Когда причина найдена и решение разработано, организация отслеживает прогресс в реализации решения. Управление проблемами в большей степени похоже на управление портфелем проектов, целью каждого из которых является определение причин проблемы. Инциденты часто являются первым индикатором проблемы и, однажды столкнувшись с инцидентом, организация должна иметь процесс и процедуры выяснения причины. Функциональная эскалация есть передача инцидента на более высокий уровень поддержки, когда знаний или опыта недостаточно или истек согласованный интервал времени. В передовых организациях определяется матрица уровней важности, основанная на степени влияния на бизнес, временных рамках разрешения инцидента и интервалах времени, в которые инцидент должен быть передан в более продвинутую группу. Контроль ошибок обеспечивает документирование способов преодоления неисправностей и оповещения о них (способах) персонала поддержки.
Ключевые компоненты нашего процесса управления инцидентами существуют уже несколько лет, но мы видим возможности для постоянного развития в этой области. Изменения, которые мы внесли с течением времени, включают в себя как технологические, так и организационные, и процедурные улучшения. Основной человек — это оператор, который коммуницирует с клиентом и реагирует на сообщение об инцидентах. Если он не может устранить ошибку быстро и качественно, то она эскалируется. В ChatDesk есть возможность работать по классическим линиям поддержки — 1,2 линии.
Результаты анализа, расследований и профилактических мероприятий обычно оформляются в виде справок, отчетов и аналитических записок и хранятся в подразделении ИБ. Еще проблематичнее становится подготовка и анализ статистики по компьютерным инцидентам, в то время как эта статистика является одним из ключевых показателей эффективности действующей подсистемы безопасности компании. Очевидно, что в результате этого падает эффективность процесса управления компьютерными инцидентами, что в конечном счете негативно влияет на обеспечение ИБ компании в целом. Процесс управления инцидентами является одним из наиболее важных видов деятельности в Information Technology Service Management (далее – ITSM).
Механизм эскалации помогает своевременно решить инцидент путем увеличения возможностей персонала, уровня усилий и приоритета, нацеленных на решение этого инцидента. Лучшие организации имеют хорошо определенные пути эскалации с временными рамками и ответственности ясно определенными на каждом шаге. Они используют средства управления инцидентами для автоматической передачи ответственности на все возрастающий уровень поддержки в соответствии с временными рамками и сложностью. Ответственность в вопросах управления инцидентами обычно распределяется между всеми сотрудниками организации.
Система Управления Инцидентами И Кризисными Ситуациями В Пищевой Промышленности Как Инструмент Риск-менеджмента
Очень важно уделить внимание перечню производимой продукции, а также сырью и материалам. Мы постарались снизить нагрузку на владельцев сервисов, предоставив им большое количество бесплатных метрик приложения, времени выполнения и хоста. Эти метрики встроены в наш RPC-фреймворк Courier, а также в инфраструктуру на уровне хоста. Вдобавок к множеству стандартных метрик, Courier так же обеспечивает распределенную трассировку и профилирование, что ещё больше упрощает сортировку инцидентов. Набор метрик в Courier доступен для всех языков, которые мы используем в Dropbox (Go, Python, Rust, C++, Java). Иногда такие проблемы парализуют деятельность целого подразделения или даже организации, что приводит к немалым материальным, репутационным и другим потерям.
- Когда вес сервиса превышает пороговое значение, вводятся дополнительные требования для обеспечения строгости в работе с ним.
- Реализация процессов управления инцидентами и проблемами нацелена именно на это.
- После каждого определения можно сразу описать уровни управления этими событиями, каналы коммуникаций, также собрать эти данные в сводную таблицу.
- В передовых организациях проводятся переговоры с конечными пользователями для определения подходящих временных рамок и эскалации ответственности.
Мастер регистрации заявок; Интуитивно-понятный каталог услуг; Графический редактор ИТ-процессов. Известная ошибка — есть инцидент или проблема, для которой выявлена причина и разработано решение по ее обходу или устранению. Ошибки могут выявляться в результате анализа жалоб пользователей или анализа систем. Все их диалоги выстроены на основе машинного обучения и ранее найденных алгоритмов. В этом и состоит самый большой минус таких ботов, так как нужны огромные массивы данных, которые будут предоставлены машине для анализа, чтобы бот смог начать диалог «умно». Теперь рассмотрим, из чего состоят основные этапы в управлении инцидентами ИБ.
