网络安全应急管理与技术实践
上QQ阅读APP看书,第一时间看更新

2.2 网络安全等级保护中事件处置及应急响应的要求与合规指引

事件处置和应急响应是等级保护的重要内容,在《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(以下简称《等级保护基本要求》)中,各级别的防护要求均对事件处置和应急响应做出了规定。同时,《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》(以下简称《等级保护测评要求》)对于如何测评被测对象是否满足防护要求做出了相对明确的界定。现以等级保护第三级安全要求(要求项8.×.×.×)为例进行解读,并对其与二级(要求项7.×.×.×)、四级(要求项9.×.×.×)的区别做一个解读[2][3]

1.等级保护对于安全事件处置的要求

《等级保护基本要求》中的要求项8.1.10.12规定了安全事件处置要求。本项要求及对应本要求的《等级保护测评要求》中的测评项规定如下。

【基本要求】

a)应及时向安全管理部门报告所发现的安全弱点和可疑事件。

【测评项8.1.10.12.1】

a)测评指标:应及时向安全管理部门报告所发现的安全弱点和可疑事件。

b)测评对象:运维负责人和记录表单类文档。

c)测评实施包括以下内容:

1)应访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告;

2)应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档。

d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

【合规指引】

安全弱点和可疑事件会经常发生,一部分是安全管理部门自己发现的,另一部分是其他人发现的。根据失效性原理,多个轻微事件中会产生一个重大事件,因此,一方面应提高安全管理部门发现问题的能力和水平,另一方面应告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告,安全管理部门在发现安全弱点和可疑事件后应形成报告或文档。

【基本要求】

b)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。

【测评项8.1.10.12.2】

a)测评指标:应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。

b)测评对象:管理制度类文档。

c)测评实施:应核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

【合规指引】

安全事件报告和处置需要遵循制度,制度可以明确职责和流程,避免混乱。不同的安全事件的流程是不一样的,需要区别对待。应在安全事件报告和处置管理制度中明确与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等。

【基本要求】

c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。

【测评项8.1.10.12.3】

a)测评指标:应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。

b)测评对象:记录表单类文档。

c)测评实施:应核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

【合规指引】

在安全事件发生时,首先要做的是消除不利影响,尽快恢复正常。同时,还要分析原因、总结经验教训、避免再次发生。在事件处理过程中,要注意收集证据和记录过程,否则有些证据可能会被破坏或消失,有的过程可能会被遗忘或忽略。应在安全事件报告和响应处置记录中记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。

【基本要求】

d)对造成系统中断和造成信息泄漏的重大安全事件应采取不同的处理程序和报告程序。

【测评项8.1.10.12.4】

a)测评指标:对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

b)测评对象:运维负责人和记录表单类文档。

c)测评实施包括以下内容:

1)应访谈运维负责人不同安全事件的报告流程;

2)应核查针对重大安全事件是否制定不同安全事件报告和处理流程,是否明确具体报告方式、报告内容、报告人等方面内容。

d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

【合规指引】

本条是等级保护第三级新增的要求。系统中断事件更关注系统可用性,目标在于尽快恢复系统运行;信息泄露更关注信息保密性,目标在于尽可能控制信息的流向,避免知悉范围的扩大。两种事件目标差别很大,要采用不同的处理程序和报告程序,否则很容易顾此失彼。应针对系统中断和造成信息泄漏两类事件制定不同安全事件报告和处理流程,明确具体报告方式、报告内容、报告人等方面内容。

【基本要求】

在等级保护第四级中新增了要求:应建立联合防护和应急机制,负责处置跨单位安全事件。

【测评项8.1.10.12.5】

a)测评指标:应建立联合防护和应急机制,负责处置跨单位安全事件。

b)测评对象:安全管理员、管理制度类文档和记录表单类文档。

c)测评实施包括以下内容:

1)应访谈安全管理员是否建立跨单位处置安全事件流程;

2)应核查跨单位安全事件报告和处置管理制度,核查是否含有联合防护和应急的相关内容。

d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

【合规指引】

第四级安全防护的安全保护能力应能免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击,以及严重的自然灾难造成的资源损害,因此,对于第四级安全事件处置可能需要联合防护、跨单位处置。

2.等级保护对于应急响应的要求

《等级保护基本要求》中的要求项8.1.10.13规定了应急响应要求。本项要求及对应本要求的《等级保护测评要求》中的测评项规定如下:

【基本要求】

a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。

【测评项8.1.10.13.1】

a)测评指标:应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。

b)测评对象:管理制度类文档。

c)测评实施:应核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

【合规指引】

本条是等级保护第三级新增的要求。应急预案应制定统一的框架,避免遗漏关键要素。应急预案框架应覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面。

【基本要求】

b)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。

【测评项8.1.10.13.2】

a)测评指标:应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。

b)测评对象:管理制度类文档。

c)测评实施:应核查是否具有重要事件的应急预案(如针对机房、系统、网络等各个方面)。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

【合规指引】

应制定重要事件的应急预案,如针对机房、系统、网络等各个方面。既要有应急处理流程,也要有系统恢复流程。

【基本要求】

c)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。

【测评项8.1.10.13.3】

a)测评指标:应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。

b)测评对象:运维负责人和记录表单类文档。

c)测评实施包括以下内容:

1)应访谈运维负责人是否定期对相关人员进行应急预案培训和演练;

2)应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等;

3)应核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等。

d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

【合规指引】

应急预案必须被相关人员了解、掌握和熟练应用,才能发挥其作用。应定期对相关人员进行应急预案培训和演练,应急预案培训记录应记录培训对象、培训内容、培训结果等,应急预案演练记录应记录演练时间、主要操作内容、演练结果等。

【基本要求】

d)应定期对原有的应急预案重新评估,修订完善。

【测评项8.1.10.13.4】

a)测评指标:应定期对原有的应急预案重新评估,修订完善。

b)测评对象:记录表单类文档。

c)测评实施:应核查应急预案修订记录是否定期评估并修订完善等。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

【合规指引】

本条是等级保护第三级新增的要求。应急预案随着时间的推移、条件的变化可能变得不再适用,需要定期对其进行重新评估和修订完善,以保持其有效性。

【基本要求】

在等级保护第四级中新增了要求:应建立重大安全事件的跨单位联合应急预案,并进行应急预案的演练。

【测评项8.1.10.13.5】

a)测评指标:应建立重大安全事件的跨单位联合应急预案,并进行应急预案的演练。

b)测评对象:运维负责人和记录表单类文档。

c)测评实施包括以下内容:

1)应访谈运维负责人是否针对重大安全事件建立跨单位的应急预案并进行过演练;

2)应核查是否具有针对重大安全事件跨单位的应急预案;

3)应核查跨单位应急预案演练记录是否记录演练时间、主要操作内容、演练结果等。

d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

【合规指引】

与安全事件处置要求类似,第四级应急预案管理可能需要联合制定应急预案、进行联合应急演练。