Что такое компьютерный инцидент
Обновлено: 21.11.2024
Инцидент безопасности – это любая попытка или фактический несанкционированный доступ, использование, раскрытие, изменение или уничтожение информации. Это включает в себя вмешательство в работу информационных технологий и нарушение политики, законов или правил кампуса.
Примеры инцидентов безопасности включают:
- Нарушение компьютерной системы
- Несанкционированный доступ или использование систем, программного обеспечения или данных
- Несанкционированные изменения в системах, программном обеспечении или данных.
- Потеря или кража оборудования, хранящего институциональные данные.
- Атака типа "отказ в обслуживании"
- Вмешательство в предполагаемое использование ИТ-ресурсов
- Скомпрометированные аккаунты пользователей
Важно сообщать о фактических или предполагаемых инцидентах безопасности как можно раньше, чтобы кампус мог ограничить ущерб и стоимость восстановления. Укажите конкретные сведения о взломе системы, уязвимости или компрометации вашего компьютера, и мы предоставим вам план дальнейшего сдерживания и смягчения последствий.
Как сообщить об инциденте безопасности
телефон: (510) 664-9000 (вариант 4)
Важно! Если инцидент представляет непосредственную опасность, немедленно свяжитесь с UCPD по телефону (510) 642-3333 или позвоните по номеру 911
Информация для включения в отчет:
- Ваше имя
- Отдел
- Адрес электронной почты
- Номер телефона
- Описание проблемы информационной безопасности
- Дата и время, когда впервые была замечена проблема (если возможно)
- Любые другие известные ресурсы, затронутые
Что делать, если я подозреваю серьезный инцидент безопасности?
Инцидент безопасности считается серьезным, если на кампус влияет один или несколько из следующих факторов:
- потенциальное несанкционированное раскрытие конфиденциальной информации
- серьезные юридические последствия
- серьезный сбой в работе важнейших сервисов
- активные угрозы
- распространено
- может вызвать общественный интерес
Конфиденциальная информация определяется в Стандарте классификации данных UCB и включает личную информацию, которая защищена законами и правилами, а также конфиденциальные исследования, защищенные соглашениями об использовании данных, такими как:
- Номер социального страхования
- Номер кредитной карты
- Номер водительского удостоверения
- История учащихся
- Защищенная медицинская информация (PHI)
- Исследования на людях
Если вы знаете или подозреваете, что скомпрометированная система содержит конфиденциальные данные, выполните следующие действия:
- Не пытайтесь расследовать или устранять компрометацию самостоятельно.
- Указать всем пользователям немедленно прекратить работу в системе.
- Не выключайте машину
- Удалите систему из сети, отсоединив сетевой кабель или отключившись от беспроводной сети.
- Сообщите об инциденте, следуя приведенным выше инструкциям.
В случае серьезного инцидента имейте в виду, что дальнейшее взаимодействие со скомпрометированной машиной может серьезно повлиять на последующий криминалистический анализ
Как сообщить о неправомерном использовании компьютера или сети?
Инцидент безопасности может также относиться к ненадлежащему использованию компьютеров и сети кампуса. Распространенные нарушения и примеры неправильного использования включают:
- Сообщения в коммерческих или политических целях
- Спам по электронной почте
- Заявления о нарушении авторских прав
Если рассматриваемое неправомерное использование исходит от адреса электронной почты кампуса, сетевого подключения или находится на веб-сайте Беркли, отправьте электронное письмо:
Раздел 404 Закона Сарбейнса-Оксли (SOX) требует, чтобы все публичные компании установили внутренний контроль и процедуры.
Закон о защите конфиденциальности детей в Интернете от 1998 года (COPPA) – это федеральный закон, который налагает особые требования на операторов доменов .
План North American Electric Reliability Corporation по защите критически важной инфраструктуры (NERC CIP) представляет собой набор стандартов.
Взаимная аутентификация, также называемая двусторонней аутентификацией, представляет собой процесс или технологию, в которой оба объекта обмениваются данными .
Экранированная подсеть или брандмауэр с тройным подключением относится к сетевой архитектуре, в которой один брандмауэр используется с тремя сетями .
Метаморфное и полиморфное вредоносное ПО – это два типа вредоносных программ (вредоносных программ), код которых может изменяться по мере их распространения.
Медицинская транскрипция (МТ) – это ручная обработка голосовых сообщений, продиктованных врачами и другими медицинскими работниками.
Электронное отделение интенсивной терапии (eICU) — это форма или модель телемедицины, в которой используются самые современные технологии.
Защищенная медицинская информация (PHI), также называемая личной медицинской информацией, представляет собой демографическую информацию, медицинскую .
Снижение рисков – это стратегия подготовки к угрозам, с которыми сталкивается бизнес, и уменьшения их последствий.
Отказоустойчивая технология — это способность компьютерной системы, электронной системы или сети обеспечивать бесперебойное обслуживание.
Синхронная репликация — это процесс копирования данных по сети хранения, локальной или глобальной сети, поэтому .
API облачного хранилища — это интерфейс прикладного программирования, который соединяет локальное приложение с облачным хранилищем.
Интерфейс управления облачными данными (CDMI) – это международный стандарт, определяющий функциональный интерфейс, используемый приложениями.
Износ флэш-памяти NAND — это пробой оксидного слоя внутри транзисторов с плавающим затвором флэш-памяти NAND.
