Обработка инцидентов информационной безопасности (Часть 2). Виды инцидентов


Авиационный инцидент - это что такое? Определение, признаки, правила расследования :: BusinessMan.ru

Зачастую происходит серьезная путаница в оперировании такими терминами, как «авиационный инцидент» и «происшествие». На самом деле они имеют совершенно различные объяснения и признаки, которые учитываются при расследовании и составлении отчетных данных.

Что такое авиационный инцидент?

Так как воздушное судно является самым безопасным видом транспорта в наши дни, то перелеты определены категоричными критериями безопасности, на которые могут влиять различные факторы. Постановлением правительства Российской Федерации от 18.06.1998 под номером 609 принято официальное определение авиационного инцидента, которое обозначает событие, произошедшее в течение того времени, когда любое лицо впервые переступило порог воздушного судна с целью совершения полета, до момента полного покидания ВС (воздушного судна) лицами, совершившими перелет.

Как это понимать? Такое событие не является нормой для стандартного протекания полетного времени, а также стандартной работы ВС, экипажа, СУБП, либо привычным воздействием окружающей среды. Оно имеет прямое влияние на безопасность полета. Однако заканчивается без авиационных происшествий.

Виды инцидентов

Учитывая, что события могут носить разный характер, инциденты тоже могут быть двух видов:

  • Серьезный авиационный инцидент, в ходе которого произошло нарушение целостности воздушного судна. В таком случае все восстанавливающие работы по возвращению ВС прежнего вида будут считаться финансово целесообразными и физически возможными. Сюда не стоит относить те моменты, когда ремонт воздушного судна требует замены каких-либо агрегатов с применением технологий, которые не предусматриваются руководством по эксплуатации и обслуживанию определенного типа ВС.
  • Серьезный авиационный инцидент, который не повлек за собой обстоятельств для появления происшествия. Подобные случаи обычно имеют определенные критерии.

Критерии серьезных инцидентов

Признаками серьезных авиационных инцидентов являются:

  • Случай с выкатом за пределы полосы.
  • Появление дыма, изменение температурного режима (его повышение либо понижение), возникновение запаха токсичных газов или других едких веществ, а также остальных воздействий, приносящих вред экипажу и пассажирам.
  • Упадок сил ввиду невыясненных обстоятельств, значительное уменьшение работоспособности кабинного либо летного экипажа.
  • Неправомерное использование силы, которое ведет к телесным повреждением (относится к лицам, находящимся на борту ВС).
  • Изменения в худшую сторону летной характеристики ВС, а также его управляемости.
  • Появление угрозы разрушения конструкции ВС из-за неликвидированной возможности взрыва, неустраненного и продолжающегося разрушения одного из двигателей ВС, а также опасности пожара.
  • Поломка элементов управления воздушным судном.
  • Те повреждения, которые не относятся к категориям авиационного происшествия.

В случаях опасного сближения нескольких летательных аппаратов в воздушном пространстве либо в пределах территории перрона, ВПП - это рассматривается в качестве единого события. Однако для каждого судна будет идти своя классификация последствий. То есть каждое ВС в итоге получает официальное заявление по ходу проверки и расследования.

Чем инцидент отличается от происшествия?

Часто люди, не знакомые с авиационной терминологией, путают такие понятия, как «авиационное происшествие» и «инцидент». Если с последним термином все понятно, то авиационное происшествие имеет несколько другое объяснение, которое выражается в характеризующих его признаках. Итак, что же это такое? Авиационное происшествие имеет свой период - момент, когда первый человек ступил на борт ВС с целью совершить перелет, до момента полного покидания самолета любым индивидом. В течение этого периода могло произойти:

  • Причинение вреда любому лицу с летальным исходом. Исключением являются случаи, когда такой вред не связан с эксплуатацией воздушного судна. Под аналогичный критерий попадают случаи со смертельным исходом по истечении тридцати суток с момента авиационного происшествия.
  • Повреждение либо разрушение фюзеляжа, из-за чего нарушается не только прочность летательного аппарата, но его летные и технические функции. Необходим срочный ремонт, а также замена испорченного элемента, кроме моментов, связанных с отказом одного из двигателей, когда нет возможности заменить одну или несколько частей и необходима комплексная техническая помощь. Повреждение обтекателей, предкрылок, тормозных устройств и так далее, в случае если подобные поломки не изменили конструкционный вид и прочность судна. Нарушение целостности рулей, винтов, трансмиссии и другое.
  • Чрезвычайная ситуация, связанная с пропажей воздушного судна с радаров. Авиационным происшествием будет считаться, если доступ к летательному аппарату ограничен либо невозможен, как и проведение эвакуационных работ (вне зависимости от того, какие повреждения получило ВС).

Самолет считается пропавшим без вести тогда, когда не смогли установить его место нахождения либо обломков ВС, и официальные спасательные операции по поиску были прекращены. Такое решение принимает агентство РосАвиаКосмос.

Виды авиационных происшествий

Как и авиационные инциденты, происшествия имеют два подвида:

  1. Авиакатастрофа - ситуация на борту воздушного судна, в которой произошла гибель, пропажа без вести одного или нескольких членов из числа летного/кабинного экипажа либо пассажиров. Этот же смысл относится и к ситуации аварийного покидания/эвакуации из самолета, который потерпел бедствие.
  2. Авария - авиационное происшествие, результат которого не показал жертв среди экипажа или пассажиров, а также ВС не было объявлено пропавшим без вести.

Причины возникновения авиационных происшествий

Корнем авиакатастроф все-таки является человеческий фактор. Во всем мире имеется определенная статистика причин авиационных происшествий, и в частности наиболее частых ошибок летного экипажа. Список представлен в процентном соотношении:

  • Ошибки пилотов – 50, из которых 29 - неспровоцированные, 16 - вызваны погодными условиями, 5 - связаны с отказом техники.
  • 22 - приходится на отказ техники, не связанной с действиями летного экипажа.
  • 12 - метеоусловия.
  • 9 - террористические акты.
  • 7 - ошибки авиадиспетчеров, техников и т. д.

Наиболее опасными фазами полета являются взлет и посадка ВС, так как воздушное судно переступает черту и входит в малую высоту полета. В этом случае времени для оценки происходящего бывает недостаточно.

Самые популярные участки полетов, на которых случаются авиационные происшествия, авиакатастрофы и инциденты, в процентном соотношении:

  • Момент пробега - 24,8 %.
  • Момент разбега - 17,6 %.
  • Момент посадки - 16,3 %.
  • Нахождение в зоне ожидания и момент захода на посадку - 11,8 %.
  • Момент взлета - 11,1 %.
  • Период набора высоты - 6,5 %.
  • Полет на крейсерском эшелоне - 5,2 %.
  • Снижение и руление - 3,3 % по каждому пункту.

Как происходит расследование?

По действующим правилам, расследованием авиационных происшествий и инцидентов ведают Межгосударственный авиационный комитет и специальный уполномоченный орган в области ГА соответственно. Как же это происходит? Так как в наш современный век большинство чрезвычайных ситуаций происходит не только в воздушном пространстве, но и на земле, в приаэродромной территории, то толкования для таких инцидентов и происшествий значительно расширены.

Комиссия по расследованию авиационных происшествий и инцидентов, согласно статье под номером 96 Воздушного кодекса Российской Федерации, имеет достаточно широкие полномочия. Такая особенность связана с доскональным изучением всех материалов дела. С учетом того, что Россия участвует в Чикагской конвенции, представители государств и иные работники комиссии имеют право:

  • посещать место происшествия столько раз, сколько им потребуется;
  • осматривать летательный аппарат в той мере, в которой им необходимо для составления протоколов и докладов;
  • принимать участие во время считывания информации с записывающих устройств воздушного судна;
  • иметь открытый доступ ко всем вещдокам, а также просматривать всю информацию, содержащую показания свидетелей.

Самым важным фактором является оперативность прибытия спасательных сил на место авиационного происшествия. Для руководства важным является оперативность в донесении первичной информации, которая позволяет мобильно развернуть и сформировать работу комиссии по расследованию и изучению произошедшего случая.

Ответственность за первоначальные действия лежит на руководителе ОГА и главе регионального управления той территории, которая входит в их ответственное владение. До прибытия команды спасателей ответственным является командир воздушного судна. Бортовые самописцы и другие устройства разрешено вскрывать исключительно с разрешения председателя комиссии по расследованию происшествия. Эксплантат, изготовитель и организация-разработчик должны сохранить всю документацию по ВС.

Работа комиссии

Председатель комиссии отвечает за организацию, координацию и проведение всех работ по расследованию. Обычно для облегчения работы создаются мини-комиссии под руководством главной. Они помогают в изучении летных, инженерно-технических и административных материалов. Для инцидентов подобных комиссий не создается. Если по ходу выясняется, что необходимо возбуждение уголовного дела, то к работе приступают следователи. В таких случаях изъятие самописцев и других материалов производится с разрешения правоохранительных органов.

Пока расследование не окончено и не вынесен главный вердикт, любое распространение информации категорически запрещается. Комиссия проводит заседания, которые оформляются специальными протоколами с подписями начальника штаба и председателя. В отчетах по расследованию авиационных происшествий и инцидентов отражается вся проделанная работа за определенный промежуток времени.

