Инцидент - это событие, которое может привести к потере или нарушению работы, услуг или функций организации. Управление инцидентами ( IcM ) - это термин, описывающий деятельность организации по выявлению, анализу и устранению опасностей для предотвращения их повторения в будущем. Эти инциденты в рамках структурированной организации обычно обрабатываются либо группой реагирования на инциденты (IRT), либо группой управления инцидентами (IMT), либо системой управления инцидентами (ICS). Без эффективного управления инцидентами инцидент может нарушить бизнес-операции, информационную безопасность, ИТ-системы, сотрудников, клиентов или другие жизненно важные бизнес-функции. [1]
Описание
Инцидент - это событие, которое может привести к потере или нарушению работы, услуг или функций организации. [2] Управление инцидентами (IcM) - это термин, описывающий деятельность организации по выявлению, анализу и устранению опасностей для предотвращения их повторения в будущем. Если не принять меры, инцидент может перерасти в чрезвычайную ситуацию, кризис или катастрофу. Таким образом, управление инцидентами - это процесс ограничения потенциальных сбоев, вызванных таким событием, с последующим возвращением к обычному режиму работы. Без эффективного управления инцидентами инцидент может нарушить бизнес-операции, информационную безопасность, ИТ-системы, сотрудников, клиентов или другие жизненно важные бизнес-функции. [1]
Управление физическими инцидентами
Управление инцидентами считается гораздо большим, чем просто анализ предполагаемых угроз и опасностей для организации с целью определения риска возникновения этого события и, следовательно, способности этой организации вести дела в обычном режиме во время инцидента. Важной частью процесса управления рисками и планирования устойчивости бизнеса, что управление инцидентами, является физическая активность в реальном времени.
Планирование, которое произошло для формулирования реакции на инцидент - будь то стихийное бедствие, чрезвычайная ситуация, кризис или авария - было выполнено таким образом, чтобы обеспечить эффективную устойчивость бизнеса, чтобы обеспечить минимальные потери или ущерб, будь то материальные или нематериальные активы. этой организации. Эффективное физическое управление инцидентом - оптимальное использование времени и ресурсов и понимание того, как получить больше ресурсов извне, когда это необходимо, посредством четкой и своевременной связи - обеспечивают выполнение плана.
Национальная ассоциация противопожарной защиты заявляет, что управление инцидентами можно описать следующим образом: «[a] n IMS [система управления инцидентами] - это« комбинация средств, оборудования, персонала, процедур и коммуникаций, действующих в рамках общей организационной структуры, разработанная для помощи управление ресурсами во время инцидентов ». [3] [4]
Управление физическими инцидентами - это реакция в реальном времени, которая может длиться часами, днями или дольше. Кабинет министров Соединенного Королевства подготовили Национальный восстановления Guidance (NRG), которая направлена на местных ответчиков в рамках реализации Закона гражданской Непредвиденные 2004 (ОСО). В нем описывается ответ следующим образом: «Реагирование включает действия, предпринимаемые для устранения непосредственных последствий чрезвычайной ситуации. Во многих сценариях оно, вероятно, будет относительно коротким и продлится несколько часов или дней - быстрое выполнение мероприятий. поэтому сотрудничество, координация и общение имеют жизненно важное значение. Реагирование включает в себя усилия по устранению не только прямых последствий самой чрезвычайной ситуации (например, тушение пожаров, спасение людей), но и косвенных последствий (например, разрушение, интерес СМИ) ". [5] [6]
Международная организация по стандартизации (ISO), которая является крупнейшим в мире разработчиком международных стандартов, также подчеркивает в описании своего документа ISO 31000 : 2009 по управлению рисками, принципов и руководящих указаний следующее : «Использование ISO 31000 может помочь организациям повысить вероятность достижение целей, улучшение выявления возможностей и угроз, а также эффективное распределение и использование ресурсов для обработки рисков ». [7] Это еще раз показывает важность не только хорошего планирования, но и эффективного распределения ресурсов для снижения риска.
Управление инцидентами компьютерной безопасности
Сегодня важную роль играет группа реагирования на инциденты компьютерной безопасности (CSIRT) в связи с ростом преступности в Интернете, и это типичный пример инцидентов, с которыми сталкиваются компании в развитых странах по всему миру. Например, если организация обнаруживает, что злоумышленник получил несанкционированный доступ к компьютерной системе, CSIRT проанализирует ситуацию, определит масштаб взлома и предпримет корректирующие действия. Компьютерная криминалистика - одна из задач, включенных в этот процесс. В настоящее время более половины мировых попыток взлома транснациональных корпораций (ТНК) приходится на Северную Америку (57%). 23% попыток происходит в Европе. [8] Наличие хорошо организованной группы реагирования на инциденты компьютерной безопасности является неотъемлемой частью обеспечения безопасной среды для любой организации и становится важной частью общей структуры многих современных сетевых групп.
