Skip to main content

5.26 Reakcja na incydenty bezpieczeństwa informacji

Cel

Zapewnienie skutecznej i efektywnej reakcji na incydenty bezpieczeństwa informacji w celu ograniczenia ich skutków oraz zapobiegania przyszłym naruszeniom.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć procedury reagowania na incydenty bezpieczeństwa informacji.
  • Wyznaczyć zespół odpowiedzialny za reagowanie na incydenty, zapewniając im odpowiednie kompetencje i zasoby.
  • Zapewnić, że reakcja na incydenty obejmuje:
    • ograniczenie rozprzestrzeniania się skutków incydentu,
    • zabezpieczenie i gromadzenie dowodów (5.28),
    • eskalację incydentu i w razie potrzeby uruchomienie zarządzania kryzysowego oraz planów ciągłości działania (5.29, 5.30),
    • rejestrowanie działań podejmowanych w ramach reakcji na incydent,
    • komunikację z odpowiednimi stronami wewnętrznymi i zewnętrznymi zgodnie z zasadą „need-to-know”,
    • współpracę z organami regulacyjnymi, dostawcami i klientami w celu minimalizacji skutków incydentu.

Wdrożenie

  • Organizacja powinna wdrożyć proces reagowania na incydenty obejmujący:
    • identyfikację, analizę i klasyfikację incydentu,
    • natychmiastowe działania ograniczające skutki incydentu,
    • eskalację i zarządzanie incydentem zgodnie z jego priorytetem,
    • zapewnienie zgodności działań z obowiązującymi regulacjami i wymaganiami organizacyjnymi.
  • Po zakończeniu działań naprawczych incydent powinien być formalnie zamknięty, a jego przebieg oraz podjęte działania udokumentowane.
  • W razie potrzeby organizacja powinna przeprowadzać analizę kryminalistyczną (forensic analysis) oraz analizę przyczyn źródłowych (5.27).
  • Na podstawie wniosków z analizy incydentów organizacja powinna identyfikować luki w zabezpieczeniach i wdrażać środki korygujące.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać i doskonalić procedury reagowania na incydenty na podstawie doświadczeń z wcześniejszych przypadków.
  • Powinna prowadzić szkolenia dla zespołu reagowania na incydenty oraz organizować symulacje w celu poprawy gotowości na zagrożenia.
  • Weryfikować skuteczność wdrożonych środków naprawczych i ich wpływ na bezpieczeństwo organizacji.

Skuteczna reakcja na incydenty bezpieczeństwa informacji pozwala organizacji minimalizować ich skutki, usprawniać proces zarządzania ryzykiem oraz wzmacniać odporność organizacji na przyszłe zagrożenia.