Управление происшествиями - Incident management

Инцидент - это событие, которое может привести к потере или нарушению работы, услуг или функций организации. Управление происшествиями (IcM) - термин, описывающий деятельность организации по выявлению, анализу и устранению опасностей для предотвращения их повторения в будущем. Эти инциденты внутри структурированной организации обычно рассматриваются либо группа реагирования на инциденты (IRT), команда управления инцидентами (IMT), или Система управления инцидентами (ICS). Без эффективного управления инцидентами инцидент может нарушить бизнес-операции, информационную безопасность, ИТ-системы, сотрудников, клиентов или другие жизненно важные бизнес-функции.[1]

Описание

Инцидент - это событие, которое может привести к потере или нарушению работы, услуг или функций организации.[2] Управление инцидентами (IcM) - это термин, описывающий деятельность организации по выявлению, анализу и устранению опасностей для предотвращения их повторения в будущем. Если не принять меры, инцидент может перерасти в чрезвычайную ситуацию, кризис или катастрофу. Таким образом, управление инцидентами - это процесс ограничения потенциальных сбоев, вызванных таким событием, с последующим возвращением к обычному режиму работы. Без эффективного управления инцидентами инцидент может нарушить бизнес-операции, информационную безопасность, ИТ-системы, сотрудников, клиентов или другие жизненно важные бизнес-функции.[1]

Управление физическими инцидентами

Управление инцидентами рассматривается как нечто большее, чем просто анализ предполагаемых угроз и опасностей для организации с целью определения риска возникновения этого события и, следовательно, способности этой организации вести дела в обычном режиме во время инцидента. Важной частью процесса управления рисками и планирования устойчивости бизнеса, что управление инцидентами, является физическая активность в реальном времени.

Планирование, которое произошло для формулирования реакции на инцидент - будь то стихийное бедствие, чрезвычайная ситуация, кризис или авария - было выполнено таким образом, чтобы обеспечить эффективную устойчивость бизнеса, чтобы гарантировать минимальные потери или ущерб, будь то материальные или нематериальные активы. этой организации. Эффективное физическое управление инцидентом - наилучшее использование времени и имеющихся ресурсов и понимание того, как получить больше ресурсов извне, когда это необходимо, посредством четкой и своевременной связи - обеспечивает выполнение плана.

Национальная ассоциация противопожарной защиты заявляет, что управление инцидентами можно описать как «[a] n IMS [система управления инцидентами] - это« комбинация средств, оборудования, персонала, процедур и коммуникаций, действующих в рамках общей организационной структуры, разработанная для помощи в управлении ресурсами во время инциденты ».[3][4]

Управление физическими инцидентами - это реагирование в режиме реального времени, которое может длиться часы, дни или дольше. В Кабинет министров Соединенного Королевства подготовили Национальное руководство по восстановлению (NRG), которое направлено на местные респонденты в рамках реализации Закон о гражданских непредвиденных обстоятельствах 2004 г. (CCA). В нем описывается следующее реагирование: «Реагирование включает действия, предпринимаемые для устранения непосредственных последствий чрезвычайной ситуации. Во многих сценариях оно, вероятно, будет относительно коротким и продолжится в течение нескольких часов или дней - быстрое выполнение мероприятий. поэтому сотрудничество, координация и коммуникация имеют жизненно важное значение. Реагирование включает в себя усилия по устранению не только прямых последствий самой чрезвычайной ситуации (например, тушение пожаров, спасение людей), но и косвенных последствий (например, разрушение, интерес СМИ) ".[5][6]

Международная организация по стандартизации (ISO), который является крупнейшим в мире разработчиком международных стандартов, также делает упор в описании своего документа по управлению рисками, принципам и руководящим принципам. ISO 31000: 2009, что «Использование ISO 31000 может помочь организациям повысить вероятность достижения целей, улучшить идентификацию возможностей и угроз, а также эффективно распределять и использовать ресурсы для обработки рисков».[7] Это еще раз показывает важность не только хорошего планирования, но и эффективного распределения ресурсов для снижения риска.

