Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
Plan prezentacji
Zarządzanie incydentami z
bezpieczeństwa informacji
Wymagania ISO/IEC 27001 i zalecenia ISO/IEC
zgodnie z ISO /IEC TR 18044:2004
27002
Budowa normy ISO/IEC TR 18044
struktura
definicje
dr inż. Bolesław Szomański
Podstawy i korzyści z ISO 18044
Zakład Systemów Zapewniania Jakości
Instytut Organizacji Systemów Produkcyjnych
Przykładowe incydenty
Wydział Inżynierii Produkcji
Przykład raportu dotyczącego incydentu
b.szomanski@wip.pw.edu.pl
Oraz Jarosław Majczyk
Bibliografia
A.13 Zarządzanie incydentami związanymi z
Wymagania ISO/IEC 27001
bezpieczeństwem informacji
o 4.2.2. Wdrożyć procedury i inne zabezpieczenia zdolne
A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem
" do natychmiastowego
informacji i słabości
" Wykrycia zdarzeń i reakcji na incydenty związane z naruszeniem
Cel: Zapewnienie, że zdarzenia związane z bezpieczeństwem informacji
bezpieczeństwa (patrz 4.2.3a)
oraz słabości systemów informacyjnych, są zgłaszane w sposób
o 4.2.3. Wykonywać procedury monitorowania i przeglądu i inne
umożliwiający szybkie podjęcie działań korygujących.
zabezpieczenia
A.13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem
" ........
informacji
" 2) natychmiastowego identyfikowania naruszeń bezpieczeństwa i
incydentów, zakończonych niepowodzeniem lub sukcesem;
Zdarzenia związane z bezpieczeństwem informacji powinny być
zgłaszane poprzez odpowiednie kanały organizacyjne
tak szybko, jak to możliwe.
22/04/2007 (c) B.Sz Strona 1 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
A.13.1 A.13.1
Uświadomienie
Zalecenia :
o pracowników
opracowanie formalnej procedury zgłaszania
o Wykonawców
" wraz z o użytkowników trzeciej strony
o Zapoznanie z procedurą i lokalizacją punktu;
o procedurą reagowania na wystąpienie danego naruszenia i
Procedury zgłaszania powinny obejmować:
eskalacji
o odpowiedni proces zwrotnego informowania zgłaszających zdarzenia
o określających działania podejmowane
tak, że po zamknięciu problemu przekazywane są im wyniki jego
o po otrzymaniu zgłoszenia o naruszeniu;
obsługi;
o formularze zgłaszania zdarzeń związanych z bezpieczeństwem
Wyznaczenie punktu kontaktowego znanego i
informacji wspomagające proces zgłaszania i pomagające zgłaszającym
powszechnie dostępnego
zapamiętać wszystkie niezbędne działania na wypadek takiego
zdarzenia;
A.13.1 A.13.1
poprawne zachowanie na wypadek zdarzeń związanych z
A.13.1.2 Zgłaszanie słabości systemu bezpieczeństwa
bezpieczeństwem informacji, tzn.:
o natychmiastowe zanotowanie wszystkich ważnych szczegółów (np. typu Wszystkich pracowników, wykonawców i użytkowników
niezgodności lub naruszenia, błędu działania, wiadomości z ekranu,
reprezentujących stronę trzecią,
dziwnego zachowania);
o zakaz podejmowania jakichkolwiek własnych działań, lecz korzystających z systemów informacyjnych i usług,
natychmiastowe zgłoszenie do punktu kontaktowego;
należy zobowiązać do zgłaszania zaobserwowanych lub
odwołania do ustanowionego formalnego procesu dyscyplinarnego,
podejrzewanych
który określa sposób postępowania z pracownikami, wykonawcami i
użytkownikami reprezentującymi stronę trzecią, którzy naruszają
słabości bezpieczeństwa w systemach lub usługach.
bezpieczeństwo.