В финальном отчете указывается вся имеющаяся в распоряжении комиссии информация по исследованию и экспертизам. Расследования авиационных инцидентов происходят в том же порядке и по тем же правилам. При вынесении вердикта учитываются все голоса участников такой комиссии. При выражении несогласия необходимо предоставить свое мнение в письменном виде, по которому создается протокол обсуждения. Но есть случаи, когда несогласное мнение помечают пометкой "особое".

Примеры авиационных инцидентов

Во всем мире ежедневно случаются мелкие авиаинциденты, связанные с халатным отношением персонала, износом техники. Некоторые из них просто являются последствием стечения обстоятельств. Не все авиационные инциденты в России освещаются СМИ. Однако среди внутренней документации авиакомпаний и авиапредприятий конец года всегда примечателен свежим перечнем, собравшим все инциденты, происшествия и катастрофы, случившиеся за этот календарный год.

Например, в 2015 году в Самаре по причине отказа бортового компьютера совершил экстренную посадку самолет "Уральских авиалиний" во время следования из города Екатеринбург в Геленджик. Салон был не полным: около ста человек. Благодаря командной работе летного экипажа и действиям КВС самолет успешно приземлился в Самаре, а пассажирам предоставили резервный борт. В том же 2015 году под Воркутой вынужденно сел вертолет Ми-8 компании "Комиавиатранс" из-за полученных повреждений лопастей и лобового стекла пилотской кабины.

Рассмотрим международные случаи. По расследованию авиационного инцидента, произошедшего в аэропорту Анталии (Турция) в октябре 2017 года, было выяснено, что из-за халатного отношения персонала анталийского аэропорта во время попытки взлета воздушного судна украинской компании "Роза ветров" произошла утечка авиационного керосина (топлива). В итоге после прерванного взлета самолет отогнали на дальнюю стоянку для ликвидации последствий и определения причин инцидента.

Октябрь 2017 года запомнился провальным испытанием созданного в Воронеже Ан-148. Пилотам пришлось производить экстренную посадку из-за отказа одного из двигателей. По поводу инцидента ведется проверка на Воронежском самолетостроительном заводе.

Еще одно испытание закончилось неудачей, только на сей раз в Бразилии с участием нового транспортного воздушного судна КС-390. По итогам разбора удалось выяснить, что из-за смещения тяжелого не зашвартованного агрегата из центральной части судна в хвостовую произошло вращение вокруг своей оси и последующий штопор, выйти из которого удалось на критически малой высоте в триста метров. Последующие исследования конструкции фюзеляжа обнаружили повреждения вследствие превышения допустимого предела перегрузок.

И свежий инцидент, произошедший уже первого января 2018 года у турецкой авиакомпании Turkish Airlines. В Стамбуле один из споттеров сумел сфотографировать, как Airbus-321 столкнулся со связкой разноцветных шаров. К счастью это стало лишь красивым снимком, но не стоит забывать, что подобные изделия наполняются газами, способными к быстрому воспламенению, и в случае попадания такого вещества в двигатели воздушного судна могут наступить непоправимые последствия.

Самые страшные и известные авиакатастрофы

В истории пассажирских авиаперевозок можно насчитать не одну сотню катастроф. Страшно представить, о чем люди думали в самые последние секунды их жизни. Благодаря современным технологиям можно ознакомиться практически с каждой крупной катастрофой по средствам СМИ или с помощью документальных фильмов BBC о расследовании авиакатастроф.

Примером одного из крупнейших происшествий стало крушение «Боинга-747», принадлежавшего "Японским авиалиниям". Она произошла в 1985 году. Самолет следовал по маршруту Токио - Осака, и спустя 12 минут полетного времени в кабине пилотов прозвучал сигнал о технических неполадках судна. Оказалось, что у аппарата оторвался киль, и полчаса командир со вторым пилотом пытались стабилизировать положение самолета. Однако чуда не произошло. «Боинг-747» столкнулся с горным хребтом. На борту находилось 520 человек, но, по известной информации, 4 из них удалось каким-то образом остаться в живых.

Примером серьезного столкновения в воздушном пространстве стала авиакатастрофа над индийским полуостровом. В 60 км от столицы – Дели, упали обломки «Боинга-741» и российского «Ила-76», который летал под флагом Казахстана. Причиной явилось несанкционированное снижение ВС «Ил-76» с 15 до 14 футов, в результате чего он пробил стабилизатор и левое крыло «Боинга». Последний моментально разрушился и упал, а следом за ним рухнул потерявший управление «Ил». Погибло 349 человек.

К самой крупнейшей аварии во Франции причисляется катастрофа 1974 года. Тогда следовавший по маршруту Стамбул – Париж - Лондон турецкий самолет Turkish Airlines потерпел крушение сразу после взлета из-за начавшейся декомпрессии всего салона. По выясненным обстоятельствам резкий спад кабинной высоты случился в связи с плохо зафиксированной дверью грузового люка, который при достижении запредельной нагрузки и при отсутствии надува внутреннего пространства открылся, повредив систему управления ВС. 72 секунды понадобилось на то, чтобы самолет рухнул вместе с 346 пассажирами в Эрменонвиле. Выживших найдено не было.

Самолет "Саудовских авиалиний" L-1011 потерпел катастрофу, будучи уже на земле. Во время движения по воздушной трассе из Эр-Рияда в Джидде на борту, в грузовом отсеке, начался пожар. Экипаж успешно развернул борт и совершил посадку в пункте отправления. Однако по каким-то причинам не заглушил двигатели и продолжил двигаться по ВПП. В конечном итоге он остановился на очень отдаленном расстоянии от пожарных расчетов, которые не осмелились подъехать ближе. Целых 23 минуты понадобилось огню, чтобы захватить весь периметр воздушного судна, и в итоге все 301 человек сгорели заживо либо погибли от удушья.

Еще одна страшная катастрофа произошла в летний период 1988 года. Над территорией Ирана был сбит широкофюзеляжный А-300, следовавший по маршруту Тегеран - Дубай. Военный крейсер американцев, стоявших в заливе, просто ошибся, неверно идентифицировав борт. Ракета земля-воздух унесла жизни 290 человек, а американское правительство не принесло ни одного извинения по поводу своей трагичной оплошности. Однако американцы выплатили семьям компенсацию в размере 62 миллионов долларов, так и не признав свою вину. Парадокс.

Раз уж затронули Америку, то в истории США самой крупной катастрофой стало происшествие, произошедшее в 1979 году. Из-за плохого технического обслуживания лайнера после взлета произошел отказ одного из двигателей, который в результате и вовсе оторвался от крыльевого пилона. Рейс, следовавший из Чикаго в Лос-Анджелес, закончился падением рядом с ВПП и гибелью 273 человек.

Одной из самых загадочных катастроф является крушение малазийского «Боинга-777» под Донецком, совершавшего рейс Амстердам – Куала-Лумпур. Результаты расследования только ожидают обнародования, но, по известным сведениям, самолет был сбит. Погибло более 300 человек.

Одной из самых крупных катастроф, связанной с террористическими действиями, явилось крушение А-321 над Синайским полуостровом, где массово погибли российские туристы, возвращавшиеся с отдыха по маршруту Шарм-эль-Шейх - Санкт-Петербург. После взлета, через 23 минуты, самолет пропал с радаров диспетчеров, а позже обломки были найдены близ города Нехель. Части самолета были разбросаны друг от друга на приличном расстоянии. По выясненным данным, в багаж была подложена бомба в виде банки от газированного напитка, которая взорвалась после набора высоты. Катастрофа унесла 224 жизни, за смерть которых взяла ответственность запрещенная группировка исламского государства Ирака и Леванта.

Самой нелепой и крупнейшей катастрофой считают столкновение двух бортов в аэропорту Тенерифе 1977 года. Почему нелепая? Все из-за того, что оба борта «Боинг-747» не должны были оказаться в тот момент на территории Тенерифе. Однако диспетчеры перенаправили их в связи со случившимся терактом в Гранд-Канарии. Два «Боинга» - голландской и американской авиакомпании - двигались по одной и той же рулежке лицом друг к другу. Столкновения избежать не удалось, так как оплошность диспетчеров заметили очень поздно. Погибло 583 человека, выжило 60.

businessman.ru

Управление инцидентами и проблемами — понятия и принципы

Введение

По мере возрастания роли ИТ в компании растет и потребность в обеспечении хорошего уровня сервиса, обеспечении максимальной доступности ИТ-услуг. Бизнес-пользователь должен иметь возможность получить решение своих проблем, если они возникают, как можно быстрее, и работать в любое время. Реализация процессов управления инцидентами и проблемами нацелена именно на это. В данной статье мы описываем, как может быть устроена работа ИТ-службы в рамках управления инцидентами и проблемами. Это описание основано на предложениях ITIL и опыте наших клиентов.

Язык инцидентов и проблем

ITIL Service Support — признанная в мире модель. Она основана на передовом опыте и используется как руководство ИТ-организациями при разработке подходов к управлению обслуживанием. Эта модель перспективна. Также она определяет дополнительные элементы, необходимые для успешного функционирования ИТ-организации как сервисного бизнеса. Она предоставляет технический словарь для обсуждения службы поддержки, определяет понятия и раскрывает отличия между различными видами деятельности. Например, деятельность, необходимая для реагирования на прерывания сервиса, его восстановления, отлична от деятельности по поиску и устранению причин, из-за которых прерывается обслуживание.

