Politica de răspuns la incidente

Politica de răspuns la incidente (Documentul P30) formalizează un cadru robust care asigură că organizația poate gestiona și răspunde eficient la un spectru divers de incidente de securitate a informației. Scopul principal al politicii este de a stabili procese repetabile pentru identificarea, raportarea incidentelor, analizarea, conținerea și recuperarea după incidente, promovând în același timp îmbunătățirea continuă prin revizuire post-incident. Prin instituirea unui cadru de răspuns la incidente central, aliniat cu standarde internaționale precum ISO/IEC 27035, politica asigură o abordare structurată în toate fazele incidentului: pregătire, detectare și analiză, conținere/eradicare/recuperare și revizuire post-incident. Această politică acoperă funcțiile organizaționale, extinzând cerințele sale la întregul personal, inclusiv contractanți și furnizori de servicii terți, precum și acoperind toate sistemele informatice ale organizației, fie la sediu, în cloud sau hibrid. Se aplică unui set cuprinzător de tipuri de incidente: acces neautorizat, malware și ransomware, atacuri de tip denial-of-service, scurgere de date sau exfiltrare de date, amenințări interne și chiar încălcări fizice care afectează active digitale. Secțiunea de guvernanță impune ca fiecare incident să fie înregistrat formal într-un sistem de management al incidentelor de securitate (SIMS), cu metadate detaliate, inclusiv momentul detectării, clasificarea, sistemele afectate, acțiunile întreprinse, dovezile capturate și analiza cauzei rădăcină. Toate incidentele sunt clasificate printr-un model de severitate pe niveluri, asigurând răspuns și escaladare proporționale. Rolurile și responsabilitățile cheie sunt definite cu atenție pentru a asigura responsabilitate și un flux de lucru eficient în timpul unui incident. Ofițerul-șef pentru securitatea informațiilor (CISO) păstrează deținerea generală a cadrului de răspuns și acționează ca legătură cu conducerea executivă și autoritățile de reglementare în timpul incidentelor majore. Coordonatorul de răspuns la incidente gestionează echipe interfuncționale, urmărind fiecare etapă a răspunsului și asigurând că acțiunile corective sunt implementate. Centrul de operațiuni de securitate și analiștii de securitate IT sunt responsabili de monitorizare și triajul amenințărilor, escaladarea cazurilor și inițierea acțiunilor de conținere. Rolurile juridic și conformitate și responsabilul cu protecția datelor sunt însărcinate cu revizuirea impactului de reglementare și asigurarea termenelor de notificare, în special pentru încălcări în temeiul GDPR, NIS2 și DORA. Conducerea executivă ia decizii strategice pentru incidente cu severitate ridicată, inclusiv comunicări publice și aprobarea modificărilor SMSI. Politica adoptă mecanisme riguroase pentru notificarea încălcărilor, criminalistică digitală și gestionarea probelor, cerând ca notificarea către autorități și părțile interesate afectate să fie efectuată conform termenelor legale și contractuale definite. Procedurile de criminalistică digitală includ imagistică de disc cu write-blockers, urmărirea lanțului de custodie și stocarea criptată a probelor, cu coordonare cu autoritățile de aplicare a legii unde este necesar. Orice abateri de la politică, cum ar fi timpul de răspuns sau colectarea probelor, trebuie să urmeze un proces strict de gestionare a excepțiilor bazat pe risc, cu documentație, aprobare CISO și revizuiri trimestriale ale riscului. Pentru a asigura eficacitatea și conformitatea cu reglementările, politica impune revizuiri anuale, exerciții regulate de răspuns la incidente și metrici clare precum Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) și procentul de revizuiri post-incident finalizate. Auditul și conformitatea și monitorizarea continuă a conformității validează pregătirea și impun respectarea, cu consecințe specificate pentru neconformitate, inclusiv măsuri disciplinare până la încetarea contractului sau raportare către autorități. Politica este integrată profund cu politici suport privind clasificarea datelor, managementul schimbărilor, controale criptografice, backup și restaurare și Politica de jurnalizare și monitorizare, asigurând o postură cuprinzătoare și defensabilă de pregătire pentru incidente.