидация их последствий.
  5. Установление причин инцидентов.
  6. Анализ результатов устранения последствий инцидентов.

Далее рассмотрим каждый этап процесса управления инцидентами и событиями ИБ подробнее.

Обнаружение компьютерных атак

Целью обнаружения компьютерных атак является своевременное реагирование на связанные с ними инциденты для дальнейшего принятия мер по ликвидации последствий таких инцидентов. В ходе деятельности по обнаружению компьютерных атак реализуются следующие процессы:

  • Контроль за реализацией единых правил эксплуатации средств обнаружения компьютерных атак на информационные ресурсы.
  • Контроль за централизованным обновлением баз решающих правил для средств обнаружения компьютерных атак.
  • Выявление ранее неизвестных компьютерных атак сетевого уровня, в том числе с применением средств анализа сетевого трафика на каналах связи.
  • Выявление ранее неизвестных компьютерных атак, проводимых с использованием вредоносного программного обеспечения, в том числе с использованием методов поведенческого анализа программного обеспечения.
  • Разработка решающих правил для неизвестных компьютерных атак.

Стоит отметить, что в отличие от международных практик, в соответствии с которыми организация самостоятельно определяет сегменты ответственности, вышеперечисленные процессы в Методических рекомендациях ГосСОПКА распространяются только на сегменты, находящиеся в зоне ответственности сегмента ГосСОПКА, и при обнаружении ранее неизвестных компьютерных атак центром ГосСОПКА проводятся мероприятия по реализации функции анализа угроз ИБ.

Анализ данных о событиях безопасности

Целью анализа данных о событиях безопасности является выявление инцидентов ИБ, в том числе связанных с ранее неизвестными компьютерными атаками, а также инцидентов, связанных с недостаточной эффективностью принимаемых мер защиты информации. В соответствии с Методическими рекомендациями ГосСОПКА, для реализации анализа данных центры ГосСОПКА осуществляют сбор результатов работы всех средств защиты информации, используемых в соответствии с политикой безопасности, принятой в информационных системах. Это такие источники, как:

  • Средства обнаружения атак и межсетевые экраны, применяемые на каналах связи, по которым осуществляется доступ к информационным ресурсам.
  • Средства анализа сетевого трафика, использующие методы интеллектуального анализа данных.
  • Средства обнаружения атак и межсетевых экранов, применяемые в локальных вычислительных сетях, в которых размещены компоненты информационных ресурсов.
  • Средства поведенческого анализа программного обеспечения.

Сбор информации из указанных источников рекомендуется проводить в автоматизированном режиме. При этом реализуются правила нормализации событий ИБ. Сведения о событиях безопасности сопоставляются со сведениями об уязвимостях компонентов информационных ресурсов для прогнозирования возможных действий злоумышленника при проведении компьютерных атак. При проведении анализа данных о событиях безопасности с использованием автоматизированных средств применяются правила корреляции. Примеры инцидентов ИБ, выявленных автоматизированной системой, приведены на рисунке 1.
Рисунок 1. Примеры инцидентов ИБ. Правила корреляции определяются ответственными сотрудниками или, в соответствии с Методическими рекомендациями ГосСОПКА, сотрудниками центра ГосСОПКА с учетом сведений, полученных на этапах инвентаризации и выявления уязвимостей информационных ресурсов. В процессе функционирования проводится постоянная работа по адаптации источников данных о событиях безопасности со средствами их анализа для повышения эффективности обнаружения компьютерных атак, а также работа по формированию новых правил корреляции и сигнатур.

Регистрация инцидентов

Регистрацию инцидентов рекомендуется осуществлять с использованием автоматизированных средств учета и обработки инцидентов на основе показателей, влияющих на степень негативного влияния инцидента ИБ, так как ручной процесс обработки инцидентов ИБ по мере формирования приводит к высокой ресурсоемкости кадрового состава и значительно увеличивает время реагирования на инциденты ИБ высокой критичности. Пример построения процесса регистрации инцидентов ИБ в зависимости от степени негативного влияния с использованием средств автоматизации представлен на рисунке 2:
Рисунок 2. Процесс регистрации инцидентов ИБ. При выполнении одного или нескольких правил корреляции, свидетельствующих о возможной попытке реализации угроз безопасности, определенных ранее в ходе анализа угроз, в системе учета и обработки инцидентов создается карточка инцидента. В соответствии с Методическими рекомендациями ГосСОПКА, карточка инцидента, созданная на основе сообщения пользователя или в результате анализа данных о событиях безопасности, направляется в подчиненный центр ГосСОПКА, в зоне ответственности которого находится информационный ресурс, предположительно затрагиваемый инцидентом. В случае если инцидент затрагивает несколько информационных ресурсов, карточка инцидента направляется во все подчиненные центры ГосСОПКА, в зоне ответственности которых находятся указанные информационные ресурсы. В случае если сведения о возможном инциденте подтверждаются специалистом центра ГосСОПКА или хотя бы одним из лиц, ответственных за функционирование хотя бы одного из информационных ресурсов, инцидент признается подтвержденным и принимаются меры реагирования.