Обработка Sev
Ввиду того, что продукты питания — это наш основной вид продукции, а также из-за специфики и зарегулированности, выносим это направление в отдельный документ. Данный документ находится в ведении департамента контроля качества и пищевой безопасности, он, по сути, дает отсылки к законодательству и перечисляет, что требуется в том или ином случае. Вот почему очень важно извлекать уроки из своих неудач при каждом обзоре инцидента. Вы не сможете полностью предотвратить критические инциденты, но можете предотвратить повторение ошибок.
Важная часть политики — это термины и определения, своеобразный язык, на котором будет общаться организация. Термины не должны допускать двойных толкований, любой участник инцидента должен, прочитав их, сделать однозначные выводы. Я приведу примеры определений инцидента, серьезного инцидента и кризисной ситуации, которые можно и нужно изменять в зависимости от размера организации, ее структуры, аппетита к риску. Политика по управлению инцидентами и кризисными ситуациями содержит инструкции по созданию среды, позволяющей быстро и эффективно реагировать на кризисные ситуации и инциденты, которые могут перерасти в кризисы. Этот вопрос оказался особенно сложным в отношении SEVов доступности в Dropbox. Как вы, возможно, заметили выше, наши определения уровня SEV начинаются с несколько наивного предположения, что более низкая доступность более серьёзна.
То есть с учетом установленного приоритета и существующих соглашений SLA клиент информируется о времени разрешения инцидента. К тому же, чем выше приоритет, тем быстрее специалисты примутся за диагностику и предоставят конечному пользователю соответствующее решение. Затем информация о выявленных инцидентах фиксируется в специальных журналах (в бумажном или электронном виде). В системе автоматизации пользователь всегда может отследить, на каком этапе его заявка. Нет необходимости закидывать специалистов поддержки письмами или долго до них дозваниваться.
Довольно частый кейс, когда у клиентов есть разделение по функциональному направлению, например, АХО, ИТ, бухгалтерия, HR. Благодаря этому не нужно судорожно искать конкретного человека в бухгалтерии, который выдаст справку 2-НДФЛ. Можно просто написать в линию «Бухгалтерия» свой вопрос и получить на него исчерпывающий ответ. Таким образом, больше не требуется самостоятельно искать Как подобрать инструмент для управления инцидентами ответственного за решение задач, а вопросы решаются оперативнее. Приоритет — это один из ключевых параметров, который определяет очередность устранения инцидентов. Он основывается на степени влияния на бизнес-процесс и учитывает, какой ущерб будет нанесен пользователю или компании, а также на срочности решения инцидента — временных рамках, в которые инцидент должен быть устранен.
SIEM (Security info and event management) представляет собой решение, используемое для централизованного сбора журналов событий с различных источников, их анализа и оповещения об инцидентах. SIEM-система используется как основной инструмент на этапе выявления инцидента ИБ, а на других этапах — как средство хранения и визуализации информации. На рынке средств защиты информации, помимо большого количества платных продуктов российских и иностранных разработчиков, представлены также open source-решения, такие как ELK Stack (Elasticsearch, Logstash, Kibana), OSSIM.
При предоставлении услуг так или иначе случаются инциденты и сбои в работе, которые оказывают негативное влияние на функционирование компании. Согласно терминологии ITIL инцидент — это событие, которое ставит под угрозу бесперебойное выполнение бизнес-процессов. Отсутствует доступ к серверу, не работает телефония, не подключается wi-fi — каждая из этих проблем требует незамедлительного решения. В таких случаях на помощь приходит управление инцидентами, основная задача которого быстрое восстановление работоспособности сервиса, минимизация сбоя, безопасность организации, а также предотвращение финансовых потерь. Разработка процессов и процедур управления инцидентами проводится многими организациями, но далеко не все эти организации делают то же самое для управления проблемами.
Проверка прослеживаемости должна проводиться один раз в месяц с обязательным документированием результата и разработкой корректирующих мероприятий по мере необходимости. Кризис — публичный отзыв продукции с уведомлением потребителей через СМИ. Координатор следит за выполнением политик и процедур на всех уровнях управления, уведомлением необходимых участников, организацией регулярного выявления и оценки рисков, протоколированием решений.