Роли
Инциденты в структурированной организации обычно рассматриваются либо группой реагирования на инциденты (IRT), либо группой управления инцидентами (IMT). Они часто назначаются заранее или во время мероприятия и передаются под контроль организации, пока инцидент обрабатывается, чтобы восстановить нормальные функции.
Система управления инцидентами (ICS) предназначена для работы с более крупными инцидентами, требующими ответа от нескольких агентств. Популярный среди агентств общественной безопасности и юрисдикций в Соединенных Штатах, Канаде и других странах, он растет на практике в частном секторе, поскольку организации начинают управлять чрезвычайными ситуациями без участия или совместно управлять чрезвычайными ситуациями с агентствами общественной безопасности. ICS - это механизм управления и контроля, который обеспечивает расширяемую структуру для управления агентствами по чрезвычайным ситуациям. Хотя некоторые детали различаются в зависимости от юрисдикции, ICS обычно состоит из пяти основных элементов: командование, операции, планирование, логистика и финансы / администрирование. Несколько специальных штабных должностей, включая должности по связям с общественностью, безопасности и связи, подчиняются непосредственно командиру инцидента (ИК), когда чрезвычайная ситуация требует создания этих должностей.
Другая система реагирования - это командная структура « золото – серебро – бронза» , которую используют службы экстренной помощи в Великобритании и других странах. Система имеет три уровня командования: золотой командир устанавливает общую стратегию, серебряный командир непосредственно отвечает за тех, кто находится на месте происшествия, а бронзовые командиры отвечают непосредственно на земле. Отдельное агентство может использовать систему, или несколько агентств могут использовать систему во время взаимодействия. Общей чертой систем ICS и Gold-Silver-Bronze является то, что они создают отдельную командную систему для обычной иерархии агентств.
Обычно в рамках более широкого процесса управления в частных организациях за управлением инцидентами следует анализ после инцидента, в ходе которого определяется, почему инцидент произошел, несмотря на меры предосторожности и меры контроля. Этот анализ обычно контролируется руководителями организации с целью предотвращения повторения инцидента с помощью мер предосторожности и часто изменения политики. Эта информация затем используется в качестве обратной связи для дальнейшей разработки политики безопасности и / или ее практической реализации. В Соединенных Штатах Национальная система управления инцидентами , разработанная Министерством внутренней безопасности , объединяет эффективные методы управления чрезвычайными ситуациями во всеобъемлющую национальную структуру. Это часто приводит к более высокому уровню планирования действий в чрезвычайных ситуациях, тренировок и обучения, а также к оценке управления инцидентом. [9]
Программные системы управления инцидентами
Программные системы управления инцидентами предназначены для сбора согласованных, чувствительных ко времени, документированных данных отчетов об инцидентах . Многие из этих продуктов включают функции для автоматизации процесса утверждения отчета об инциденте или расследования дела. Эти продукты также могут иметь возможность собирать информацию об инцидентах в реальном времени, такую как данные о времени и дате. Кроме того, системы отчетов об инцидентах будут автоматически отправлять уведомления, назначать задачи и эскалации соответствующим лицам в зависимости от типа инцидента, приоритета, времени, статуса и настраиваемых критериев. Современные продукты предоставляют администраторам возможность настраивать формы отчетов об инцидентах по мере необходимости, создавать отчеты об анализе и устанавливать элементы управления доступом к данным. Эти отчеты об инцидентах могут иметь возможность настройки, которая лучше всего подходит организациям, использующим системы. Некоторые из этих продуктов могут собирать изображения, видео, аудио и другие данные. Существуют программные системы управления инцидентами, которые напрямую относятся к конкретным отраслям.
Анализ причин
Человеческие факторы
Во время анализа первопричин следует оценивать человеческий фактор. Джеймс Ризон провел исследование по изучению неблагоприятного воздействия человеческого фактора. [10] Исследование показало, что расследования крупных инцидентов, такие как Piper Alpha и Kings Cross Underground Fire , показали, что причины несчастных случаев были широко распространены внутри и за пределами организации. Есть два типа событий: активный отказ - действие, которое имеет немедленные последствия и может вызвать аварию - и скрытое или отсроченное действие - события могут занять годы, чтобы оказать влияние, и обычно сочетаются с инициирующими событиями, которые затем вызывают несчастный случай.