Инциденты

Инцидент — есть любое событие, которое не является частью стандартных операций сервиса и вызывает, или может вызвать, прерывание обслуживания или снижение качества сервиса.

Примерами инцидентов являются:

  1. Пользователь не может получить e-mail
  2. Средство мониторинга сети указывает, что канал связи вскоре переполнится
  3. Пользователь ощущает замедление работы приложения

Проблемы

Проблема — есть неизвестная причина одного или более инцидентов.Одна проблема может породить несколько инцидентов.

Ошибки

Известная ошибка — есть инцидент или проблема, для которой выявлена причина и разработано решение по ее обходу или устранению. Ошибки могут выявляться в результате анализа жалоб пользователей или анализа систем.

Примеры ошибок включают:

  1. Неправильная сетевая конфигурация компьютера
  2. Средство мониторинга неверно определяет статус канала в момент занятости маршрутизатора

Соотношение понятий управления инцидентами и проблемами показано на рисунке 1. Инциденты, проблемы и известные ошибки связаны в своего рода жизненный цикл: инциденты часто являются индикаторами проблем ⇒ выявление причины проблемы определяет ошибку ⇒ ошибки затем систематически исправляются.

Управление инцидентами

Управление инцидентами — есть деятельность по восстановлению нормального обслуживания с минимальными задержками и влиянием на бизнес-операции, являющаяся реактивным, сфокусированным на краткосрочную перспективу сервисом восстановления.

Она включает в себя:

  1. Выявление и регистрация инцидентов
  2. Классификация и начальная поддержка
  3. Исследование и диагностика
  4. Решение и восстановление
  5. Закрытие
  6. Владение, мониторинг, отслеживание и связь

Управление проблемами

Управление проблемами — есть деятельность по минимизации воздействия на бизнес проблем, которые вызываются ошибками в ИТ-инфраструктуре, по предотвращению повторения инцидентов, связанных с такими ошибками. Управление проблемами выявляет причины проблем, идентифицирует решения по их обходу или устранению.

Управление проблемами включает:

  1. Контроль проблем
  2. Контроль ошибок
  3. Предотвращение проблем
  4. Анализ основных проблем

Контроль проблем

Цель контроля проблем — найти причину проблемы, выполнив следующие шаги:

  1. Идентификация и регистрация проблем
  2. Классификация проблем и определение приоритетов их решений
  3. Исследование и диагностика причин

Контроль ошибок

Контроль ошибок обеспечивает исправление проблем за счет следующих действий:

  1. Идентификация и регистрация известных ошибок
  2. Оценка способов устранения и расстановка приоритетов
  3. Регистрация по временному обходу ошибки в средствах службы поддержки
  4. Закрытие известных ошибок путем осуществления исправлений
  5. Мониторинг известных ошибок для определения необходимости в изменении приоритетов

Анализ проблем

Цель анализа проблем состоит в улучшении процессов управления инцидентами и управления проблемами. Что достигается изучением качества результатов деятельности по устранению основных проблем и инцидентов.

Организационные роли и распределение ответственности

Наиболее часто встречаемой структурой системы поддержки является многоуровневая модель, в которой все возрастающий уровень технических возможностей применяется для решения инцидента или проблемы. Фактические роли и распределение ответственности, используемые в многоуровневой реализации системы поддержки, могут быть различными в зависимости от персонала, истории и политики конкретной организации. Тем не менее, следующее описание многоуровневой системы поддержки типично для многих организаций.

Первый уровень поддержки

Организация (подразделение), представляющая первый уровень поддержки обычно относится к оперативным службам. Как правило, она называется диспетчерской службой, Call Center, Help Desk, Service Desk.

Роли. Владелец процесса

Первый уровень поддержки гарантирует, что установлен и поддерживается хорошо определенный, единообразно исполняемый, измеряемый соответствующим образом, эффективный процесс управления инцидентами. Получение и управление всеми вопросами обслуживания потребителей. Первый уровень поддержки является единственной точкой контакта для передачи вопросов с обслуживанием, и он действует как адвокат конечного пользователя, который гарантирует, что вопросы с обслуживанием решаются своевременно.

Первая линия поддержки

Организация первого уровня поддержки предпринимает первую попытку разрешить вопрос с обслуживанием, о котором сообщил конечный пользователь.

Обязанности
  • Точная регистрация инцидентов. Первый уровень поддержки гарантирует, что информация об инциденте вносится в журнал системы. Для этого должно быть:

    • Гарантировано, что карточка инцидента содержит точное и достаточно детальное описание проблемы
    • Гарантирован правильный выбор важности/приоритета инцидента
    • Определена природа проблемы, контакты пользователя, влияние на бизнес и ожидаемое время решения
  • Владение каждым инцидентом. Как адвокат конечного пользователя первый уровень поддержки обеспечивает успешное разрешение каждого инцидента. При этом гарантируется своевременное решение вопросов за счет:

    • Разработки и управления планом действий по решению вопроса
    • Инициации конкретных назначений заданий для персонала и бизнес-партнеров
    • Эскалации инцидента, если требуется, когда цель не достигается во время
    • Обеспечения внутреннего взаимодействия в соответствии с целями обслуживания
    • Защиты интересов вовлеченных бизнес-партнеров
  • Первый уровень поддержки использует базу данных управления проблемами для сопоставления инцидентов известным ошибкам и применения ранее найденных способов разрешения инцидентов. Цель заключается в разрешении 80 процентов инцидентов. Остальные инциденты передаются (эскалируются) на второй уровень.

  • Непрерывное улучшение процесса управления инцидентами. Как владелец данного процесса первый уровень поддержки гарантирует улучшение при необходимости процесса посредством:

    • Оценки эффективности данного процесса и таких механизмов поддержки, как отчеты, виды связи и форматы сообщений, процедуры эскалации
    • Разработки специфических для подразделений отчетов и процедур
    • Поддержки и совершенствования взаимодействия и списков эскалации
    • Участие в процессе анализа проблем
Способности и навыки
  • Навыки межличностного общения первостепенны. Персонал первого уровня поддержки вовлечен главным образом в расстановку приоритетов и управление проблемами. На этом уровне поддержки проводятся лишь незначительные технические изыскания. Способность применять «консервированные» решения. Персонал первого уровня должен уметь распознавать симптомы, применять поисковые инструменты для обнаружения ранее разработанных решений и помогать конечным пользователям в применении таких решений.

Второй уровень поддержки

Этот уровень также обычно относится к оперативным службам.

Роли
  • Исследование инцидентов. Второй уровень поддержки изучает, диагностирует и решает большинство инцидентов, которые не были решены на первом уровне. Эти инциденты имеют тенденцию указывать на новые проблемы.
  • Владелец процесса управления проблемами. Второй уровень поддержки обеспечивает, что имеет место хорошо определенный и эффективный процесс управления проблемами.
  • Упреждающее управление инфраструктурой. Второй уровень поддержки использует инструменты и процессы, чтобы гарантировать, что проблемы выявляются и решаются до возникновения инцидентов.
Обязанности
  • Решение инцидентов, переданных с первого уровня. Если для первого уровня поддержки ожидается, что он решает 80% инцидентов, то от второго уровня поддержки ожидается, что он решает 75% инцидентов, переданных ему первым уровнем, то есть 15% от числа зарегистрированных инцидентов. Остальные инциденты передаются на третий уровень.
  • Определение причин проблем. Второй уровень поддержки определяет причины проблем и предлагает меры по их обходу или устранению. Они привлекают и управляют другими ресурсами по мере необходимости для определения причин. Решение проблем передается на третий уровень, когда причина заключается в архитектурном или техническом вопросе, который превышает их уровень квалификации.
  • Обеспечение реализации исправлений и устранений проблем. Второй уровень поддержки обеспечивает инициирование проектов в организациях разработчиках для реализации планов устранения известных ошибок. Они обеспечивают документирование найденных решений, сообщают о них персоналу первого уровня и реализуют их в инструментах.
  • Постоянный мониторинг инфраструктуры. Второй уровень поддержки пытается идентифицировать проблемы до возникновения инцидентов посредством наблюдения за компонентами инфраструктуры и принятия корректирующих действий при обнаружении дефектов или ошибочных тенденций.
  • Заблаговременный анализ тенденций инцидентов. Уже случившиеся инциденты исследуются для того, чтобы определить не свидетельствуют ли они о наличии проблем, которые следует исправить, чтобы они не вызвали новые инциденты. Исследуются те инциденты, которые закрыты и не сопоставлены известным проблемам, на предмет наличия потенциальных проблем.
  • Постоянное совершенствование процесса управления проблемами. Как владелец процесса управления проблемами второй уровень поддержки гарантирует, что процесс и имеющиеся возможности адекватны и улучшает их при необходимости. Они проводят сессии анализа проблем, чтобы выявить полученные уроки и гарантировать, что средства контроля над процессом, такие как совещания и отчеты, адекватны.
Способности и навыки
  • Технически компетентны с разумными навыками общения. Персонал второго уровня поддержки должен иметь спектр технических навыков по всем поддерживаемым технологиям, включая сети, сервера и приложения. Общим дефицитом в организациях второго уровня являются знания в области операционных систем и приложений. Не должно быть значительного разрыва между организациями второго и третьего уровней. Некоторые сотрудники второго уровня должны быть так же квалифицированы, как и сотрудники третьего уровня.
  • Знание сетей, серверов и приложений. Организации второго уровня должны быть способны решить инциденты и проблемы по всему спектру технологий, используемых в компании.