W środowiskach o wysokim ryzyku, można wprowadzić
alarm działania pod przymusem
Szczegółowo także ISO TR 18044
22/04/2007 (c) B.Sz Strona 2 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
A.13.1.2
Zaleca się,
Zaleca się, aby mechanizm zgłaszania był
o aby wszyscy pracownicy,
o prosty,
o wykonawcy i
o dostępny i
o użytkownicy reprezentujący stronę trzecią
o osiągalny.
o zgłaszali takie sytuacje albo do kierownictwa,
Zaleca się też, aby byli oni informowani, że nie należy,
" albo bezpośrednio do swojego dostawcy usług
pod żadnym pozorem, próbować dowodzić
o tak szybko,
" jak to możliwe, aby podejrzewanej słabości na własną rękę..
" uniknąć
Takie zalecenie służy ich bezpieczeństwu,
o incydentów naruszenia bezpieczeństwa informacji.
o bowiem testowanie słabych punktów
o może być interpretowane w systemie
o jako potencjalne nadużycie
A.13.2 A.13.2.1
Oprócz zgłaszania zdarzeń związanych z
A.13.2 Zarządzanie incydentami związanymi z
bezpieczeństwem informacji oraz słabości (patrz także
bezpieczeństwem informacji oraz udoskonaleniami
13.1),
Cel: Zapewnienie, że stosowane jest spójne i skuteczne
podejście do zarządzania incydentami związanymi z
zaleca się wykorzystywanie monitorowania systemów,
bezpieczeństwem informacji.
alarmowania i podatności (10.10.2) do
A.13.2.1 Odpowiedzialność i procedury
wykrycia incydentów naruszenia bezpieczeństwa
Należy wprowadzić odpowiedzialność kierownictwa oraz informacji.
procedury zapewniające szybką, skuteczną i uporządkowaną
reakcję
na incydenty związane z bezpieczeństwem informacji.
22/04/2007 (c) B.Sz Strona 3 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
A.13.2.1 A.13.2.1
dodatkowo, w odniesieniu do zwykłych planów ciągłości
Zaleca się żeby procedury zawierały
działania (patrz 14.1.3), zaleca się, aby procedury
naruszenia bezpieczeństwa informacji.
obejmowały (patrz także 13.2.2):
o gdzie jest to wymagane, także gromadzenie dowodów w celu
zapewnienia zgodności z wymaganiami prawnymi.
analizę i identyfikację przyczyny incydentu;
o awarie systemów informacyjnych i utratę usługi;
ograniczanie zasięgu naruszenia;
o szkodliwe oprogramowanie (10.4.1);
jeśli to potrzebne, planowanie i wdrażanie działań naprawczych w
o odmowę usługi;
celu uniknięcia ponownego wystąpienia incydentu;
o błędy wynikające z niekompletnych lub niewłaściwych danych
komunikację z podmiotami dotkniętymi incydentem i tymi, które są
biznesowych;
zaangażowane w jego usunięcie;
o naruszenia poufności i integralności;
raportowanie działań do odpowiednich osób
o niewłaściwe użycie systemów informacyjnych;
A.13.2.1
ponadto zaleca się, aby procedury zapewniały, że:
jeśli zachodzi taka potrzeba, to zaleca się
o tylko jednoznacznie zidentyfikowany i uprawniony personel ma
gromadzenie i zabezpieczanie dzienników audytu
dostęp do działających systemów i rzeczywistych danych (patrz
lub podobnych dowodów (patrz 13.2.3) w celu:
także 6.2  dostęp zewnętrzny);
wewnętrznej analizy problemu; o wszystkie podejmowane działania awaryjne są szczegółowo
dokumentowane;
wykorzystania w postępowaniu dowodowym;
o działania awaryjne są zgłaszane kierownictwu i sprawnie
negocjacji rekompensat ze strony dostawców
przeglądane;
oprogramowania lub usług
o integralność systemów biznesowych i zabezpieczeń jest
potwierdzana z minimalnym opóz
nieniem.
