Incidenskezelési szabályzat

Az incidenskezelési szabályzat (P30 dokumentum) egy robusztus keretrendszert formalizál, amely biztosítja, hogy a szervezet hatékonyan tudja kezelni és megválaszolni az információbiztonsági incidensek széles spektrumát. A szabályzat elsődleges célja ismételhető folyamatok kialakítása az incidensek azonosítására, incidensbejelentésére, elemzésére, elszigetelésére és helyreállítására, miközben az incidens utáni felülvizsgálatokon keresztül folyamatos fejlesztést támogat. Egy központi incidenskezelési keretrendszer bevezetésével, amely összhangban van olyan nemzetközi szabványokkal, mint az ISO/IEC 27035, a szabályzat strukturált megközelítést biztosít az incidens valamennyi fázisában: felkészülés, észlelés és elemzés, elszigetelés/eltávolítás/helyreállítás, valamint incidens utáni felülvizsgálat. A szabályzat a szervezeti funkciók széles körére terjed ki, és követelményeit valamennyi munkatársra kiterjeszti, beleértve a vállalkozókat és a harmadik fél szolgáltatókat is, továbbá lefedi a szervezet valamennyi információs rendszerét, legyen az helyszíni, felhőben üzemeltetett vagy hibrid. Az incidensek átfogó körére alkalmazandó: jogosulatlan hozzáférés, kártékony kód és zsarolóvírus, szolgáltatásmegtagadásos támadások, adatvesztés vagy adatkiszivárgás, belső fenyegetések, valamint a digitális vagyontárgyakat érintő fizikai behatolások. Az irányítási rész előírja, hogy minden incidenst formálisan naplózni kell egy biztonsági incidenskezelési rendszerben (SIMS), részletes metaadatokkal, beleértve az észlelés idejét, az osztályozást, az érintett rendszereket, a megtett intézkedéseket, a rögzített bizonyítékokat és a gyökérok-elemzést. Minden incidenst többszintű súlyossági modell szerint kell kategorizálni, biztosítva az arányos reagálást és eszkalációt. A kulcsszerepkörök és felelősségek gondosan meghatározottak az elszámoltathatóság és a gördülékeny munkafolyamat biztosítása érdekében incidens során. Az információbiztonsági vezető (CISO) megtartja a reagálási keretrendszer átfogó tulajdonjogát, és jelentős incidensek esetén kapcsolattartóként működik a felső vezetés és a szabályozó hatóságok felé. Az incidenskezelési koordinátor irányítja a funkciók közötti csapatokat, nyomon követi a reagálás minden szakaszát, és biztosítja, hogy a helyesbítő intézkedések végrehajtásra kerüljenek. A biztonsági műveleti központ (SOC) és az IT-biztonsági elemzők felelősek a monitorozásért és a triázsért, az esetek eszkalálásáért, valamint a kezdeti elszigetelési intézkedések megtételéért. A jogi és az adatvédelmi tisztviselő szerepkörök feladata a szabályozói hatás felülvizsgálata és a bejelentési határidők biztosítása, különösen a GDPR, NIS2 és DORA alá tartozó adatvédelmi incidensek esetén. A felső vezetés stratégiai döntéseket hoz a magas súlyosságú incidensek esetén, beleértve a nyilvános kommunikációt és az információbiztonsági irányítási rendszer módosításainak jóváhagyását. A szabályzat szigorú mechanizmusokat alkalmaz az adatvédelmi incidens bejelentésére, a digitális forenzikára és a bizonyítékkezelésre, megkövetelve, hogy a hatóságok és az érintett érdekelt felek értesítése a meghatározott jogi és szerződéses bejelentési határidők szerint történjen. A digitális forenzikus eljárások magukban foglalják a lemezképkészítést írásblokkolókkal, a láncolat-nyilvántartás követését és a titkosított bizonyítéktárolást, szükség esetén bűnüldöző szervekkel történő koordinációval. A szabályzattól való bármely eltérésnek, például a reagálási időnek vagy a bizonyítékgyűjtésnek, szigorú kockázatalapú kivételkezelési folyamatot kell követnie, dokumentációval, CISO-jóváhagyással és negyedéves kockázati felülvizsgálatokkal. Az eredményesség és a jogszabályi megfelelés biztosítása érdekében a szabályzat éves felülvizsgálatokat, rendszeres incidensreagálási gyakorlatokat, valamint egyértelmű mutatókat ír elő, mint például az átlagos észlelési idő (MTTD), az átlagos elszigetelési idő (MTTC) és az elvégzett incidens utáni felülvizsgálatok százaléka. Az audit és megfelelés monitorozása validálja a felkészültséget és kikényszeríti a betartást, meghatározott következményekkel a meg nem felelés esetére, beleértve a fegyelmi intézkedéseket a szerződés megszüntetéséig vagy a szabályozói jelentéstételig. A szabályzat szorosan integrált a támogató szabályzatokkal az adatosztályozás, a változáskezelés, a kriptográfiai kontrollok, a biztonsági mentés és visszaállítás, valamint a naplózási és monitorozási szabályzat területén, biztosítva az átfogó és védhető incidensfelkészültségi pozíciót.