Телекоммуникационные технологии. Том 1



         

Подготовка и планирование обработки инцидентов


Часть мер в случае инцидента должна быть подготовлена до того, как инцидент произойдет в первый раз. Это включает установку приемлемого уровня защиты, как это было описано в предыдущих главах. Выполнение этого поможет вам избежать инцидентов в вашем узле, а также сократить потенциальный ущерб, вызванный атакой, если она действительно произойдет. Защита включает в себя также перечень мер в случае непредвиденного инцидента в вашей организации или узле. Наличие написанных планов исключит многие неопределенности, которые могут возникнуть в случае инцидента, и приведет к более адекватному и исчерпывающему перечню действий. Жизненно важно проверить предлагаемый план до того как произойдет настоящий инцидент на пробном прогоне. Команда может даже рассмотреть наем атакующей группы, которая будет работать в параллель с пробным прогоном. (атакующая группа - это команда специалистов, которые пытаются вторгнуться в систему безопасности). Обучение эффективному реагированию на вторжение является важным по многим причинам:

(1)

Защита объектов, которые могут быть компрометированы

(2)

Защитные ресурсы, которые могли бы быть использованы с большей пользой, если инцидент не требует их услуг

(3)

Выполнение регламентаций (правительственных или других)

(4)

Предотвращение использования ваших систем в атаках против других систем (которые могут навлечь на вас юридическую ответственность)

(5)

Минимизация потенциала негативных проявлений

При любом наборе предварительно спланированных мер, эти меры могут иметь разные приоритеты в разных узлах. Рассмотрим набор типовых мер, которые должны быть предприняты в связи с инцидентом:

(1)

Описать, как это произошло.

(2)

Выяснить, как избежать дальнейшего использование тех же самых уязвимостей.

(3)

Исключить последствия и будущие инциденты.

(4)

Оценить воздействие и ущерб от инцидента.

(5)

Восстановить систему после инцидента.

(6)

Обновить политику и процедуры, как это требуется.

(7)

Найти, кто это сделал (если это возможно).

В силу природы инцидента может иметь место конфликт между анализом источника проблемы и восстановлением систем и услуг.


Содержание  Назад  Вперед