Одним из важнейших этапов организации деятельности по управлению компьютерными инцидентами является определение в организации соответствующего структурного подразделения, специалисты которого будут выполнять следующие задачи:
- обнаружение и регистрацию компьютерных инцидентов;
- организацию и контроль процессов реагирования на компьютерные инциденты с привлечением специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, и (или) непосредственное выполнение действий по реагированию;
- анализ результатов деятельности по управлению компьютерными инцидентами с целью идентификации методов и способов обнаружения и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов, предотвращения повторного возникновения компьютерных инцидентов и доработки (актуализации) документации в части управления компьютерными инцидентами.
Организация может определить ответственным за управление компьютерными инцидентами существующее штатное подразделение, ответственное за обеспечение безопасности информации и (или) за защиту информации (из состава подразделений (работников) по информационной безопасности организации, находящихся под общим руководством), создать новое подразделение (в составе подразделений (работников) по информационной безопасности организации, находящихся под общим руководством) или присоединиться к зоне ответственности внешнего подразделения, оказывающего услуги по управлению компьютерными инцидентами.
Эффективность деятельности подразделения, ответственного за управление компьютерными инцидентами, зависит от организованного взаимодействия со всеми подразделениями организации, участвующими в деятельности по управлению компьютерными инцидентами.
Подразделение, ответственное за управление компьютерными инцидентами, должно иметь соответствующие полномочия. Принципиально важно, чтобы все подразделения организации были уведомлены о полномочиях специалистов подразделения, ответственного за управление компьютерными инцидентами. Для этих целей в организации должны быть сформированы соответствующие приказы и (или) распоряжения руководителя организации или уполномоченного им лица.
Если для организации деятельности по управлению компьютерными инцидентами планируется создать новое подразделение, целесообразно, чтобы его организационная структура учитывала особенности его зоны ответственности. На рисунке 1 представлены примеры структуры подразделения, ответственного за управление компьютерными инцидентами.
Рисунок 1 - Примеры структуры подразделения, ответственного за управление компьютерными инцидентами
Выделяют следующие типы структур подразделений, ответственных за управление компьютерными инцидентами:
- обособленная;
- иерархическая;
- удаленная (распределенная).
Обособленная структура подразделения, ответственного за управление компьютерными инцидентами, не предусматривает наличие подчиненных подразделений. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами в рамках одной зоны ответственности.
Иерархическая структура подразделения, ответственного за управление компьютерными инцидентами, предусматривает наличие нескольких подразделений, подчиненных головному подразделению. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами в интересах одной организации, имеющей филиалы, или в зону ответственности которых входят информационные ресурсы, принадлежащие другим организациям.
Удаленная (распределенная) структура подразделения, ответственного за управление компьютерными инцидентами, предусматривает удаленную деятельность по управлению компьютерными инцидентами. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами на удаленных объектах или в зону ответственности которых входят информационные ресурсы, принадлежащие другим организациям. При таком типе структуры подразделение, ответственное за управление компьютерными инцидентами, привлекает для реагирования на компьютерные инциденты специалистов подразделений, ответственных за эксплуатацию информационных ресурсов на этих удаленных объектах.
Организация может присоединиться (может быть включена) к зоне ответственности субъекта ГосСОПКА, оказывающего услуги по управлению компьютерными инцидентами, на основании договора или соглашения (например, в рамках функционирования ГосСОПКА в соответствии с законодательством Российской Федерации).
Сфера деятельности организации, а также характеристики и масштаб ее информационных ресурсов влияют на состав (объем) и формы оказания требуемых услуг по управлению компьютерными инцидентами [из 8.1 Подходы к определению подразделения, ответственного за управление компьютерными инцидентами ГОСТ Р 59711-2022]