Управление инцидентами компьютерной безопасности

Сегодня важную роль играет группа реагирования на инциденты компьютерной безопасности (CSIRT) в связи с ростом преступности в Интернете, и это типичный пример инцидентов, с которыми сталкиваются компании в развитых странах по всему миру. Например, если организация обнаруживает, что злоумышленник получил несанкционированный доступ к компьютерной системе, CSIRT проанализирует ситуацию, определит масштаб взлома и предпримет корректирующие действия. Компьютерная криминалистика это одна задача, включенная в этот процесс. В настоящее время более половины всех попыток взлома транснациональных корпораций (ТНК) в мире совершается в Северной Америке (57%). 23% попыток происходит в Европе.[8] Наличие хорошо организованной группы реагирования на инциденты компьютерной безопасности является неотъемлемой частью обеспечения безопасной среды для любой организации и становится важной частью общей структуры многих современных сетевых групп.

Роли

Инциденты в структурированной организации обычно рассматриваются либо группа реагирования на инциденты (IRT) или команда управления инцидентами (IMT). Они часто назначаются заранее или во время мероприятия и передаются под контроль организации, пока инцидент обрабатывается, чтобы восстановить нормальные функции.

В Система управления инцидентами (ICS) предназначена для решения более крупных инцидентов, требующих ответа от нескольких агентств. Популярный с общественная безопасность Агентства и юрисдикции в Соединенных Штатах, Канаде и других странах, он растет на практике в частном секторе, поскольку организации начинают управлять чрезвычайными ситуациями самостоятельно или совместно с агентствами общественной безопасности. ICS - это механизм управления и контроля, который обеспечивает расширяемую структуру для управления агентствами по чрезвычайным ситуациям. Хотя некоторые детали различаются в зависимости от юрисдикции, ICS обычно состоит из пяти основных элементов: командование, операции, планирование, логистика и финансы / администрирование. Несколько специальных штабных должностей, включая должности по связям с общественностью, безопасности и связи, подчиняются непосредственно командиру инцидента (IC), когда чрезвычайная ситуация требует создания этих должностей.

Другая система ответа - это Командный состав золото – серебро – бронза, который используется службами экстренной помощи в Великобритании и других странах. В системе есть три уровня командования: золотой командир устанавливает общую стратегию, серебряный командир непосредственно отвечает за тех, кто находится на месте происшествия, а бронзовые командиры отвечают непосредственно на земле. Отдельное агентство может использовать систему, или несколько агентств могут использовать систему во время взаимодействия. Общей чертой систем ICS и Gold-Silver-Bronze является то, что они создают отдельную командную систему для обычной иерархии агентств.

Обычно в рамках более широкого процесса управления в частных организациях за управлением инцидентами следует анализ после инцидента, в ходе которого определяется, почему инцидент произошел, несмотря на меры предосторожности и меры контроля. Этот анализ обычно контролируется руководителями организации с целью предотвращения повторения инцидента с помощью мер предосторожности и часто изменения политики. Эта информация затем используется в качестве обратной связи для дальнейшей разработки политики безопасности и / или ее практической реализации. В Соединенных Штатах Национальная система управления инцидентами, разработанная Департамент внутренней безопасности, объединяет эффективные методы управления чрезвычайными ситуациями во всеобъемлющую национальную структуру. Это часто приводит к более высокому уровню планирования действий в чрезвычайных ситуациях, тренировок и обучения, а также к оценке управления инцидентом.[9]

Программные системы управления инцидентами

Программные системы управления инцидентами предназначены для сбора согласованных, чувствительных ко времени, задокументированных отчет об инциденте данные. Многие из этих продуктов включают функции для автоматизации процесса утверждения отчета об инциденте или расследования дела. Эти продукты также могут иметь возможность собирать информацию об инцидентах в реальном времени, такую ​​как данные о времени и дате. Кроме того, системы отчетов об инцидентах будут автоматически отправлять уведомления, назначать задачи и эскалации соответствующим лицам в зависимости от типа инцидента, приоритета, времени, статуса и настраиваемых критериев. Современные продукты предоставляют администраторам возможность настраивать формы отчетов об инцидентах по мере необходимости, создавать отчеты об анализе и устанавливать элементы управления доступом к данным. Эти отчеты об инцидентах могут иметь возможность настройки, которая может наилучшим образом подойти организациям, использующим системы. Некоторые из этих продуктов могут собирать изображения, видео, аудио и другие данные. Существуют программные системы управления инцидентами, которые относятся непосредственно к конкретным отраслям.

