6.3. Рекомендации к определению ролей процесса реагирования на инциденты ИБ
6.3. Рекомендации к определению ролей процесса реагирования на инциденты ИБ 
6.3.1. В организации БС РФ рекомендуется определить роли работников, связанные с реагированием на инциденты ИБ, и назначить ответственных за их выполнение. Среди прочего, рекомендуется определить роли, связанные с выполнением деятельности на следующих стадиях:
- стадия оповещения и оценки;
- стадия сбора и фиксации информации;
- стадия закрытия инцидента ИБ;
- стадия анализа и принятие управленческих решений по результатам реагирования на инцидент ИБ.
6.3.2. Ответственных за выполнение ролей в рамках реагирования на инциденты ИБ рекомендуется включать в ГРИИБ. При необходимости ГРИИБ может дополняться внешними экспертами, привлекаемыми на временной основе.
Действия членов ГРИИБ в рамках процесса обработки инцидента ИБ рекомендуется определить соответствующими регламентами реагирования на инциденты ИБ.
6.3.3. Рекомендуется установить следующий состав ролей ГРИИБ:
1. Роль куратора ГРИИБ, который организует и курирует выполнение процессов реагирования на инциденты ИБ, работу ГРИИБ, а также обеспечивает общий контроль достаточности и своевременности выполнения деятельности в организации БС РФ по реагированию на инциденты ИБ.
Среди прочего, куратор ГРИИБ:
- инициирует принятие управленческих решений по результатам реагирования на инциденты ИБ;
- информирует руководство организации БС РФ об обнаруженных инцидентах ИБ и результатах реагирования на них;
- принимает решение о проведении расследований по фактам инцидентов ИБ, а также о необходимости взаимодействия со сторонними организациями и правоохранительными органами в рамках расследования инцидентов ИБ.
Рекомендуется назначать куратора ГРИИБ из числа руководства организации БС РФ.
2. Роль руководителя ГРИИБ, который обеспечивает оперативное руководство реагированием на инциденты ИБ.
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами. В обязанности руководителя ГРИИБ входят:
- инициализация реагирования на инцидент ИБ в ГРИИБ;
- назначение ответственного исполнителя ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ;
- координирование деятельности членов ГРИИБ при реагировании на инцидент ИБ;
- привлечение необходимой компетенции в рамках ГРИИБ для реагирования на инцидент ИБ;
- контроль соблюдения требований регламентирующих документов в ходе реагирования на инцидент ИБ;
- принятие решения о возможности закрытия инцидента ИБ;
- предоставление консультаций и рекомендаций участникам процесса реагирования на инциденты ИБ.
Кроме того, к обязанностям руководителя ГРИИБ рекомендуется относить формирование предложений по совершенствованию процессов реагирования на инциденты ИБ и пересмотру соответствующих регламентов.
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ.
3. Роль оператора-диспетчера ГРИИБ, который в качестве единой точки входа обеспечивает сбор информации о событиях ИБ и инцидентах ИБ, обнаруженных и (или) имевших место в организации БС РФ.
В обязанности оператора-диспетчера ГРИИБ входят:
- отслеживание (мониторинг) событий ИБ с использованием технических средств мониторинга ИБ;
- сбор информации о событиях ИБ и (или) нетипичных событиях, потенциально имеющих отношение к ИБ, от работников организации БС РФ;
- проведение первичной оценки событий ИБ с целью определения, является ли событие ИБ инцидентом ИБ;
- обеспечение и контроль ведения записей о событиях ИБ;
- в случае классификации событий ИБ в качестве инцидента ИБ регистрация инцидента ИБ и информирование руководителя ГРИИБ и (или) членов ГРИИБ.
4. Роль аналитика ГРИИБ, который обладает необходимой компетенцией и назначается ответственным исполнителем ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ.