Третий уровень поддержки

Этот уровень поддержки обычно относится к группе разработки приложений и сетевой инфраструктуры.

Роли
  • Планирование и проектирование ИТ-инфраструктуры. Обычно группа поддержки третьего уровня играет небольшую роль в управлении инцидентами и управлении проблемами, так как такие организации главным образом заняты планированием и конструированием ИТ-инфраструктуры. В этом качестве их цель состоит в реализации бездефектной инфраструктуры, которая не является источником проблем и инцидентов.
  • Последний рубеж в эскалации. Если инцидент или проблема оказывается выше возможностей группы поддержки второго уровня, то группа поддержки третьего уровня принимает ответственность за поиск решения.
Обязанности
  • Решение инцидентов, переданных со второго уровня. Так как большинство инцидентов вызывается известными ошибками, то очень немного инцидентов (5%) проходит через второй уровень на третий. Третий уровень отвечает за решение всех инцидентов, которые к ним поступают.
  • Участие в деятельности по управлению проблемами.Третий уровень поддержки задействован в поиске причин, способов обхода и устранения ошибок.
  • Реализация мер по устранению ошибок из инфраструктуры. У третьего уровня значительная роль в планировании, конструировании и реализации проектов по устранению недостатков инфраструктуры. Выполнение этих проектов должно быть согласовано с обычной работой по развитию инфраструктуры для достижения нужного баланса.
Способности и навыки
  • Эксперты в соответствующих областях. Команды третьего уровня должны быть экспертами, которые планируют и проектируют ИТ-инфраструктуру.

Процессы

Можно выделить три основных процесса, связанных с управлением инцидентами и управлением проблемами:

  • процесс управления инцидентами
  • процесс контроля проблем
  • процесс контроля ошибок

Эти основные процессы присутствуют практически во всех передовых организациях, хотя могут иметь и другие названия.

Процесс управления инцидентами

Данный процесс сфокусирован на скорейшем восстановлении прерванного сервиса. В таблице 1 приведены основные параметры этого процесса, а на рисунке 1 показана диаграмма его работы.

Таблица 1. Параметры процесса

Параметр процесса

Описание

Назначение

  • Восстановить сервис для конечного пользователя, поддерживая высокую степень удовлетворенности

Владелец

  • Команда поддержки первого уровня

Вход

  • Обращение пользователя с сообщением о прерывании сервиса

Выход

  • Сервис восстановлен
  • Конечный пользователь оповещен
  • Создана запись об инциденте
  • Создана запись о возможной проблеме

Типичные числовые параметры

  • Количество открытых инцидентов, сгруппированных по уровню серьезности, прошедшему времени, группам ответственности
  • Количество инцидентов, сгруппированных по времени (помесячно/поквартально)
  • Количество инцидентов, переданных и решенных на каждом уровне
  • Среднее время, затраченное на инцидент в каждой группе
  • Среднее время восстановления сервиса
  • Процент инцидентов, решенных в заданное время
  • Инциденты по технологиям
  • Инциденты по пользовательским группам

Управление инцидентами

Рисунок 1. Модель процесса

Процесс контроля проблем

Процесс контроля проблем сфокусирован на расстановке приоритетов, выделении и мониторинге усилий на определении причин проблем, способов их временного или постоянного устранения. Этот процесс может быть уподоблен управлению портфелем проектов, где каждая проблема суть проект, который должен управляться в рамках портфеля таких же проектов. Основные параметры проекта контроля проблем приведены в таблице 2.

Таблица 2. Параметры процесса управления проблемами

Параметр процесса

Описание

Назначение

  • Определить причину проблемы и способ временного или постоянного решения

Владелец

  • Команда поддержки второго уровня

Вход

  • Инцидент высокого уровня серьезности
  • Инциденты, переданные для решения на третий уровень поддержки
  • Инциденты, выделенные на совещании

Выход

  • Документированная причина
  • Сообщение о временных решениях на все уровни поддержки

Типичные числовые параметры

  • Количество проблем, сгруппированных по времени (помесячно/поквартально)
  • Количество проблем, где анализ причин отложен
  • Количество открытых проблем (причина не выявлена)
  • Среднее время, затраченное на рассмотрение проблемы на каждом уровне
  • Среднее время для определения причины
  • Проблемы по технологиям
  • Проблемы по пользовательским группам

Вход в процесс может поступать из нескольких источников. Обычно инциденты высокого уровня серьезности автоматически передаются процессу контроля проблем. В организациях с крепким вторым уровнем поддержки инциденты, передаваемые на третий уровень поддержки, также в плановом порядке направляются процессу контроля проблем. И, наконец, ежедневное совещание может перенаправить те или иные инциденты процессы контроля проблем. Процесс, реализующий контроль проблем, показан на рисунке 2.

Процесс контроля проблем

Рисунок 2. Модель процесса контроля проблем

Фокус процесса контроля проблем направлен на определение причин. Состав участников анализа причин и длительность времени, необходимого для выполнения такого анализа зависит от самой проблемы. Можно считать правильными следующие утверждения:

  1. Если у вас достаточное количество проблем, то назначьте постоянную команду. Иначе создавайте команду при появлении проблемы, во многом также как формируется команда под какой-либо проект;
  2. Команда почти всегда должна быть с междисциплинарным опытом и знаниями. И это конечно зависит от природы возникшей проблемы;
  3. Следует давать оценку времени на определение причины (разрабатывать план проекта) в момент появления проблемы. В соответствии с этой оценкой следует измерять прогресс в деятельности команды.

После того как ресурсы выделены и расставлены приоритеты, фактическая механика определения причины может принимать различные формы. Хорошо зарекомендовали себя такие методы поиска причин как Анализ Кепнера и Трего, диаграммы Ишикавы, диаграммы Парето и прочее.

Процесс контроля ошибок

Контроль ошибок обеспечивает документирование способов преодоления неисправностей и оповещения о них (способах) персонала поддержки. К нему же относится поддержание связи с другими техническими и разрабатывающими организациями, также способствующее выявлению ошибок. Более того, контроль ошибок влияет на разработчиков с целью реализации исправлений известных ошибок. В таблице 3 приведены основные параметры процесса контроля ошибок. На рисунке 3 изображена модель процесса контроля ошибок.

Таблица 3. Параметры процесса управления ошибками

Параметр процесса

Описание

Назначение

  • Оповещение о методах обхода известных ошибок и обеспечение исправления этих ошибок командами разработки

Владелец

  • Команда поддержки второго уровня

Вход

  • Проблемы, причины которых выявлены
  • Известные ошибки, реализованные через процесс управления изменениями

Выход

  • Документированные методы обхода ошибок для различных групп поддержки
  • Приоритезированный список проектов по исправлению известных ошибок

Типичные числовые параметры

  • Количество известных ошибок
  • Количество инцидентов, вызванных известными ошибками
  • Количество проектов, основанных/реализованных для исправления известных ошибок
  • Стоимость всех проектов по исправлению известных ошибок

Процесс контроля ошибок

Рисунок 3. Модель процесса контроля ошибок

Взаимодействия

Как правило, взаимодействия в данном процессе принимают одну из двух форм. Это либо сообщения о статусе инцидента или проблемы, которые предоставляются различным группам и/или отдельным лицам на основе утвержденных правил и шаблонов, либо сообщения о запросах, которые требуют от получателя определенных действий, обычно содержащих кроме фактического запроса/требования еще ссылку на инцидент, номер телефона пользователя или иную ссылку на него.

Многие компании полагаются на возможности автоматической рассылки сообщений, предоставляемые программным обеспечением. Такие сообщения рассылаются в соответствии с жесткими регламентами для поддержания эскалации. Сообщения о статусе из программных систем, как правило, порождаются из данных, введенных в поля карточки инцидента. Поэтому такие сообщения часто неполны и похожи на шифровку из-за того, что используемые для построения автоматических сообщений поля могут обновляться нерегулярно своевременной информацией или автоматически заполняются программными средствами мониторинга с использованием жаргона сообщений об ошибках.

Для исправления этих недостатков автоматические возможности коммуникации дополняются, особенно в случае инцидентов высокого уровня важности, сообщениями составленными вручную.

Эскалация

Механизм эскалации помогает своевременно решить инцидент путем увеличения возможностей персонала, уровня усилий и приоритета, нацеленных на решение этого инцидента. Лучшие организации имеют хорошо определенные пути эскалации с временными рамками и ответственности ясно определенными на каждом шаге. Они используют средства управления инцидентами для автоматической передачи ответственности на все возрастающий уровень поддержки в соответствии с временными рамками и сложностью.