Активные сбои - это небезопасные действия (ошибки и нарушения), совершаемые, например, операторами оборудования и руководителями задач. Действия людей, находящихся на интерфейсе человек-система, могут иметь немедленные неблагоприятные последствия.
Скрытые сбои возникают в результате решений, принимаемых в высших эшелонах организации. Их разрушительные последствия могут оставаться в бездействии в течение длительного времени, становясь очевидными только тогда, когда они сочетаются с местными пусковыми факторами (например, весенним приливом , трудностями погрузки в гавани Зебрюгге и т. Д.), Чтобы нарушить защиту системы. Решения, принятые в высших эшелонах организации, могут привести к тому, что события, приведшие к аварии, станут более вероятными, планирование, составление графиков, прогнозирование, проектирование, выработка политики и т. Д. Могут иметь эффект медленного горения. Фактическое небезопасное действие, которое вызывает аварию, можно проследить в организации, а последующие сбои могут быть выявлены, показывая накопление скрытых сбоев в системе в целом, что привело к тому, что авария стала более вероятной и в конечном итоге произошла. Можно применить более эффективные меры по улучшению и снизить вероятность повторения события. [11]
Смотрите также
Рекомендации
- ^ a b Великобритания, Служба малого бизнеса, Kingsgate House, 66-74 Victoria Street, London SW1E 6SW. «Что квалифицируется как« инцидент »? | Business Link» . webarchive.nationalarchives.gov.uk . Архивировано из оригинала на 2011-06-15 . Проверено 4 января 2018 .
- ^ Глоссарий терминов, Рекомендации по передовой практике Business Continuity Institute 2010 Global Edition Архивировано 30 апреля 2015 г. на Wayback Machine . thebci.org, дата обращения 3 сентября 2015.
- ^ «Список кодексов и стандартов NFPA» . www.nfpa.org . 2013 . Проверено 10 апреля 2013 года .
- ^ «Управление инцидентами | Ready.gov» . www.ready.gov . 2012 . Проверено 10 апреля 2013 года .
- ^ «Руководство по национальному восстановлению - GOV.UK» . www.gov.uk . 2007 . Проверено 10 апреля 2013 года .
- ^ «Закон о гражданских непредвиденных обстоятельствах 2004 года» . www.legislation.gov.uk . Экспертное участие. 2012 . Проверено 10 апреля 2013 года .CS1 maint: другие ( ссылка )
- ^ «ISO 31000 Управление рисками» . www.iso.org . 2009 . Проверено 13 апреля 2013 года .
- ^ Инциденты взлома 2009 - Интересные данные - Блог Роджера по безопасности - Домашняя страница сайта - Блоги TechNet . Blogs.technet.com (12 марта 2010 г.). Проверено 17 ноября 2012.
- ^ Об отделе планирования на случай непредвиденных обстоятельств и управления инцидентами | Национальная безопасность. Архивировано 2 апреля 2012 года в Wayback Machine . Dhs.gov (22 февраля 1999 г.). Проверено 17 ноября 2012.
- ^ Причина J (июнь 1995 г.). «Понимание нежелательных явлений: человеческий фактор» . Качество в здравоохранении . 4 (2): 80–9. DOI : 10.1136 / qshc.4.2.80 . PMC 1055294 . PMID 10151618 .
- ↑ О'Каллаган, Кэтрин Мэри, Управление инцидентами: человеческий фактор и минимизация среднего времени на восстановление. Архивировано 17 сентября 2011 г. в Wayback Machine , Ph.D. Диссертация, Австралийский католический университет, 2010 г.
Внешние ссылки
- Консорциум национальной системы управления инцидентами в США
- Законодательство правительства Соединенного Королевства, Закон о гражданских непредвиденных обстоятельствах (CCA) 2004 года . (2012)
- Федеральное агентство по чрезвычайным ситуациям (FEMA) . (2012)
дальнейшее чтение
- Адам Круг (2014-09 / 16), « Примеры использования программного обеспечения для управления инцидентами », Примеры 1–34
- Wearne SH и White-Hunt, K (2010), Управление срочными и неожиданными ситуациями, Gower Publishing - Примеры из практики