Во-первых, это минимизация сбоя и незапланированных затрат, вызванных инцидентами, сокращение их количества. Во-вторых, возможность находить и устранять инциденты, сокращая время простоя. Дополнительным бонусом является тот факт, что внедрение процессов управления инцидентами способствует накоплению знаний. Как результат — база решений, которая доступна для разрешения повторных инцидентов. В свою очередь уменьшение числа повторных инцидентов укрепляет доверие клиентов и формирует лояльное отношение к службе поддержки. Повышение каждого из перечисленных показателей заметно поднимет эффективность всего процесса управления инцидентами и тем самым позволит подразделению информационной безопасности добиться более значительных результатов.
Важно уделить особенное внимание классификации этих событий, так как неверная классификация повлечет за собой некорректное управление. Масштаб инцидента может увеличиться, но при этом он может все еще оставаться под контролем бизнеса, например, инцидент с безопасностью продукции происходит на одной территории, продукция продается на другой. SEV’ы доступности, несмотря на то, что это и не единственный тип критических инцидентов, полезно изучить особенно подробно. Ни один из онлайн-сервисов не застрахован от таких инцидентов, включая Dropbox. В зависимости от своей критичности и сложности вопрос направляется в системе либо диспетчеру первой линии поддержки, либо более квалифицированному техническому специалисту.
Упростить процесс можно с помощью специализированных решений или организаций, оказывающих услуги в этой области. Информация о затронутых ресурсах, принятых мерах также фиксируется способом, определенном в компании. На момент написания этого поста (январь 2021), PagerDuty выпустили On-Call Readiness Report(Отчёт о готовности к дежурству), который позволяет совершать некоторые похожие проверки на своей платформе. И хотя покрытие не идентично тому, что мы построили внутри Dropbox, это всё ещё хороший вариант для начала, если вы хотите быстро добиться определённой согласованности.
Управление инцидентами ИБ является одним из основополагающих элементов системы защиты информации. Корректно выстроенный процесс позволяет значительно снизить вероятность повторения инцидентов ИБ, а также возникновения новых. Таким образом значительно увеличивается шанс избежать негативных последствий как для бизнес-процессов компании, так и для информационной безопасности в целом. Аппаратно-программные средства мониторинга и аудита – средства, реализующие функции по протоколированию, сбору, накоплению и обработке информации о функционировании информационных систем организации.
План коммуникаций в кризисной ситуации — это набор инструкций, специально составленных для специалистов по коммуникациям. Руководство должно делать акцент на философии и ценностях бизнеса, касающихся эффективных коммуникаций в кризисных ситуациях. Необходимо выявить типичные риски, а также факторы, которые могут повлиять на возникновение инцидентов или их усугубление. Существует огромное количество примеров, когда компании несли существенные финансовые и репутационные убытки из-за того, что не уделяли достаточного внимания оценке рисков.
Результатом работы всех перечисленных средств являются данные, на основе которых системой автоматически или после их анализа экспертом принимается решение о наступлении компьютерного инцидента. Данные средства составляют подсистему сбора информации о компьютерных инцидентах. На деятельности этой подсистемы и основан контроль за обеспечением безопасности ИТ в организации.
Когда вес сервиса превышает пороговое значение, вводятся дополнительные требования для обеспечения строгости в работе с ним. Кроме того, мы создали Резервную Группу Реагирования, состоящую из Менеджеров инцидента и Технических специалистов высшего уровня, которые могли бы быть задействованы в самых серьёзных инцидентах. Мы предоставили им чёткую схему действий для оценки состояния инцидента и определения с помощью текущих Менеджера инцидента и Технического специалиста, нужно ли им передать “бразды правления”. Предоставление этим старшим игрокам чёткой, хорошо известной роли, сделало их ценной структурой поддержки, а не источником дополнительного шума в Slack. Этап обработки SEV в Dropbox определяет, как различные специалисты по реагированию на инциденты должны работать вместе чтобы смягчить последствия SEV, и какие шаги следует предпринять, чтобы извлечь из ситуации урок.
Лучшие результатыОбщая производительность управления инцидентами повышается, обеспечивая наилучшие результаты. Автоматизация сокращает время реагирования, а также нагрузку на ваших сотрудников. Регистрация, инициирование и разрешение инцидентов осуществляются автоматизированной системой, поэтому вашим сотрудникам не придется постоянно следить за ходом процесса. Угрозы обнаруживаются на ранней стадии, что снижает сложность процесса управления.