22/04/2007 (c) B.Sz Strona 4 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
A.13.2
Należy zapewnić, że cele A.13.2.2 Wyciąganie wniosków z incydentów
" Zarządzania incydentami naruszenia bezpieczeństwa informacji
związanych z bezpieczeństwem informacji
o są uzgodnione z kierownictwem oraz
W organizacji powinny istnieć
o osoby odpowiedzialne
o mechanizmy umożliwiające
" za zarządzanie incydentami naruszenia bezpieczeństwa informacji
liczenie i monitorowanie
o rozumieją priorytety organizacji
o rodzajów,
" związane z obsługą takich incydentów.
o rozmiarów i
o kosztów incydentów
związanych z bezpieczeństwem informacji.
A.13.2
Zaleca się wykorzystywanie informacji zebranych A.13.2.3 Gromadzenie materiału dowodowego
w trakcie oceny incydentów naruszenia
Jeśli działania podejmowane po wystąpieniu incydentu
związanego z bezpieczeństwem informacji
bezpieczeństwa informacji do
obejmują kroki prawne (natury cywilnoprawnej lub karnej),
identyfikowania incydentów powtarzających się lub
powinno się gromadzić, zachować i przedstawić materiał
o znacznych konsekwencjach.
dowodowy
zgodnie z zasadami materiału dowodowego obowiązującymi
w odpowiednim prawodawstwie (prawodawstwach).
22/04/2007 (c) B.Sz Strona 5 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
zaleca się, aby organizacja zapewniła, że jej systemy informacyjne są
Zaleca się opracowanie i stosowanie procedur wewnętrznych
zgodne z opublikowanymi normami lub praktycznymi zasadami
przy zbieraniu i przedstawianiu materiału dowodowego na
tworzenia takiego materiału dowodowego.
potrzeby postępowania dyscyplinarnego prowadzonego w
Zaleca się, aby waga dostarczonego materiału dowodowego była
organizacji.
zgodna z odnośnymi wymaganiami.
W ogólnym przypadku zasady związane z materiałem
Zaleca się utrzymanie jakości i kompletności zabezpieczeń
dowodowym odnoszą się do: poprawnie i w sposób ciągły używanych do ochrony materiału
dowodowego (tzn. proces zabezpieczania materiału dowodowego);
dopuszczalności materiału dowodowego: czy materiał dowodowy
może być wykorzystany w sądzie, czy nie; Zaleca się, aby przez okres, w którym materiał dowodowy
przeznaczony do odtworzenia ma być przechowywany i
wagi materiału dowodowego: jakości i kompletności materiału
przetwarzany,
dowodowego.
o utrzymać mocny ślad dowodowy
Budowa ISO 18044:2004
Warunki uzyskania śladu dowodowego:
dla dokumentów papierowych: oryginał jest bezpiecznie
Wstęp
przechowywany
1. Zakres normy
o wraz z informacją kto go znalazł, gdzie, kiedy i kto był świadkiem tego
zdarzenia;;
2. Odwołania normatywne
dla dokumentów na nośnikach komputerowych:
3. Terminy i definicje
o zaleca się utworzenie obrazu lub kopii (zależnie od stosownych
wymagań) wszelkich nośników wymiennych;
4. Tło
zaleca się zapisanie informacji znajdujących się na dyskach
twardych lub w pamięci komputera, aby zapewnić ich dostępność; 5. Korzyści i podstawowe sprawy
zaleca się zachowanie zapisów wszelkich działań podczas
6. Przykłady incydentów bezpieczeństwa informacji i ich
procesu kopiowania oraz aby
przyczyny
proces ten odbywał się w obecności świadków
22/04/2007 (c) B.Sz Strona 6 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
ISO/IEC TR 18044:2004
Budowa ISO 18044:2004
Information technology
Security techniques
7. Planowanie i przygotowanie
Information security incident
8. Stosowanie
management
9. Przegląd
Zatwierdzona w 2004
10. Doskonalenie
Raport typu 3 nie norma
11. Podsumowanie
Typ 1 nie udało się opracować normy mimo prób
Typ 2 prace są prowadzone ale nie jest możliwe uzgodnienie normy
Załącznik A Przykład raportu dotyczącego zdarzeń i
Typ 3 zbierane są materiały do publikacji normy
incydentów z bezpieczeństwa informacji
Załącznik B Szkic przykładowych zaleceń
Obecnie w fazie przeglądu
oszacowania incydentów z bezpieczeństwa informacji
Możliwe że będzie polskie tłumaczenia
Wprowadzenie Definicje:
Mimo zastosowania polityki bezpieczeństwa i zabezpieczeń Planowanie ciągłości działania
Proces zapewnienia zagwarantowania
Nie da się uniknąć słabości bezpieczeństwa
o Co powoduje możliwość
odtworzenia operacji biznesowych organizacji
Wystąpienia incydentu bezpieczeństwa informacji
o w przypadku wystąpienia jakiegokolwiek
Złe przygotowanie
" nieoczekiwanego lub
obniża efektywność podejmowanych działań
" niechcianego incydentu, który
Konieczne jest strukturalne podejście obejmujące:
o mógłby negatywnie wpłynąć
Wykrycie, raportowanie i ocenę incydentu bezpieczeństwa
" na ciągłość istotnych funkcji biznesowych organizacji.
informacji
o Odtworzenie operacji biznesowych powinno być osiągalne
Reakcję na incydent bezpieczeństwa informacji (IBI)
Wyciągnięcie wniosków z IBI, zastosowanie zabezpieczeń
" w zdefiniowanych czasie i
prewencyjnych i doskonalenie podejścia do zarządzania incydentami
" z określonym priorytetem
bezpieczeństwa informacji (ZIBI)
22/04/2007 (c) B.Sz Strona 7 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
zdarzenie związane z bezpieczeństwem informacji incydent związany z bezpieczeństwem informacji
Jest określonym wystąpieniem stanu jest to
o systemu, o pojedyncze zdarzenie lub
o usługi lub o seria
o sieci, który
niepożądanych lub niespodziewanych zdarzeń
" wskazuje na możliwe
o związanych z bezpieczeństwem informacji,
przełamanie polityki bezpieczeństwa informacji,
o które stwarzają
błąd zabezpieczenia lub
znaczne prawdopodobieństwo zakłócenia
o działań biznesowych i
nieznaną dotychczas sytuację, która
o zagrażają bezpieczeństwu informacji.
o może być związana z bezpieczeństwem.
Definicje 4. Tło (1)
Zespół reagowania na incydent bezpieczeństwa 4. 1. Przedmiot
informacji (ZRIBI)
Zdarzenia z bezpieczeństwa informacji mogą być wykryte i
o Grupa kompetentnych i zaufanych osób w organizacji, które
kategoryzowane
o potrafią zarządzać (handle) incydentami w trakcie całego ich
Incydenty z bezpieczeństwa informacji mogą być oceniane i
cyklu życia.
