Политика за реагиране при инциденти

Политиката за реагиране при инциденти (Документ P30) формализира надеждна рамка, която гарантира, че организацията може ефективно да управлява и да реагира на разнообразен спектър от инциденти по информационната сигурност. Основната цел на политиката е да установи повторяеми процеси за идентифициране, докладване на инциденти, анализиране, ограничаване и възстановяване след инциденти, като същевременно насърчава постоянно подобряване чрез оценки след инцидент. Чрез въвеждане на централна рамка за реагиране при инциденти, съгласувана с международни стандарти като ISO/IEC 27035, политиката осигурява структуриран подход във всички фази на инцидента: подготовка, откриване и анализ, ограничаване/изкореняване/възстановяване и преглед след инцидент. Тази политика обхваща широк кръг организационни функции, като разпростира изискванията си върху целия персонал, включително изпълнители и доставчици на услуги на трети страни, както и върху всички информационни системи на организацията, независимо дали са локални, в облака или хибридни. Тя се прилага за изчерпателен набор от типове инциденти: неоторизиран достъп, зловреден софтуер и ransomware, атаки за отказ на услуга, изтичане на данни или ексфилтрация, вътрешни заплахи и дори физически нарушения, засягащи цифрови активи. Разделът за управление изисква всеки инцидент да бъде формално регистриран в система за управление на инциденти по сигурността (SIMS), с подробни метаданни, включително време на откриване, класификация, засегнати системи, предприети действия, събрани доказателства и анализ на първопричината. Всички инциденти се категоризират по многостепенен модел на тежест, осигуряващ пропорционално реагиране и ескалация. Ключовите роли и отговорности са внимателно дефинирани, за да се гарантира отчетност и оптимизиран работен поток по време на инцидент. Директорът по информационна сигурност (CISO) запазва общата собственост върху рамката за реагиране и служи като връзка с висшето ръководство и регулаторите при значими инциденти. Координаторът по реагиране при инциденти управлява междуфункционални екипи, проследява всеки етап от реагирането и гарантира, че коригиращи действия се изпълняват. Центърът за операции по сигурността (SOC) и анализаторите по ИТ сигурност отговарят за мониторинг и триаж на заплахи, ескалация на случаи и предприемане на първоначални действия по ограничаване. Ролите по правни въпроси и длъжностното лице по защита на данните отговарят за преглед на регулаторното въздействие и спазване на срокове за уведомяване, особено за нарушения по GDPR, NIS2 и DORA. Висшето ръководство взема стратегически решения при инциденти с висока тежест, включително публични комуникации и одобряване на изменения в система за управление на информационната сигурност (СУИС). Политиката приема строги механизми за уведомяване при нарушения, цифрова форензика и обработване на доказателства, като изисква уведомяването на органи и засегнати заинтересовани страни да се извършва съгласно дефинирани правни и договорни срокове. Процедурите за цифрова форензика включват създаване на образ на диска с блокиращи запис устройства, проследяване на верига на съхранение и криптирано съхранение на доказателства, с координация с правоприлагащи органи, когато е необходимо. Всякакви отклонения от политиката, като време за реагиране или събиране на доказателства, трябва да следват строг процес по управление на изключенията, базиран на риска, с документация, одобрение от директора по информационна сигурност (CISO) и тримесечни прегледи на риска. За да се гарантира ефективност и регулаторно съответствие, политиката изисква ежегодни прегледи, регулярни учения по реагиране при инциденти и ясни показатели като Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) и процент на завършените прегледи след инцидент. Одит и съответствие и мониторинг на съответствието валидират готовността и налагат спазването, със зададени последствия при неспазване, включително дисциплинарни мерки до прекратяване на договор или регулаторно докладване. Политиката е дълбоко интегрирана с подпомагащи политики за класификация на данни, управление на промените, криптография, системи за резервно копиране и възстановяване и политика за регистриране и мониторинг, осигурявайки всеобхватна и защитима готовност за инциденти.