Реагирование на инциденты и ликвидация их последствий

Организацию процесса реагирования на инциденты ИБ можно разделить на десять последовательных этапов:

  1. Фиксация состояния и анализ объектов информационных ресурсов, вовлеченных в инцидент.
  2. Координация деятельности по прекращению воздействия компьютерных атак, проведение которых вызвало возникновение инцидента.
  3. Фиксация и анализ сетевого трафика, циркулирующего в информационном ресурсе, вовлеченном в инцидент.
  4. Определение причин инцидента и его возможных последствий для информационного ресурса.
  5. Локализация инцидента.
  6. Сбор сведений для последующего установления причин инцидента.
  7. Планирование мер по ликвидации последствий инцидента.
  8. Ликвидация последствий инцидента.
  9. Контроль ликвидации последствий.
  10. Формирование рекомендаций для совершенствования нормативных документов, обеспечивающих информационную безопасность информационных ресурсов.

В соответствии с Методическими рекомендациями ГосСОПКА при отсутствии в центре ГосСОПКА специалистов, обладающих необходимой квалификацией, к реагированию на инцидент могут обоснованно привлекаться специалисты центра ГосСОПКА, стоящего выше в иерархии ГосСОПКА. Лицо, ответственное за функционирование информационного ресурса, совместно со специалистами центра ГосСОПКА организует локализацию инцидента и ликвидацию последствий в соответствии методическими рекомендациями, разработанными для инцидентов данного типа.

Установление причин инцидентов

Установление причин инцидента проводится в две стадии:

  1. Первичный анализ инцидента.
  2. Комплексный анализ инцидента.

Задачами первичного анализа инцидента являются:

  • установление обстоятельств и возможных последствий инцидента;
  • своевременное установление обстоятельств инцидента, выходящих за рамки стандартного порядка действий при инциденте данного типа.

Задачами комплексного анализа инцидента являются:

  • установление причин инцидента;
  • установление фактических последствий инцидента.

Нередко в международных практиках первичный и комплексный анализ инцидента ИБ объедены в один этап, реализуемый ответственной рабочей группой организации, в отношении которой возник инцидент ИБ. Однако в соответствии с Методическими рекомендациями ГосСОПКА, первичный анализ проводится центром ГосСОПКА, а комплексный анализ инцидента проводится одновременно с ликвидацией его последствий совместно с головным центром ГосСОПКА.

Анализ результатов устранения последствий инцидентов

Инцидент признается завершенным после принятия всех мер при условии, что установление причин инцидента показало достаточность принятых мер. Анализ результатов устранения последствий инцидента включает в себя оценку следующих аспектов:

  • Вред, причиненный информационному ресурсу и его владельцу в результате инцидента.
  • Недостатки в обеспечении безопасности информации, не позволившие предотвратить инцидент.
  • Своевременность обнаружения инцидента.
  • Действия персонала при локализации инцидента и ликвидации его последствий.
  • Сроки устранения последствий инцидента.

При оценке вреда, причиненного информационному ресурсу и его владельцу в результате инцидента, принимаются в расчет:

  • Трудозатраты персонала и иные затраты, связанные с ликвидацией последствий.
  • Вред, причиненный общественным интересам и интересам владельца информационного ресурса, в том числе связанный с нарушением конфиденциальности.

При оценке недостатков в обеспечении безопасности информации определяются:

  • Нормативные требования, невыполнение, недостаточная эффективность выполнения или отсутствие которых сделали инцидент возможным.
  • Дополнительные меры защиты, которые не являются обязательными в соответствии с действующими нормативными документами, но которые могли бы предотвратить инцидент.

В соответствии с Методическими рекомендациями ГосСОПКА, по результатам анализа инцидента, связанного с ранее неизвестной компьютерной атакой, центр ГосСОПКА осуществляет самостоятельную разработку или уточнение существующих методических рекомендаций по обнаружению, предупреждению и ликвидации последствий компьютерных атак данного типа. В случае если разработка указанных рекомендаций вызывает затруднение, центр ГосСОПКА направляет запрос в главный центр ГосСОПКА на оказание методической помощи по разработке указанных рекомендаций. В зависимости от деятельности организации оптимальным выбором применения могут быть как международные стандарты, так и Методические рекомендации ГосСОПКА, которые описывают достаточно полный набор мер необходимый для построения процесса управления инцидентами и событиями ИБ. Однако стоит отметить, что в общем случае в отличие от международных стандартов, в Методических рекомендациях ГосСОПКА дополнительно существуют такие процессы, как:

  • Взаимодействие между центрами по вертикали иерархической структуры ГосСОПКА.
  • Информирование в зоне ответственности субъекта ГосСОПКА заинтересованных лиц по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Независимо от того, какая была выбрана или разработана методология управления инцидентами и событиями ИБ, она должна:

  • учитывать потребности организации;
  • быть максимально автоматизированной;
  • выполняться непрерывно (24 часа в сутки 7 дней в неделю);
  • быть применимой к организации с учетом корпоративной культуры и имеющихся ресурсов;
  • отражать в виде модели реальный ландшафт угроз ИБ, актуальных для организации;
  • быть прозрачной для всех заинтересованных сторон, включая руководство компании, представителей регуляторов, внешних и внутренних аудиторов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *