A.    Класификация на инцидентите

Класификация

Примери 

Критичен

–         Над 80% от персонала (или няколко критични екипа) не могат да работят

–         Критични системи офлайн

–         Висок риск от нарушение на чувствителни клиентски или лични данни

–         Финансово въздействие от над 100 000 лв

–         Сериозно увреждане на репутацията – вероятно да окаже влияние върху бизнеса в дългосрочен план

Висок

–         50% от персонала не може да работи

–         Засегнати некритични системи

–         Риск от нарушаване на лични или чувствителни данни

–         Финансово въздействие над 50 000 лв

–         Потенциално сериозно увреждане на репутацията

Среден

–         20% от персонала не може да работи

–         Малък брой засегнати некритични системи

–         Възможно нарушение на малки количества нечувствителни данни

–         Финансово въздействие над 25 000 лв

–         Нисък риск за репутацията

Нисък

–         < 10% от некритичния персонал, засегнат временно (краткосрочно)

–         Минимално въздействие, ако има такова

–         Една или две нечувствителни/некритични машини са засегнати

–         Няма нарушение на данните

–         Незначителен риск за репутацията

B.    Въпроси в случай на инцидент

За да насочи усилията си за реакция при инцидент и да разбере обхвата и въздействието на инцидента, екипът по сигурността трябва да разработи списък с въпроси за разследване. Въпросите могат да бъдат различни за всеки инцидент/пробив в зависимост от неговия обхват и критичност.

Въпросите могат да бъдат:

  • Какъв е първоначалният вектор на проникване?
  • Каква следексплоатационна дейност е извършена? Били ли са компрометирани акаунти? Какво ниво на критичност има пробивът?
  • Субектът пробил системата/причинил инцидента има ли постоянство в мрежата или устройството?
  • Подозирано или известно ли е странично движение на субекта към друга система/база данни?
  • Как субектът поддържа контрола?
  • Имало ли е достъп до данни или ексфилтриране и ако да, какъв вид данни?

 

C.     Процедура за управление на инциденти

Няма един единствен метод за реагиране при пробив в сигурността. Пробивите в сигурността трябва да се разглеждат за всеки отделен случай, като се направи оценка на включените рискове и се използва тази оценка на риска, за да се вземе решение за подходящия курс на действие. В зависимост от естеството на нарушението може да се наложи екипът по сигурността да включва допълнителен персонал или външни експерти, например ИТ специалист/експерт по киберсигурност или експерт човешки ресурси.

Процедурата за управление на инциденти се състои от шест стъпки:

  • Първоначална реакция – Идентифицирайте дали е възникнал или се случва инцидент в момента. Този процес започва, след като някой забележи някаква аномалия в системата или мрежата.
  • Анализ – Определете степента на инцидента и го ограничете, за да предотвратите влошаването му.
  • Елиминация – Уверете се, че проблемът е отстранен.
  • Подобряване на сигурността – Идентифицирайте и елиминирайте средствата, чрез които системата е била компрометирана.
  • Уведомяване – Уведомете засегнатите лица и Надзорния орган (КЗЛД), ако е необходимо.
  • Преглед и оценка – Прегледайте инцидента и обмислете какви действия могат да бъдат предприети за предотвратяване на бъдещи нарушения.

В зависимост от нарушението може да не са необходими всички стъпки или някои стъпки може да бъдат комбинирани. В някои случаи може да е подходящо да се предприемат допълнителни стъпки, които са специфични за естеството на нарушението.

Изпратете запитване