Менеджмент инцидентов ИБ относится к управлению эккаунтингом, которое связано с процессом сбора, обработки и анализа данных о работе организации, их сравнения с исходными и плановыми показателями, с целью своевременного выявления проблем, вскрытия резервов для более полного использования имеющегося потенциала.
ГОСТ Р ИСО/МЭК 27001-2006: система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Составной частью системы общего менеджмента ИБ является система менеджмента инцидентов ИБ, предназначенная для комплексного решения следующих задач:
- обнаружение, информирование и учет инцидентов ИБ;
- реагирование на инциденты ИБ, включая применение необходимых средств для предотвращения, уменьшения и восстановления нанесенного ущерба;
- анализ произошедших инцидентов с целью планирования превентивных мер защиты и улучшения процесса обеспечения ИБ в целом.
Определение и понятие инцидента информационной безопасности:
ГОСТ Р ИСО/МЭК 18044-2007: Событие информационной безопасности: Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
ГОСТ Р ИСО/МЭК 27001:2006: Инцидент информационной безопасности: любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
В стандарте приводится также перечень основных видов инцидентов ИБ:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.