odpowiednie działania prowadzone skutecznie i efektywnie
o Czasami mogą korzystać ze wsparcia zewnętrznych ekspertów
Skutki mogą być minimalizowane poprzez odpowiednie
takich jak znanych zespołów reagowania na incydenty lub zespół
zabezpieczenia i powiązanie z planami ciągłości działania
reagujący na naruszenia bezpieczeństwa w sieci Internet (CERT)
Powinna być wyciągana odpowiednia nauka z incydentów
22/04/2007 (c) B.Sz Strona 8 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
Tło (2)
Tło (3)
Planowanie i przygotowanie
Polityka zarządzania incydentami bezpieczeństwa informacji i wsparcie
kierownictwa
4.2. Procesy
Planowanie i przygotowanie Opracowanie dokumentów dla wsparcia polityki, formularzy procedur i
narzędzi
Wykonywanie
Przegląd Uaktualnienie polityki bezpieczeństwa informacji i polityki zarządzania
ryzykiem na wszystkich poziomach organizacji
Doskonalenie
Ustanowienie odpowiedniej struktury organizacyjnej tzn. Zespołu
reagowania na incydenty bezpieczeństwa informacji (ZRIBI)
Czyli cykl PDCA (Deminga) jak w ISO 9000 i ISO 14000 Uświadamianie pracowników i odpowiednie szkolenia
Testowanie schematów postępowania
Szerzej w punkcie7 raportu
Tło (5)
Tło (4)
Wykonywanie
Przegląd
Wykrywanie i raportowanie o zdarzeniach
Przeprowadzanie szczegółowej analizy
Zbieranie informacji o zdarzeniach i ocena kiedy określa się je incydentami
o jeżeli potrzebna
Odpowiedz
na incydenty
Określenie nauki nabytej z incydentu
o Natychmiast
Określenie usprawnień do zabezpieczeń
o Jeżeli sytuacja jest pod kontrolą kierowanie działaniami które mają być wykonane w
Określenie usprawnień schematu postępowania przy zarządzaniu
swobodniejszym czasie
incydentami bezpieczeństwa informacji w tym
o Jeżeli sytuacja wyszła spod kontroli podejmowanie działań kryzysowych
o Procesów
o Komunikowanie o incydentach osobom wewnątrz i zewnątrz oraz organizacjom
o Procedur
o Przeprowadzenie analiz (prawnych)
o Formularzy
o Właściwe zapisywanie działań dla przyszłych analiz
o Organizacji
o Zamykanie incydentów (decyzja)
Szerzej w punkcie 8 raportu
Szerzej w punkcie 9 raportu
22/04/2007 (c) B.Sz Strona 9 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5. Korzyści i podstawowe sprawy
Tło (5)
Doskonalenie
5.1. Korzyści
Działania w zakresie zarządzania incydentami związanymi z
Doskonalenie bezpieczeństwa informacji
bezpieczeństwem informacji są iteracyjne z regularnym
Zmniejszenie związanych skutków dla biznesu
doskonaleniem elementów bezpieczeństwa informacji i
Wzmocnienie koncentracji na incydenty
zawierają:
Wzmocnienie priorytyzacji i ewidencji
o Korygowanie istniejących analiz ryzyka i wyników przeglądu
kierownictwa Zmniejszenie wpływu na budżet i zasoby
o Wdrożenie usprawnień do schematu zarządzania incydentami z
Poprawa zmian w analizie ryzyka i zarządzaniu
bezpieczeństwa informacji i dokumentacji
Ustalanie dodatkowych materiałów dla programów
o Inicjowanie usprawnień bezpieczeństwa które obejmują nowe lub
uświadamiania i szkolenia
ulepszone zabezpieczenia
Wprowadzenie informacji do polityki bezpieczeństwa
Szerzej w punkcie 10 raportu
informacji i przeglądów dokumentacji
5. Korzyści i podstawowe sprawy
5.2. Korzyści i podstawowe sprawy
5.2. Podstawowe sprawy Aspekty prawne i regulacyjne
Prowadzenie odpowiedniej ochrony danych i ochrony
Zaangażowanie kierownictwa
prywatności
Uświadamianie
o Osoby mające dostęp do danych personalnych nie powinny (jeśli
Aspekty prawne i regulacyjne
to możliwe) znać osób których sprawy badają
o Powinny być podpisane umowy o poufności