Временные рамки и ответственность в рамках эскалации сильно отличаются в зависимости от организации, промышленности и уровня сложности проблем. В передовых организациях проводятся переговоры с конечными пользователями для определения подходящих временных рамок и эскалации ответственности. Результат таких переговоров реализуются в виде соглашений об уровне сервиса, автоматизированных средств, списков, шаблонов.

Функциональная эскалация

Функциональная эскалация есть передача инцидента на более высокий уровень поддержки, когда знаний или опыта недостаточно или истек согласованный интервал времени. В передовых организациях определяется матрица уровней важности, основанная на степени влияния на бизнес, временных рамках разрешения инцидента и интервалах времени, в которые инцидент должен быть передан в более продвинутую группу. Таблица 4. представляет собой такую матрицу.

В большинстве организаций группы поддержки первого и второго уровней, ориентированы на эксплуатацию существующей инфраструктуры, тогда как третий уровень поддержки предоставляется обычно группами, которые отвечают за планирование развития инфраструктуры, ее проектирование. Поэтому тщательное планирование того, каким образом ответственность будет функционально передана на третий уровень, критически важно.

Таблица 4. Матрица эскалаций

Уровень инцидента

Описание

Срок решения

Начальный уровень

Первая эскалация

Вторая эскалация

Третья эскалация

1

Свыше 50 пользователей не могут выполнять бизнес-транзакции

2 часа

1-ый уровень поддержки

0 минут

2-ый уровень поддержки

30 минут

3-ий уровень поддержки

30 минут

1-ый менеджер

Экстренное совещание

2

От 10 до 49 пользователей не могут выполнять бизнес-транзакции

4 часа

1-ый уровень поддержки

0 минут

2-ый уровень поддержки

60 минут

3-ий уровень поддержки

60 минут

1-ый менеджер

Экстренное совещание

3

От 1 до 9 пользователей не могут выполнять бизнес-транзакции

8 часов

1-ый уровень поддержки

30 минут

2-ый уровень поддержки

120 минут

3-ий уровень поддержки

120 минут

1-ый менеджер

В передовых организациях обычно определяется дежурный пейджер. Менеджер каждой технологической группы отвечает за подготовку расписания обработки вызовов, поступающих на такой пейджер, и гарантирует, что вызовы обслуживаются в любое время. Кроме того, для каждой технологической группы должна быть определена процедура иерархической (управленческой) эскалации. Обычно линейный руководитель группы третьего уровня является первым руководителем в эскалации.

Иерархическая эскалация

Для того, чтобы обеспечить предоставление инциденту соответствующего приоритета и выделение необходимых ресурсов до того, как будут перекрыты временные рамки его разрешения, иерархическая эскалация вовлекает в процесс руководство. Иерархическая эскалация может выполняться на любом уровне поддержки. В таблице 4 иерархическая эскалация происходит на третьем шаге эскалации для проблем всех уровней важности.

В передовых организациях эскалация к руководству происходит автоматически в соответствии с предопределенной процедурой на основе серьезности проблемы. После того, как эскалация произошла, ожидается, что соответствующий менеджер активно управляет решением проблем и становится единым контактом для сообщений о статусе.

Отчеты и совершенствование процессов

Статистические отчеты в передовых организациях используются для контроля, непрерывного проведения улучшения процесса и анализа соответствия показателей производительности уровню сервиса, согласованному с потребителями.

Для контроля процессов управления инцидентами и управления проблемами могут, например, использоваться отчеты, содержащие значения следующих параметров:

  1. Количество карточек инцидентов, открытых в данный момент в разрезах по уровню важности, затраченному времени, группам ответственности
  2. Количество карточек проблем, открытых в данный момент (причина которых еще не выявлена)

Такие отчеты позволяют руководителям принимать решения о распределении ресурсов, направлении усилий персонала. Регулярное использование параметров типа:

  1. Среднее время обработки карточек на каждом из уровней
  2. Количество карточек, переданных и решенных на каждый из уровней, могут помочь выявить слабости ИТ-инфраструктуры

Наконец жизненно необходимый набор отчетов, типа:

  1. Процент инцидентов, решенных в заданные сроки
  2. Среднее время на восстановление сервиса, позволяет взаимодействовать ИТ-организации со своими потребителями и соотносить достигнутый уровень производительности с целевым уровнем сервиса

Заключение

Разработка процессов и процедур управления инцидентами проводится многими организациями, но далеко не все эти организации делают то же самое для управления проблемами. Часто это происходит из-за недостаточно ясного понимания характеристик этих двух видов деятельности. Управление инцидентами — простейший вид деятельности для понимания, поскольку он просто создает механизм для реагирования на прерывания сервиса. Поскольку «визгливое колесо всегда будет смазано», то управление инцидентами развивается достаточно быстро. Однако для развития управления проблемами часто имеется меньше поводов.

Управление проблемами в большей степени похоже на управление портфелем проектов, целью каждого из которых является определение причин проблемы. Инциденты часто являются первым индикатором проблемы и, однажды столкнувшись с инцидентом, организация должна иметь процесс и процедуры выяснения причины.

Продолжая аналогию с портфелем проектов, организация, занимающаяся управлением проблемами, должна разработать критерий определения проблем, которые следует исследовать для определения причин, во многом таким же образом как она это делает в части критерия принятия решения о выборе нового проекта. Проблемы, которые не исследуются, продолжают отслеживаться для исследования их в будущем. Когда причина найдена и решение разработано, организация отслеживает прогресс в реализации решения.

www.inframanager.ru

Работа с инцидентами информационной безопасности / Хабр

Доброго дня, уважаемый хабрахабр!

Я продолжаю публикацию статей из практики по информационной безопасности. В этот раз речь пойдёт о такой важной составляющей, как инциденты безопасности. Работа с инцидентами займёт львиную долю времени после установления режима информационной безопасности (приняты документы, установлена и настроена техническая часть, проведены первые тренинги).

Информирование об инцидентах

Перво наперво необходимо получить информацию об инциденте. Этот момент необходимо продумать ещё на этапе формирования политики безопасности и создания презентаций по ликбезу в ИБ для сотрудников. Основные источники информации:

1. Helpdesk. Как правило (и это хорошая традиция) о любых неполадках, неисправностях или сбоях в работе оборудования звонят или пишут в хелпдеск вашей IT-службы. Поэтому необходимо заранее «встроиться» в бизнес-процесс хелпдеска и указать те виды инцидентов, с которыми заявку будут переводить в отдел информационной безопасности.

2. Сообщения непосредственно от пользователей. Организуйте единую точку контакта, о чём сообщите в тренинге по ИБ для сотрудников. На данный момент отделы ИБ в организациях, как правило, не очень большие, зачастую из 1-2 человек. Поэтому будет несложно назначить ответственного за приём инцидентов, можно даже не заморачиваться с выделением адреса электропочты под нужды IS Helpdesk.

3. Инциденты, обнаруженные сотрудниками ИБ. Тут всё просто, и никаких телодвижений для организации такого канала приёма не требуется.

4. Журналы и оповещения систем. Настройте оповещения в консоли антивируса, IDS, DLP и других систем безопасности. Удобнее использовать аггрегаторы, собирающие данные также из логов программ и систем, установленных в вашей организации. Особое внимание нужно уделить точкам соприкосновения с внешней сетью и местам хранения чувствительной информации.

Категорирование инцидента

Хоть инциденты безопасности разнообразны и многообразны, их довольно легко разделить на несколько категорий, по которым проще вести статистику.

1. Разглашение конфиденциальной или внутренней информации, либо угроза такого разглашения. Для этого необходимо иметь, как минимум, актуальный перечень конфиденциальной информации, рабочую систему грифования электронных и бумажных носителей. Хороший пример — шаблоны документов, практически на все случаи жизни, находящиеся на внутреннем портале организации или во внутренней файлопомойке, по умолчанию имеют проставленный гриф «Только для внутреннего использования». Немного уточню про угрозу разглашения, в предыдущем посте я описывал ситуацию, когда документ с грифом «Только для внутреннего использования» был вывешен в общем холле, смежным с другой организацией. Возможно, самого разглашения и не было (вывешено было после окончания рабочего дня, да и замечено было очень быстро), но факт угрозы разглашения — на лицо!

2. Несанкционированный доступ. Для этого необходимо иметь список защищаемых ресурсов. То есть тех, где находится какая-либо чувствительная информация организации, её клиентов или подрядчиков. Причём желательно внести в эту категорию не только проникновения в компьютерную сеть, но и несанкционированный доступ в помещения.

3. Превышение полномочий. В принципе можно объединить этот пункт с предыдущим, но лучше всё-таки выделить, объясню почему. Несанкционированный доступ подразумевает доступ тех лиц, которые не имеют никакого легального доступа к ресурсам или помещениям организации. Это внешний нарушитель, не имеющий легального входа в вашу систему. Под превышением полномочий же понимается несанкционированный доступ к каким-либо ресурсам и помещениям именно легальных сотрудников организации.

4. Вирусная атака. В этом случае необходимо понимать следующее: единично заражение компьютера сотрудника не должно повлечь за собой разбирательство, так как это можно списать на погрешность или пресловутый человеческий фактор. Если же заражен ощутимый процент компьютеров организации (тут уже исходите из общего количества машин, их распределенности, сегментированности и тд), то необходимо разворачивать полновесную отработку инцидента безопасности с необходимыми поисками источников заражения, причин и т.д.

