最后更新于2017年12月13日星期三格林威治标准时间16:12:45

剧情简介

在题为“NIST和ISO标准中的事件响应生命周期”的系列文章中,我回顾了事件响应生命周期, 在与事件管理相关的NIST和ISO标准中定义和描述.

我介绍了这些标准 本系列的第一篇文章.

ISO/IEC 27035是由多个部分组成的标准. 第一部分介绍了事件管理原则. 第二部分, ISO / IEC 27035 - 2, 为事件管理准备和计划提供详细的指导方针. 它的正式名称是“信息技术-安全技术-信息安全事件管理-第2部分:计划和准备事件响应的指南”。.

在本文中,我将继续对我开始的ISO / IEC 27035 - 2进行简短回顾 在这里.

标准化事件形式的重要性

该标准强调了标准化事件形式的重要性. 它应以电子形式实施,并链接到事件/事件数据库. 它应该允许报告所有与信息处理有关的可疑事件, 包括可疑的漏洞. 由IRT(事件响应小组)决定是否将所报告的内容归类为事件. 每个用户都应该接受培训,知道在哪里可以找到这样的表单. 值得记住的是,如果发生意外,这种表单可能无法访问. 因此,在这种情况下,应该为用户提供其他报告方法.

ISO / IEC 27035 - 2建议使用一些标准化格式处理收集和交换的所有关于事件/事件的数据(这也会影响事件/事件报告表的内容). 这种标准化格式的一个例子是 事件对象描述交换格式(RFC 5070).

值得注意的是 安全自动化软件 是否可以考虑对这些表格中收集的数据进行预处理.

标准化程序的重要性

关于标准化程序(SOP)在事件管理中的重要性,我已经写过很多次了. 这在ISO / IEC 27035 - 2中再次得到重申.

事件管理程序应该详细说明根据事件管理策略和事件管理计划要采取的行动. 针对不同类型的事件应该有单独的程序(每种类型的事件可能以不同的方式处理), 这和e有关.g. 可能与此类事件有关的各种技术系统). 也, 对于未知类型的事件应该有一个单独的程序, 这是一个不能被归入任何已知类别的事件. (请注意,应该预先定义事件类型列表,然后定期审查.)

该标准强调了事件管理程序中证据处理要素的重要性. 应该始终记住,事件处理有两个目标:一个直接目标是遏制/消除事件, 但次要目标是证据保存(这对于事件控制/根除可能不是至关重要,但对于任何法律行动肯定是至关重要的)。.

和, 最后但同样重要的, 该标准建议仔细决定哪些程序应适用于所有员工,哪些程序不应适用. 攻击者可能会利用详细的事件处理过程知识为自己谋利.

信任的重要性

在本节中,ISO / IEC 27035 - 2涵盖了关于两个问题的建议:

  • 建立对事件应变小组的信任;
  • 在报告事件时匿名(或不匿名).

IRT应该是一个值得信任的机构,这样员工就可以毫不犹豫地与IRT分享事件/事件信息. 这种信任可以通过两种方式实现:

  • 向所有员工保证,他们传递的事件/事件信息不会以任何方式被用来针对他们(除非他们是故意事件的来源), 当然);
  • 为员工开展宣传活动,教导他们正确管理事件的价值.

还应事先决定是否以匿名方式进行报道, 标准解释了利弊.

此外,该标准还提出了一个经常被忽视的IRT信托领域的战略问题. 该标准建议将事件和漏洞报告与运营管理分开,并将所有事件管理能力的融资与其他部门分开, 把…的风险降到最低, 正如它的名字一样, “不正当影响”. 这件事很重要, 因为, 例如, 如果IRT是IT部门的一部分, IRT永远不会完全独立地调查与IT部门有关的事件.

与信任相关的是可能与事件/事件信息一起处理的敏感信息的机密性问题. 这些机密信息应该通过事件管理程序(以及用于事件管理支持的系统)得到适当的保护。. 此外,如果需要,这些信息应该匿名化.

有关事故应变小组的建议

ISO / IEC 27035 - 2中有一个单独的部分专门用于事件响应小组(IRT)。. 该标准指出,IRT为a.o. 有助于减少事故造成的各种损害. 因此,有时候,IRT的角色可能对组织的生存至关重要.

该标准定义了三种类型的irt:专用团队、虚拟团队和混合团队. 一个专门的团队除了事件管理(例如.e. 所有与事件管理流程相关的任务). 虚拟IRT团队由分担事件管理职责的成员组成. 混合团队是由两种类型的成员组成的IRT. 组织应该权衡这些方法的利弊,并将团队类型和规模与需求联系起来. 有时这不是一件容易的事, 特别是对于新组织来说, 因为很难估计事件处理需要多少资源. 因此,对于新组织或开始实施事件管理流程的组织来说,虚拟IRT团队可能是一个很好的解决方案.

该标准建议IRT由一名高级经理领导(这也与上面的信任言论有关)。. 记住事件管理也很重要, 尽管通常与IT环境有关, 涉及多个部门-因此,IRT应该有来自其他部门的成员(例如.g. 法律、PR).

什么下一个?

在下一篇文章中, 我将讨论关于意识的ISO / IEC 27035 - 2指南, 培训和事件管理计划测试.

参考资料及进一步阅读

ISO/IEC 27035-1(事件管理原则)
ISO / IEC 27035 - 2(事件应变计划及准备指引)
NIST SP 800-61事件响应生命周期介绍
事件对象描述交换格式