6.8 Zgłaszanie incydentów bezpieczeństwa informacji
Kontrola
Organizacja powinna zapewnić mechanizm umożliwiający personelowi zgłaszanie zaobserwowanych lub podejrzewanych incydentów bezpieczeństwa informacji odpowiednimi kanałami w odpowiednim czasie.
Cel
Wsparcie szybkiego, spójnego i skutecznego raportowania zdarzeń związanych z bezpieczeństwem informacji, które mogą zostać zidentyfikowane przez personel.
Wytyczne
Cały personel i użytkownicy powinni być świadomi swojej odpowiedzialności za jak najszybsze zgłaszanie incydentów bezpieczeństwa informacji, aby zapobiec ich skutkom lub je zminimalizować. Powinni także znać procedurę zgłaszania incydentów oraz punkt kontaktowy, do którego należy je zgłaszać. Mechanizm zgłaszania powinien być jak najbardziej prosty, dostępny i niezawodny.
Do incydentów bezpieczeństwa informacji zaliczają się zdarzenia, naruszenia i podatności. Przykładowe sytuacje wymagające zgłoszenia incydentu to:
- a) nieskuteczne mechanizmy kontroli bezpieczeństwa informacji;
- b) naruszenie poufności, integralności lub dostępności informacji;
- c) błędy ludzkie;
- d) nieprzestrzeganie polityki bezpieczeństwa informacji, polityk szczegółowych lub obowiązujących standardów;
- e) naruszenia środków bezpieczeństwa fizycznego;
- f) zmiany systemowe, które nie zostały zatwierdzone przez proces zarządzania zmianami;
- g) awarie lub inne nietypowe zachowania systemów, oprogramowania lub sprzętu;
- h) naruszenia zasad dostępu;
- i) wykryte podatności;
- j) podejrzenie infekcji złośliwym oprogramowaniem.
Personel i użytkownicy powinni być poinformowani, że nie wolno im samodzielnie testować podejrzanych podatności bezpieczeństwa. Przeprowadzanie takich testów może być uznane za niewłaściwe użycie systemu, a także może spowodować uszkodzenie systemu informatycznego lub usług, a także zafałszowanie lub utratę cyfrowych dowodów. Może to również skutkować konsekwencjami prawnymi dla osoby dokonującej testów.
Inne informacje
Dodatkowe informacje można znaleźć w serii norm ISO/IEC 27035.