Skuteczność operacyjna i jakość
o Informacje powinny być używane tylko w sprawie w której są
Anonimowość
zbierane (tzn. IBI)
Poufność
Zapewnianie odpowiedniego przechowywania zapisów
o Np. W celu zachowania dla audytu
Pewność operacji
o W organizacjach państwowych
Typologia
22/04/2007 (c) B.Sz Strona 10 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5.2. Korzyści i podstawowe sprawy 5.2. Korzyści i podstawowe sprawy
Wprowadzenie zabezpieczeń w celu zapewnienia realizacji wymagań Jasny aspekt odpowiedzialności
kontraktowych
o Wpływ na związaną organizację
Wymagania prawne związane z procesami i procedurami o Wykrycie słabości w produkcie
o Np. Problemy ze zwolnieniem pracowników o Przekazywanie informacji o odpowiednich agencji państwowych
o Ujawnianie informacji o wewnętrznych pracownikach zaangażowanych
Sprawdzanie ważności z prawem zrzeczenia się
w atak
o Np. odpowiedzialności
o Ujawnianie nieprawdziwych informacji o produkcie
Uwzględnianie wszystkich wymaganych aspektów w umowach z
Szczególne wymagania prawne muszą być określone
zewnętrznym personelem wsparcia
Oskarżenie lub akcja dyscyplinarna powinna być skuteczna
Obowiązywanie umów o zachowaniu poufności zgodnie z prawem
o Zapisy są kompletne
Określenie prawnych wymagań
o Kopie są identyczne
o Np. czas przechowywania zapisów
o IT System działał poprawnie w chwili incydentu
6. Przykłady incydentów
5.2. Korzyści i podstawowe sprawy bezpieczeństwa informacji i ich
przyczyny
Aspekty prawne związane z polityką monitoringu są
Odmowa obsługi (Denial of Serwis)
określone
Zablokowanie zasobów
o ISO 18043
o Przeciążenie sieci (np.. Ping of death)
Polityka poprawnego korzystania z urządzeń jest
o Wysyłanie wiadomości w błędnych formatach
określona
o Wymuszanie otwierania nadmiarowych sesji
o Błędna konfiguracja
o Niekompatybilność oprogramowania
22/04/2007 (c) B.Sz Strona 11 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
6. Przykłady incydentów 6. Przykłady incydentów
bezpieczeństwa informacji i ich bezpieczeństwa informacji i ich
przyczyny przyczyny
Zniszczenie zasobów
Pobieranie informacji
o Kradzież sprzętu lub jego celowe zniszczenie
Zwykle obejmują rozpoznanie w tym
o Zniszczenie sprzętu przez wodę lub pożar
o Określenie celu rozpoznanie topologii sieci i wewnętrznej
komunikacji
o Ekstremalne warunki otoczenia np. temperatura
o Określenie słabości celu
o Awaria systemu lub jego przeciążenie
Typowe przykłady zagożeń techniczych
o Niekontrolowana zmiana systemu
o Pobranie adresów DNS (domain name systems)
o Awaria oprogramowania lub sprzętu
o Sprawdzenie adresów sieciowych
o Sprawdzenie identyfikacji hostów
o Skanowanie portów
o Sprawdzanie znanych słabości
6. Przykłady incydentów 6. Przykłady incydentów
bezpieczeństwa informacji i ich bezpieczeństwa informacji i ich
przyczyny przyczyny
6.3. Nieautoryzowany dostęp
Aspekty nie techniczne
" Pozostałe przypadki
o Skutki
o Próba pozyskania plików haseł
" Bezpośrednie lub niebezpośrednie ujawnienie lub modyfikacja
informacji
o Przepełnienie bufora w celu spowodowania uzyskania dodatkowych
" Kradzież własności intelektualnej przywilejów
" Naruszenie rozliczalności
o Wykorzystanie słabości protokołów w celu przejęcia lub oszukania
" Nadużycie systemu połączeń sieciowych
o Przyczyny o Powiększenie przywilejów ponad udzielone przez administratora
" Naruszenie ochrony fizycznej i przez to nieautoryzowany dostęp do
o Przełamanie ochrony fizycznej w celu nieuprawnionego dostępu do
informacji lub kradzież urządzeń zawierających ważne dane