Анализ причин

Человеческие факторы

Вовремя анализ причин необходимо оценить человеческий фактор. Джеймс Ризон провел исследование по изучению неблагоприятного воздействия человеческого фактора.[10] Исследование показало, что расследование крупных инцидентов, таких как Пайпер Альфа и Kings Cross Underground Fire, дал понять, что причины несчастных случаев широко распространены внутри и за пределами организации. Есть два типа событий: активный отказ - действие, которое имеет немедленные последствия и может вызвать аварию - и скрытое или отсроченное действие - события могут занять годы, чтобы оказать влияние, и обычно сочетаются с инициирующими событиями, которые затем вызывают авария.

Активные сбои - это небезопасные действия (ошибки и нарушения), совершаемые, например, операторами машин и руководителями задач. Действия людей, находящихся на интерфейсе человек-система, могут иметь немедленные неблагоприятные последствия.

Скрытые сбои возникают в результате решений, принимаемых в высших эшелонах организации. Их разрушительные последствия могут оставаться бездействующими в течение длительного времени, становясь очевидными только в сочетании с локальными пусковыми факторами (например, весенний прилив, трудности загрузки при Зебрюгге гавань и т. д.), чтобы взломать защиту системы. Решения, принятые в высших эшелонах организации, могут привести к тому, что события станут более вероятными, а планирование, составление графиков, прогнозирование, проектирование, выработка политики и т. Д. Могут иметь медленный эффект горения. Фактическое небезопасное действие, которое вызывает аварию, можно проследить в организации, а последующие сбои могут быть выявлены, показывая накопление скрытых сбоев в системе в целом, что привело к тому, что авария стала более вероятной и в конечном итоге произошла. Можно применить более эффективные меры по улучшению и снизить вероятность повторения события.[11]

Смотрите также

Рекомендации

  1. ^ а б Великобритания, Служба малого бизнеса, Kingsgate House, 66-74 Victoria Street, London SW1E 6SW. «Что квалифицируется как« инцидент »? | Business Link». webarchive.nationalarchives.gov.uk. Архивировано из оригинал на 2011-06-15. Получено 2018-01-04.
  2. ^ Глоссарий терминов, Рекомендации по передовой практике Business Continuity Institute 2010, глобальное издание В архиве 2015-04-30 на Wayback Machine. thebci.org, дата обращения 3 сентября 2015.
  3. ^ «Список кодексов и стандартов NFPA». www.nfpa.org. 2013. Получено 10 апреля 2013.
  4. ^ "Управление инцидентами | Ready.gov". www.ready.gov. 2012. Получено 10 апреля 2013.
  5. ^ "Национальное руководство по восстановлению - GOV.UK". www.gov.uk. 2007. Получено 10 апреля 2013.
  6. ^ "Закон о гражданских непредвиденных обстоятельствах 2004 г.". www.legislation.gov.uk. Экспертное участие. 2012 г.. Получено 10 апреля 2013.CS1 maint: другие (связь)
  7. ^ «ISO 31000 Управление рисками». www.iso.org. 2009. Получено 13 апреля 2013.
  8. ^ Инциденты взлома 2009 - Интересные данные - Блог Роджера по безопасности - Домашняя страница сайта - Блоги TechNet. Blogs.technet.com (12 марта 2010 г.). Проверено 17 ноября 2012.
  9. ^ Об отделе планирования действий в чрезвычайных ситуациях и управления инцидентами | Национальная безопасность В архиве 2 апреля 2012 г. Wayback Machine. Dhs.gov (22 февраля 1999 г.). Проверено 17 ноября 2012.
  10. ^ Причина J (июнь 1995 г.). «Понимание нежелательных явлений: человеческий фактор». Качество в здравоохранении. 4 (2): 80–9. Дои:10.1136 / qshc.4.2.80. ЧВК  1055294. PMID  10151618.
  11. ^ О’Каллаган, Кэтрин Мэри, Управление инцидентами: человеческий фактор и минимизация среднего времени на восстановление В архиве 2011-09-17 на Wayback Machine, Кандидат наук. Диссертация, Австралийский католический университет, 2010 г.

внешняя ссылка

дальнейшее чтение