Аналитик ГРИИБ выполняет следующие основные функции:
- проведение вторичной оценки события ИБ с целью подтвердить, что событие ИБ является инцидентом ИБ, и, в случае такого подтверждения, проведение мероприятий по реагированию на инцидент ИБ и расследованию инцидента ИБ, в том числе сбор и фиксация информации, координирование и контроль закрытия инцидента ИБ;
- оповещение работников организации БС РФ об инциденте ИБ в соответствии с установленными регламентами;
- взаимодействие с оператором-диспетчером ГРИИБ, руководителем ГРИИБ по вопросам реагирования на инцидент ИБ;
- выдвижение предложений о необходимости взаимодействия в рамках расследования инцидентов ИБ со сторонними организациями и правоохранительными органами;
- выдвижение предложений по результатам реагирования на инцидент ИБ, в том числе предложений по совершенствованию СОИБ организации БС РФ, совершенствованию процессов менеджмента инцидентов ИБ, регламентов реагирования на инциденты ИБ, внутренних документов организации БС РФ, связанных с инцидентами ИБ.
Рекомендуется объединять аналитиков ГРИИБ в функциональные группы для решения задач по реагированию на инциденты ИБ определенного вида, например инциденты ИБ, связанные с воздействием вредоносного кода, или инциденты ИБ при осуществлении дистанционного банковского обслуживания.
Рекомендуется назначать аналитиков ГРИИБ из числа работников службы ИБ или работников подразделения информатизации организации БС РФ.
5. Роль секретаря ГРИИБ, основной задачей которого является сбор и анализ информации с целью формирования и предоставления руководителю ГРИИБ и куратору ГРИИБ аналитических отчетов материалов, включая:
- сбор и обобщение сведений об инцидентах ИБ, в том числе событиях ИБ, ошибочно признанных инцидентами ИБ;
- подготовку отчетов о зафиксированных инцидентах ИБ, в том числе событиях ИБ, ошибочно признанных инцидентами ИБ;
- подготовку отчетов о результатах реагирования на инциденты ИБ и расследования инцидентов ИБ.
Ограничений на назначение одному работнику нескольких ролей ГРИИБ в рамках настоящих рекомендаций не устанавливается. В то же время не рекомендуется совмещение в одном лице ролей ГРИИБ и ролей, связанных с разработкой, модернизацией и непосредственной эксплуатацией АБС.
6.3.4. При определении состава ГРИИБ, а также экспертов, привлекаемых к реагированию на инциденты ИБ на временной основе, рекомендуется предусмотреть включение представителей следующих структурных подразделений организации БС РФ:
- служба ИБ организации БС РФ, представители которой участвуют на всех этапах реагирования на инцидент ИБ;
- подразделения информатизации, привлечение представителей которых рекомендуется для оценки влияния (воздействия) инцидентов ИБ на предоставление ИТ-услуг организации БС РФ и для выработки решений по поддержанию и восстановлению ИТ-услуг организации БС РФ в ходе реагирования на инциденты ИБ;
- юридическая служба, привлечение представителей которой следует обеспечить, если есть основания полагать, что инцидент ИБ может иметь правовые последствия, в том числе для участия в сборе доказательной базы, подготовки материалов для правоохранительных органов или для передачи в суд;
- подразделение по связям с общественностью и со средствами массовой информации, привлечение представителей которого следует обеспечить, если есть основания полагать, что возникнет необходимость информирования средств массовой информации и общественности;
- подразделения организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, работники которых должны быть осведомлены об инцидентах ИБ и их последствиях. Кроме того, компетенция работников указанных подразделений в минимизации тяжести последствий от нарушений выполнения банковских технологических процессов организации БС РФ при различных обстоятельствах должна быть учтена при планировании действий по реагированию на инциденты ИБ. Необходимо, чтобы регламенты реагирования на инциденты ИБ и регламенты восстановления выполнения банковских технологических процессов организации БС РФ были согласованы и учитывали возможность привлечения работников указанных подразделений к деятельности по реагированию на инциденты ИБ;
- подразделения, в зоне компетенции которых находятся вопросы обеспечения физической безопасности и контроля доступом в здания и помещения организации БС РФ, привлечение представителей которых следует обеспечить, если есть основания полагать, что возникли нарушения физической безопасности или инцидент ИБ включает скоординированные несанкционированные действия по логическому и физическому доступу к защищаемым ресурсам. Кроме того, во время выполнения процедур реагирования на инциденты ИБ членам ГРИИБ может потребоваться предоставление доступа в здания и помещения, для которых установлен отдельный режим доступа;
- служба персонала (кадров) организации БС РФ, привлечение представителей которой следует обеспечить, если есть основания полагать, что в процессе реагирования на инцидент ИБ потребуется применение дисциплинарных мер к работнику организации БС РФ, действия которого привели к реализации инцидента ИБ.