informacji
" Słaby lub z
le skonfigurowany system operacyjny poprzez
o Słaby lub z
le skonfigurowany system operacyjny poprzez
niekontrolowane zmiany awarie sprzętu i oprogramowania
niekontrolowane zmiany awarie sprzętu i oprogramowania
umożliwiający osobom dostęp do informacji do których nie mają praw
umożliwiający osobom dostęp do informacji do których nie mają praw
22/04/2007 (c) B.Sz Strona 12 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
7. Planowanie i przygotowanie 8. Wdrożenie
7.1. Przegląd
8.1 Wprowadzenie
7.2. Polityka zarządzania incydentami bezpieczeństwa
8.2. Przegląd kluczowych procesów
informacji
8.3. Wykrycie i raportowanie
7.3 Schemat zarządzania incydentami bezpieczeństwa
informacji
8.4. Ocena zdarzenia/incydentu i podejmowanie
7.4. Polityki bezpieczeństwa informacji i analizy ryzyka
decyzji
7.5 Tworzenie ZRIBI
8.5. Reakcja
7.6. Powiązanie z innymi częściami organizacji
7.7. Powiązanie z zewnętrznymi organizacjami
7.8. Wsparcie techniczne i inne
7.9. Uświadamianie i szkolenie
9. Przegląd 10. Doskonalenie
9.1 Wprowadzenie 10.1 Wprowadzenie
9.2 Kolejna analiza prawna 10.2. Doskonalenie analizy ryzyka bezpieczeństwa i
zarządzania
9.3. Nauka płynąca z incydentu
10.3. Wdrożenie usprawnień zabezpieczeń
9.4. Określenie doskonalenia zabezpieczeń
10.4. Wdrożenie usprawnień schematu
9.5. Określenie doskonalenia schematu
postępowania
postępowania
10.5. Inne usprawnienia
22/04/2007 (c) B.Sz Strona 13 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
Przykład raportu dotyczącego
11. Podsumowanie zdarzeń i incydentów z
bezpieczeństwa informacji
Raport techniczny ma na celu przedstawienie przeglądu
plik acrobata
zagadnień związanych z zarządzaniem incydentami
bezpieczeństwa informacji
Oraz
Przedstawienie schematu postępowania w zarządzaniu
incydentami bezpieczeństwa informacji
Określa szczegółowe działania związane z planowaniem i
dokumentowaniem polityki zarządzania incydentami
bezpieczeństwa informacji oraz procesami i procedurami
dla ZIBI oraz działaniami po incydencie
Bibliografia Bibliografia 2
Normy:
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for
ISO/IEC 18043:2006 Information technology -- Security
the Management of IT Security - Part 3: Techniques for the
techniques -- Selection, deployment and operations of
management of IT Security
intrusion detection systems
ISO/IEC TR 15947:2002 Information technology - Security
techniques  IT intrusion detection framework lSO/lEC Guide 732002, Risk management -Vocabulary-
ISO/IEC 18028-1:2006 Information technology -- Security techniques Guidelines for use in standards
-- IT network security -- Part 1: Network security management
Internet Engineering Task Force (IETF) Site Security
ISO/IEC 18028-2:2006 Information technology -- Security
Handbook, http//:www.ietf.org/rtc2196txt?number=2196
techniques -- IT network security -- Part 2: Network security
Expectations Computer Security Incident Response -Best
architecture
Practice, June 98, ftp://ftp.isi.edu/in-notes/rfc235O.txt
ISO/IEC 18028-3:2005 Information technology -- Security
techniques -- IT network security -- Part 3: Securing communications
NIST Special publication 800-3 Nov 01, Establishing a
between networks using security gateways
Computer lncident Response Capability (CSIRC),
ISO/IEC 18028-4:2005 Information technology - Security techniques
http://csrc.nist.gov/pubIications/nistpubs/800-3/800-3.pdf
 IT network security Part 4: Securing remote access
22/04/2007 (c) B.Sz Strona 14 z 14