5. Компрометация учетных записей. Этот пункт перекликается с 3. Фактически инцидент переходит из 3 в 5 категорию, если в ходе расследования инцидента выясняется, что пользователь в этот момент физически и фактически не мог использовать свои учётные данные.

Классификация инцидента

С этим пунктом в работе с инцидентами можно поступить 2-мя путями: простым и сложным. Простой путь: взять соглашение об уровне сервиса вашей IT-службы и подогнать под свои нужды. Сложный путь: на основе анализа рисков выделить группы инцидентов и/или активов, в отношении которых решение или устранение причин инцидента должны быть незамедлительными. Простой путь неплохо работает в небольших организациях, где не так уж и много закрытой информации и нет огромного количества сотрудников. Но стоит понимать, что IT-служба исходит в SLA из своих собственных рисков и статистики инцидентов. Вполне возможно, что зажевавший бумагу принтер на столе генерального директора будет иметь очень высокий приоритет, в том случае, как для вас важнее будет компрометация пароля администратора корпоративной БД.

Сбор свидетельств инцидента

Есть особенная прикладная наука — форензика, которая занимается вопросам криминалистики в области компьютерных преступлений. И есть замечательная книга Федотова Н.Н. «Форензика — компьютерная криминалистика». Я не буду сейчас расписывать детально аспекты форензики, просто выделю 2 основных момента в сохранении и предоставлении свидетельств, которых необходимо придерживаться.

• Для бумажных документов: подлинник хранится надежно с записью лица, обнаружившего документ, где документ был обнаружен, когда документ был обнаружен и кто засвидетельствовал обнаружение. Любое расследование должно гарантировать, что подлинники не были сфальсифицированы • Для информации на компьютерном носителе: зеркальные отображение или любого сменного носителя, информации на жестких дисках или в памяти должны быть взяты для обеспечения доступности. Должен сохраняться протокол всех действий в ходе процесса копирования, и процесс должен быть засвидетельствован. Оригинальный носитель и протокол (если это невозможно, то, по крайней мере, одно зеркальное отображение или копия), должны храниться защищенными и нетронутыми

После устранения инцидента

Итак, инцидент исчерпан, последствия устранены, проведено служебное расследование. Но работа на этом не должна завершаться. Дальнейшие действия после инцидента:

• переоценка рисков, повлекших возникновение инцидента • подготовка перечня защитных мер для минимизации выявленных рисков, в случае повторения инцидента • актуализация необходимых политик, регламентов, правил ИБ • провести обучение персонала организации, включая сотрудников IT, для повышения осведомленности в части ИБ

То есть необходимо предпринять все возможные действия по минимизации или нейтрализации уязвимости, повлекшей реализацию угрозы безопасности и, как результат, возникновение инцидента.

Несколько советов

1. Ведите журнал регистрации инцидентов, где записывайте время обнаружения, данные сотрудника, обнаружившего инцидент, категорию инцидента, затронутые активы, планируемое и фактическое время решения инцидента, а так же работы, проведенные для устранения инцидента и его последствий.2. Записывайте свои действия. Это необходимо в первую очередь для себя, для оптимизации процесса решения инцидента.3. Оповестите сотрудников о наличие инцидента, что бы во-первых они не мешали вам в расследовании, во-вторых исключили пользование затронутыми активами на время расследования.

habr.com

инцидент - это... Что такое инцидент?

2.7 инцидент (incident): Любое событие, которое не является частью стандартной операции услуги и которое вызывает или может вызвать прерывание или снижение качества предоставления услуги.

Примечание - Это событие может вызывать обращения со следующими вопросами: «Как сделать, чтобы я ...?».

3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность или информационную безопасность [2].

Примечание - К инцидентам информационной безопасности относятся:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических защитных мер;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

3.5 инцидент: Отказ или повреждение технических устройств, применяемых на опасном производственном объекте; отклонение от режима технологического процесса, нарушение положений Федерального закона [1], других федеральных законов и иных нормативных правовых актов Российской Федерации, а также нормативных и технических документов, устанавливающих правила ведения работ на опасном производственном объекте.

Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений Федерального закона «О промышленной безопасности опасных производственных объектов», других федеральных законов и иных нормативных правовых актов Российской Федерации, а также нормативных технических документов, устанавливающих правила ведения работ на опасном производственном объекте (ст. 1 Федерального закона «О промышленной безопасности опасных производственных объектов» от 21.07.97).

3.18 инцидент: Механическое повреждение или проявление скрытого дефекта конструкции, отдельного элемента сооружений опасного производственного объекта, отказ обслуживающих его систем (телемеханики, связи, энергоснабжения, электрохимической защиты или других), не повлиявшие на работоспособность объекта, но вызвавшие необходимость принятия нештатных действий, не предусмотренных планом технического обслуживания и ремонта, для восстановления его безопасного состояния.

[ title='Инструкция по техническому расследованию и учету аварий и инцидентов на опасных производственных объектах ОАО "Газпром", подконтрольных Госгортехнадзору России', Термины и определения] [4]

Инцидент - событие, которое может привести (или уже привело) к несчастному случаю.

Примечание. Инцидент, который не привел к нанесению ущерба здоровью, травме или каким-либо иным негативным последствиям, относится к понятию "опасное происшествие", которое, в свою очередь, входит в понятие "инцидент".

3.1. Инцидент - событие, которое может привести (или уже привело) к несчастному случаю.

Примечание.Инцидент, который не привел к нанесению ущерба здоровью, травме или каким-либо иным негативным последствиям, относится к понятию "опасное происшествие", которое, в свою очередь, входит в понятие "инцидент".

3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность или информационную безопасность [2].

Примечание - К инцидентам информационной безопасности относятся:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических защитных мер;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

2.1 инцидент (incident): Небезопасное происшествие, связанное с работой или произошедшее в процессе работы, но не повлекшее за собой несчастного случая.

2.20 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.18 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

3.12 инцидент (incident): Событие, реализация которого может привести к нарушению/разрушению деятельности организации, потерям, аварии или кризису.

1.15. Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса.

Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений федеральных законов и иных нормативных правовых актов Российской Федерации, а также нормативных технических документов, устанавливающих правила ведения работ на опасном производственном объекте.

3.3 инцидент : Отказ или повреждение оборудования или технических устройств на объектах МН, отклонение от режима технологического процесса, которые сопровождаются утечками нефти объемом менее 10 м3 без воспламенения нефти или взрыва ее паров, без загрязнения водотоков.

3.9 инцидент (incident): Событие(я), связанное(ые) с выполнением работы, в ходе или в результате которого(ых) возникают или могут возникнуть травма и иное ухудшение состояния здоровья (см. 3.8) (независимо от их тяжести) или смерть.

Примечания

1 Несчастный случай - это инцидент, который привел к травме, ухудшению состояния здоровья или смерти.

2 Инцидент, который не привел к возникновению травмы, ухудшению состояния здоровья или смерти, может также называться «почти произошедшим инцидентом», «почти случившимся инцидентом», «предпосылкой к инциденту» или «опасным происшествием».

3 Аварийная ситуация (см. 4.4.7) является частной разновидностью инцидента.

3.9 инцидент (incident): Событие(я), связанное(ые) с выполнением работы, в результате которого(ых) произошло или может произойти ухудшение состояния здоровья (см. 3.8) или травма (независимо от тяжести) или наступает смерть пострадавшего.

Примечания

1 Несчастный случай - это инцидент, который привел к травмированию, ухудшению здоровья или смерти.

2 Инцидент, при котором не возникает травм, заболеваний или смерти, может также называться «опасное происшествие».

3 Аварийная ситуация (см. 4.4.7) является особым видом инцидента.

3.1.8 инцидент: Отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений Федерального закона " title="О промышленной безопасности опасных производственных объектов" безопасности опасных производственных объектов" [2], других федеральных законов и иных нормативных правовых актов Российской Федерации, а также нормативных документов, устанавливающих правила ведения работ на опасном производственном объекте.

10. Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений нормативных актов и документов, устанавливающих правила ведения работы на опасном производственном объекте.

- отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений Федерального закона «О промышленной безопасности опасных производственных объектов» от 21.07.97 № title="О промышленной безопасности опасных производственных объектов" и иных нормативных правовых актов Российской Федерации, а также нормативных технических документов, устанавливающих правила ведения работ на опасном производственном объекте*.

____________

* Статья 1 Федерального закона от 21.07.97 № title="О промышленной безопасности опасных производственных объектов" «О промышленной безопасности опасных производственных объектов».

3.2. К инцидентам при транспортировании опасных веществ относятся:

3.2.1. Возгорание или высвобождение опасного вещества из транспортного средства при осуществлении транспортирования или при выполнении отдельных технологических операций (погрузочно-разгрузочные работы, временное (транзитное) хранение и др.) на путях (дорогах) необщего пользования из-за нарушения целостности загрузочных емкостей, их рабочего и конструктивного оборудования3.

3.2.2. Сход, столкновение, опрокидывание, падение транспортного средства, загруженного опасным грузом, на путях (дорогах) необщего пользования.

