Локальные менеджеры и персонал
Когда инцидент произошел, главный вопрос, который надо решить, кто отвечает за координацию действий всех участников работ. Главная ошибка, которая может произойти, заключается в том, что много людей работает независимо, не координируя своих усилий. Это только добавит неразберихи и, вероятно, приведет к потере времени и неэффективности.
Единой POC может быть человек, ответственный за ликвидацию последствий инцидента. Могут быть разные роли у лиц, являющихся контактными персонами и координаторами работ по данному инциденту. Руководитель бригады будет принимать решения, как следует интерпретировать политику безопасности в приложении к данному конкретному инциденту. Напротив, POC должен координировать усилия всех участников, вовлеченных в работы.
POC должен быть человек с техническим опытом успешной координации усилий системных менеджеров и пользователей, вовлеченных в мониторинг и реагирование на атаки. Такую кандидатуру нужно выбирать весьма тщательно. Это не должен быть человек, кто отвечает административно за скомпрометированную систему, так как часто такие администраторы имеют знания, необходимые для рутинного управления сетью и ЭВМ день за днем, и не владеют достаточным техническим опытом.
Другой важной функцией POC является поддержание контакта с юридическими силовыми и другими внешними агентствами, чтобы обеспечить их конструктивное участие. Уровень вовлечения будет определяться управленческими решениями администрации и юридическими регламентациями.
Одна POC должна быть представлена одним человеком, ответственным за сбор фактического материала, так как чем больше людей, которые имели контакт с потенциальной уликой, тем больше вероятность того, что это будет неприемлемо в суде. Чтобы гарантировать, что улика будет принята юридическим сообществом, сбор улик должен быть выполнен согласно заранее определенной процедуре в соответствии с местными законами и юридическими регламентациями.
Одной из наиболее критических задач POC является координация всех важных процессов.
Ответственности могут быть распределены по всему узлу, включая многие независимые отделы или группы. Это потребует хорошо скоординированных усилий, для того чтобы достичь конечного успеха. Ситуация становится даже более сложной, если в инцидент вовлечено несколько узлов. Когда это случается, вряд ли один контактный человек (POC) в одном узле будет способен успешно координировать все работы, сопряженные с инцидентом. Вместо этого, должна быть создана специальная команда, предназначенная для работы по этому инциденту. Процесс реагирования на инцидент должен предусматривать некоторые механизмы эскалации. Для того чтобы определить такой механизм, узлы будут должны сформировать внутреннюю схему классификации инцидентов. Каждому уровню инцидента будут поставлены в соответствие определенные POC и процедуры. Если инцидент развивается, возможна смена POC, который будет должен взаимодействовать с другими людьми, вовлеченными в ликвидацию последствий инцидента. Когда происходит замена POC, прежний контактный человек должен кратко проинформировать нового POC обо всех обстоятельствах.
Наконец, пользователи должны знать, как сообщать о предполагаемых инцидентах. Узлы должны установить процедуры докладов, которые будут осуществляться как во время, так и вне нормальных рабочих часов. В дневные рабочие часы такие доклады могу приниматься в специальных справочных бюро, в то время как в остальное время могут использоваться пейджеры или телефоны.