____________

3 Фактически не отличается от аварии в подпункте 2.1 и соответствует Федеральному закону « title="116-ФЗ"» только в части нарушения целостности емкости и оборудования. (Примеч. изд.)

3.6 инцидент : Отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений Федерального закона «О промышленной безопасности опасных производственных объектов», других федеральных законов и иных нормативных правовых актов Российской Федерации, а также нормативных технических документов, устанавливающих правила ведения работ на опасном производственном объекте (если они не содержат признаков аварии).

Смотри также родственные термины:

229 инцидент (железнодорожной электросвязи): Событие, заключающееся в нарушении нормального функционирования системы, сооружения, средства железнодорожной электросвязи, а также стандартных операций по предоставлению ресурсов или услуг, которое может привести или привело к снижению качества ресурса, услуги или полному прекращению их предоставления.

230 инцидент в системе управления технологическими процессами хозяйства связи железнодорожного транспорта: Событие, требующее мониторинга и разрешения со стороны поставщика услуг железнодорожной электросвязи.

2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

3.15 инцидент информационной безопасности (information security incident): Единичное событие или серия нежелательных или неожиданных событий, связанных с информационной безопасностью, которые со значительной вероятностью способны нанести ущерб бизнес-операциям (деловым операциям) и поставить под угрозу информационную безопасность.

Примечание - См. ИСО/МЭК ТО 18044.

3.3 инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Примечание - Примеры инцидентов ИБ приведены в разделе 6.

инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политики или рекомендаций по ИБ;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

[ГОСТ Р ИСО/МЭК 27001-2006, статья 3.6]

3.3.22 инцидент информационной безопасности (information security incident): Одно или серия нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операции и угрожают информационной безопасности.

3.11. инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.

Примечание.

Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

Инцидент на опасном производственном объекте ОАО "Газпром" - механическое повреждение или проявление скрытого дефекта конструкции, отдельного элемента сооружений действующего опасного производственного объекта, отказ обслуживающих его систем (систем телемеханики, связи, энергоснабжения, ЭХЗ или других), не повлиявшее на работоспособность объекта, но вызвавшее необходимость принятия нештатных действий, не предусмотренных планом технического обслуживания и ремонта, для восстановления его безопасного состояния.

Инцидент на опасном производственном объекте ОАО «Газпром» - механическое повреждение или проявление скрытого дефекта конструкции, отдельного элемента сооружений действующего опасного производственного объекта, отказ обслуживающих его систем (систем телемеханики, связи энергоснабжения, ЭХЗ или других), не повлиявшее на работоспособность объекта, не вызвавшее необходимость принятия нештатных действий, не предусмотренных планом технического обслуживания и ремонта, для восстановления его безопасного состояния.

Словарь-справочник терминов нормативно-технической документации. academic.ru. 2015.

normative_reference_dictionary.academic.ru

Инцидент. Что такое инцидент на предприятии

Итак, что такое инцидент? Это приостановление работы предприятия на срок не больше суток. К ним относятся происшествия, когда здания, общие системы механизмов не были разрушены, а также отсутствовали смертельные случаи.

Инцидент. Что такое инциденты и аварии?

Инцидентом считается только поломка отдельных механизмов, деталей, небольшие возгорания, а также незначительное разрушение зданий.

Существует такое понятие, как авария. К ней можно отнести те случаи, когда предприятие вынужденно приостановить работу на срок больше суток. При этом были разрушены здания, случился выброс вредных веществ, которые способны загрязнить окружающую среду. Пожары тяжёлой степени, техногенные взрывы, гибель одного или же большого количества людей.

инцидент что такое

Ситуации и поступки, которые влекут за собой инцидент

Что такое инцидент, все уже понимают. Однако для того чтобы его избежать, недостаточно знать одно определение. Существуют следующие причины инцидентов, которые являются самыми распространёнными:

  1. Конечно, в первую очередь аварии и инциденты происходят вследствие халатного отношения сотрудников предприятий к выполняемой работе.
  2. Катастрофические ситуации возникают из-за несоблюдения техники безопасности, а также из-за того, что работники пребывают в состоянии алкогольного опьянения.
  3. Банальный непрофессионализм сотрудников предприятия.
  4. Иногда человек невиновен в происшествии: случайное стечение обстоятельств, в результате чего происходят аварии. Например, причиной трагедии могут быть погодные условия. Бывают случаи, связанные с неисправным оборудованием, которое может дать сбой и привести к инциденту.

что такое инцидент

Комиссия, которая расследует инциденты и аварии

В том случае если на производстве случается происшествие, собирается специальная комиссия, которая определяет порядок расследования инцидентов и аварий. Комиссию назначает совет правления предприятия. В ее состав должно входить нечётное число сотрудников. Такая система существует для того, чтобы мнения членов комиссии не разделились поровну, из-за чего следствие могло бы затянуться.

Комиссия выявляет причины инцидентов. В первую очередь она устанавливает лиц, которые имели отношение к аварии или инциденту. Далее следует определить степень повреждений, а также размер нанесённого ущерба. После этого комиссия составляет план по ликвидации последствий аварии.

Стоит напомнить, что после происшествия сотрудники предприятия должны в первую очередь немедленно сообщить об инциденте или аварии соответствующим органам. Работа, проведённая по факту нарушения или инцидента, оформляется и фиксируется в специально заготовленный нормативно-правовой акт. В нём должно быть указано время, место, а также суть инцидента. План действий по ликвидации аварии также вносят в акт. Данные из акта заносят в журнал происшествий. Все процедуры по выявлению, устранению, а также оформлению инцидентов и аварий должны быть выполнены в указанный срок – десять дней с момента начала расследования.

Авария и инцидент могут привести к серьёзным последствиям, поэтому каждые полгода на предприятиях проводят проверки всех сотрудников. Оценивается уровень их профессионализма и ответственности.

причины инцидентов

Как избежать инцидентов и аварий

Что такое инцидент, понимают многие, однако как его избежать, знают далеко не все. Существует несколько правил, которые могут предупредить трагедию.

  1. Соблюдение правил безопасности. Довольно часто работники различных предприятий пренебрегают правилами ТБ, надеясь на то, что именно с ними ничего не случится. Но к сожалению, как показывает практика, большинство этих людей сталкиваются с неприятными ситуациями. Поэтому не следует нарушать правила безопасности, для того чтобы избежать инцидентов.
  2. Никогда не появляться на рабочем место в состоянии алкогольного опьянения!
  3. Следить за исправностью оборудования. Порой случается, что инциденты и аварии происходят без вины работников предприятия. Поэтому, если они замечают, что оборудование в плохом состоянии, необходимо сообщить об этом начальству и всё заменить.

порядок расследования инцидентов

Инциденты на предприятиях происходят нередко, поэтому необходимо знать обо всех мерах предосторожности и безопасности для того, чтобы предупредить неприятности и избежать плачевных последствий.

fb.ru

Принципы оптимальной классификации инцидентов

Стефан Манн (Stephen Mann), аналитик Forrester Research, в своем блоге рассуждает об оптимальной классификации инцидентов. Часто встречаются высказывания, что сложно найти передовые методы классификации инцидентов. Первое, что приходит на ум посмотреть в поисковиках. По англоязычным запросу «оптимальные методы классификации инцидентов» и «оптимальные методы категоризации инцидентов» Google выдает 21 миллион ссылок (хотя, нужно уточнить, не все из них относились к управлению ИТ услугами). Однако практический результат оказывается нулевым, т.к. ни в одной ссылке нет в свободном доступе  готовых советов или решений.

Удивительно, еще и то, что несмотря на разнообразие лучших (или хороших) практик управления ИТ услугами (в особенности практик использующих библиотеку ITIL),  на мой взгляд, классификация инцидентов — это та область, где успех,  достигаемый аккуратным документированием, действительно позволяет предотвращать сбои и неполадки.  

Так как многие организации начинают использовать лучшие практики ITSM или ITIL с управления инцидентами и организации службы Service Desk, составление надежной иерархической классификации инцидентов — это одна из первых задач с которой они сталкиваются.  Ровно та же самая задача возникает и тогда, когда организация выбирает один из имеющихся на рынке  ITSM-продуктов. Кроме того проблема классификации, затрагивает и те организации, которые начинают осознавать, что действующая у них иерархия инцидентов становится неэффективной. Итак, классификация инцидентов очень важна так, где же найти соответствующие лучшие практики?

Почему так мало стоящей информации? Некоторые говорят, что тут не может быть универсального для всех стандарта. Действительно, всех под одну гребенку тут выровнять не получится. Некоторые также могут возразить, что составление иерархической классификации инцидентов — способ дополнительного заработка для разработчиков инструментов и консультантов по ITSM. Однако в ITSM-консалтинге и так достаточно других более продуктивных возможностей для увеличения дохода от профессиональных услуг, зачем же тратить время на очередное «изобретение  велосипеда»?

Естественно, пользуясь наработками за последние 20 лет можно составить свод «правил» по классификации инцидентов или, другими словами фреймворк, которым организации будет руководствоваться в процессе создания иерархической классификации инцидентов. Важно, чтобы такой классификатор соответствовал всем требованиям бизнеса к процессу управления инцидентами.    

Вот приблизительный список принципов:

  1. Иерархия должна составляться с учетом требований бизнеса, а не ИТ.
  2. Необходимо упростить перехват инцидентов, однако это не должно вредить последующей аналитической обработке базы данных, так как данные об инцидентах должны использоваться в анализе тенденций для процессов управления проблемами и непрерывного улучшения услуг, а также при подготовке разного рода отчетности и расчете интегральных показателей.
  3. Классификация должна упрощать рабочий процесс и сокращать жизненный цикл инцидентов.
  4. Старайтесь классифицировать факты, а не «симптомы».
  5. Слишком большое количество уровней классификации снижает скорость перехвата и способствует путанице в категориях,  особенно там, где начинают злоупотреблять функцией «другое». В большинстве случаев не требуется более трех уровней классификации. Чтобы полностью исключить случайности можно ввести в иерархию четвертый уровень.
  6. Подумайте, стоит ли придумывать более 10 подуровней для одной категории. Я уверен, что 10 подуровней более чем достаточно. 
  7. Следует минимально использовать значение «другое». Кто-то будет спорить, что к «неизвестному» может быть только один путь, но стоит ли тратить силы на прохождение трех уровней классификации, чтобы в итоге зарегистрировать инцидент, как «другой»? 
  8. Должны быть четкие правила, что и куда распределяется. Очевидно, что в классификации инцидентов избыточность и повторы идут только во вред.
  9. В процессе работы, не допускайте дополнение иерархии новыми категориями и подкатегориями.
  10. Коды закрытия могут добавить дополнительную ценность в вашу классификацию. В особенности при определении точности перехвата инцидента и анализе путей разрешения инцидентов.
  11. И наконец, постарайтесь учесть требования внутренних политик, а также индивидуальные мнения, чтобы создать систему, отвечающую нуждам многих пользователей.

Было бы интересно узнать, что вы думаете по этому поводу, оставляйте свои комментарии, делитесь опытом.

По материалам блога Стефана Манна

Дополнительные материалы

smartsourcing.ru

Обработка инцидентов информационной безопасности (Часть 2) — ISO27000.ru

Сергей Романовский, [email protected]

Превентивные мероприятия

Первопричиной наступления события инцидента информационной безопасности является потенциальная способность злоумышленника получить необоснованные привилегии для доступа к активу организации. Оценить риск подобной возможности и принять правильное решение о защите, составляет основную задачу команды реагирования.

Каждый риск должен быть приоритезирован  и обработан, в соответствии с политикой оценки рисков принятой в организации. Оценка рисков рассматривается как перманентный процесс, целью которого является достижение приемлемого уровня защиты, иными словами, должны быть внедрены достаточные меры защиты актива от необоснованного или неправомочного использования. Оценка рисков способствует классификации активов. Критичные, с точки зрения рисков активы, в подавляющем большинстве случаев, также являются критичными для бизнеса организации.

Специалисты команды реагирования анализируют угрозы и способствуют поддержанию в актуальном состоянии, принятой службой информационной безопасности организации, модели нарушителя.

Для эффективной работы команды реагирования в организации должны быть предусмотрены процедуры, обеспечивающие описание процессов функционирования подразделений. Особое внимание должно уделяться наполнению документарной базы службы информационной безопасности.

Обнаружение и анализ инцидентов информационной безопасности

Инциденты информационной безопасности могут иметь различные источники происхождения. В идеале, организация должна быть готова к любым проявлением вредоносной активности. На практике это неосуществимо.

Служба реагирования должна классифицировать и описать каждый инцидент, произошедший в организации, а также классифицировать и описать возможные инциденты, предположения о которых были сделаны на основе анализа рисков.

Для расширения тезауруса о возможных угрозах и связанных с ними возможных инцидентов хорошей практикой является использование постоянно обновляемых открытых источниках сети Internet.

Признаки инцидента информационной безопасности

Предположение о том, что в организации произошёл инцидент информационной безопасности, должно базироваться на трёх основных факторах:

  • сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы)
  • IDS сигнализируют о множественном повторяющемся событии
  • Анализ журнальных файлов автоматизированной системы даёт основание для вывода системным администраторам о возможности наступления события инцидента

В общем случае, признаки инцидента делятся на две основные категории, сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдёт в скором будущем. Ниже перечислены некоторые признаки совершающегося события:

  • IDS фиксирует переполнение буфера
  • уведомление антивирусной программы
  • крах WEB – интерфейса
  • пользователи сообщают о крайне низкой скорости при попытке выхода в Internet
  • системный администратор фиксирует наличие файлов с нечитабельными названиями
  • пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений
  • хост производит запись в журнал аудита об изменении конфигурации
  • приложение фиксирует в журнальном файле множественные неудачные попытки авторизации
  • администратор сети фиксирует резкое увеличение сетевого трафика, и.т.д.

Примерами событий, которые могут послужить источниками информационной безопасности могут служить:

  • журнальные файлы сервера фиксируют сканирование портов
  • объявление в СМИ о появлении нового вида эксплойта
  • открытое заявление компьютерных преступников об объявлении войны вашей организации и.т.д.

Анализ инцидентов информационной безопасности

Инцидент не является очевидным свершившимся фактом, напротив, злоумышленники стараются сделать всё чтобы не оставить в системе следов своей деятельности. Признаки инцидента содержит незначительное изменение в файле конфигурации сервера или, на первый взгляд, стандартная жалоба пользователя электронной почты. Принятие решения о наступлении события инцидента во многом зависит от компетентности экспертов команды реагирования. Необходимо отличать случайную ошибку оператора от злонамеренного целенаправленного воздействия на информационную систему. Факт отработки “в холостую” инцидента информационной безопасности также является инцидентом информационной безопасности, поскольку отвлекает экспертов команды реагирования от насущных проблем. Руководство организации должно обратить внимание на данное обстоятельство и предоставить экспертам команды реагирования известную свободу действий.

Составление диагностических матриц служит для визуализации результатов анализа событий, происходящих в информационной системе. Матрица формируется из строк потенциальных признаков инцидента и столбцов – типов инцидентов. В пересечении даётся оценка событию по шкале приоритетов “высокий”, “средний”, ”низкий”. Диагностическая матрица призвана документировать ход логических заключений экспертов в процессе принятия решения и, наряду с другими документами, служит свидетельством расследования инцидента.

Документирование инцидента информационной безопасности

Документирование событий инцидента информационной безопасности необходимо для сбора и последующей консолидации свидетельств расследования. Документированию подлежат все факты и доказательства злонамеренного воздействия. Различают технологические свидетельства и операционные свидетельства воздействия. К технологическим свидетельствам относят информацию, полученную от технических средств сбора и анализа данных (сниферы, IDS), к операционным – данные или улики, собранные в процессе опроса персонала, свидетельства обращений на service desk, звонки в call center.

Типичной практикой является ведение журнала расследования инцидента, который не имеет стандартной формы и разрабатывается командой реагирования. Ключевыми позициями подобных журналов могут служить:

  • текущий статус расследования
  • описание инцидента
  • действия, производимые командой реагирования в процессе обработки инцидента
  • список акторов расследования с описанием их функций и процентом занятости в процедуре расследования
  • перечень свидетельств (с обязательным указанием источников), собранных в ходе обработки инцидента
  • комментарии участников расследования инцидента
  • описание последующих действий и состояние процесса (ожидание ответа на запрос в call center, и.т.д.)

В ходе расследования инцидента все свидетельства должны быть защищены от дискредитации, поскольку данные могут содержать информацию о действенных уязвимостях информационной системы.

Приоритезация инцидентов информационной безопасности

Приоритезация инцидентов информационной безопасности базируется на следующих основных факторах:

  • Настоящий и потенциально возможный эффект инцидента информационной безопасности. Команда реагирования рассматривает не только факт свершившегося инцидента, но и последствия и потенциальные угрозы которые могут возникнуть в дальнейшем.
  • Критичность вовлечённых в инцидент активов. Критичность активов обсуждалась на этапе подготовки к расследованию инцидентов.

Таким образом, корреляция данных показателей даёт основания экспертам команды реагирования делать выводы о приоритетах инцидентов.

Рассылка уведомлений об инциденте информационной безопасности

В организации должна быть разработана и внедрена система оповещения об инцидентах. Создание цепочки оповещения необходимо для поддержания должного уровня управления организацией во время обработки инцидента. Состав команды оповещения и способ оповещения разрабатывается с учётом особенностей функционирования и структуры организации.

Принципы построения модели структуры реагирования, рассмотренные ранее, хорошо подходят в качестве базовых принципов структуры оповещения, способствуют унификации системы управления. В основе разработки модели оповещения лежит сценарный (ролевой) принцип, суть которого заключается в привлечении, помимо руководства организацией, руководящего персонала подразделений, которых затронул инцидент. Лица, входящие в состав команды оповещения, должны пройти соответствующую подготовку и осознавать свою роль в процессе обработки инцидента.

Литература

  1. BS 25999-1:2006 Управление непрерывностью бизнеса – Часть1: Практические правила

  2. BS ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования

  3. ISO13335-1:2004 Информационные технологии. Руководство по управлению ИТ безопасностью. Концепции и модели для управления безопасностью информационных и телекоммуникационных технологии)

www.iso27000.ru