Происшествие, которое фактически или потенциально ставит под угрозу конфиденциальность, целостность или доступность информационной системы или информации, которую система обрабатывает, хранит или передает, или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политики допустимого использования.
Источник(-и):
FIPS 200 в соответствии с инцидентом
NIST SP 800-12 Rev. 1 в соответствии с инцидентом из FIPS 200
NIST SP 800-128 в соответствии с инцидентом из FIPS 200
/>NIST SP 800-137 для инцидента из FIPS 200
NISTIR 8183 для инцидента из NIST Cybersecurity Framework версии 1.1, NIST Cybersecurity Framework версии 1.0
NISTIR 8183 Rev. 1 для инцидента из NIST Cybersecurity Framework версии 1.1 < br />NISTIR 8183A Vol. 1 в разделе Инцидент из NIST Cybersecurity Framework версии 1.1
NISTIR 8183A Vol. 2 в разделе Инцидент из NIST Cybersecurity Framework версии 1.1
NISTIR 8183A Vol. 3 в соответствии с инцидентом из NIST Cybersecurity Framework версии 1.1
NIST SP 800-53 ред. 4 [Заменено] в соответствии с инцидентом из FIPS 200
Происшествие, которое фактически или потенциально ставит под угрозу конфиденциальность, целостность или доступность информационной системы или информации, которую система обрабатывает, хранит или передает, или которая представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования
Источник(-и):
NIST SP 800-82 Rev. 2 в соответствии с инцидентом из FIPS 200, NIST SP 800-53
Происшествие, которое приводит к реальной или потенциальной угрозе конфиденциальности, целостности или доступности информационной системы или информацию, которую система обрабатывает, хранит или передает, или которая представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования. См. киберинцидент. См. также событие, безопасность и вторжение.
Источник(-и):
CNSSI 4009-2015 из FIPS 200 - адаптированный
Аномальное или неожиданное событие, набор событий, условие или ситуация в любой момент в течение жизненного цикла проекта, продукта, услуги или системы.
Источник(-и):
NIST SP 800-160 Vol. 1 из ISO/IEC/IEEE 15288
См. «инцидент».
Источник(-и):
NIST SP 800-61 Rev. 2 в разделе «Инцидент компьютерной безопасности»
Нарушение или неминуемая угроза нарушения политик компьютерной безопасности, политик допустимого использования или стандартные методы обеспечения безопасности.
Источник(-и):
NIST SP 800-61 Rev. 2 в разделе Инцидент
См. Инцидент.
Источник(-и):
CNSSI 4009-2015 об инциденте компьютерной безопасности согласно NISTIR 7298 Rev. 2
CNSSI 4009-2015 об инциденте безопасности согласно NISTIR 7298 Rev. 2
NIST SP 800-137 в соответствии с Инцидентом безопасности
NIST SP 800-53 Ред. 4 [Заменено] в соответствии с Инцидентом безопасности
Происшествие, которое фактически или неизбежно ставит под угрозу, без законных полномочий, конфиденциальность, целостность или наличие информации или информационной системы; или представляет собой нарушение или неминуемую угрозу нарушения закона, политик безопасности, процедур безопасности или политик допустимого использования.
Источник(-и):
NIST SP 800-172 от 44 U.S.C., Sec. 3552
NIST SP 800-172A из 44 U.S.C., сек. 3552
NIST SP 800-37 ред. 2
NIST SP 800-53 ред. 5 из PL 113-283 (FISMA)
NIST SP 800-171 ред. 2 из 44 USC, сек. . 3552
Происшествие, которое фактически или потенциально ставит под угрозу, без законных полномочий, конфиденциальность, целостность или доступность информации или информационной системы; или представляет собой нарушение или непосредственную угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования.
Источник(-и):
NIST SP 800-128 от 44 U.S.C., Sec.3552
Происшествие, которое фактически или потенциально ставит под угрозу конфиденциальность, целостность или доступность системы или информации, которую система обрабатывает, хранит или передает, или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности , процедуры безопасности или правила допустимого использования.
Источник(-и):
NIST SP 800-171 Rev. 1 [Заменено] из FIPS 200 - адаптировано
Глоссарий комментариев
Комментарии к конкретным определениям следует направлять авторам публикации, на которую ссылается источник. Для публикаций NIST адрес электронной почты обычно находится в документе.
Происшествие, которое приводит к реальной или потенциальной угрозе конфиденциальности, целостности или доступности информационной системы или информации, которую система обрабатывает, хранит или передает, или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедуры или правила допустимого использования. См. киберинцидент. См. также событие, безопасность и вторжение.
Источник(-и):
CNSSI 4009-2015 в соответствии с инцидентом из FIPS 200 - адаптировано
Аномальное или неожиданное событие, набор событий, условие или ситуация в любое время в течение жизненный цикл проекта, продукта, услуги или системы.
Источник(-и):
NIST SP 800-160 Vol. 1 под происшествием из ISO/IEC/IEEE 15288
См. «происшествие».
Источник(-и):
NIST SP 800-61 Rev. 2
См. инцидент.
Источник(-и):
CNSSI 4009-2015 по инциденту компьютерной безопасности из NISTIR 7298 Rev. 2
Происшествие, которое фактически или неизбежно ставит под угрозу, без законных полномочий, конфиденциальность, целостность или доступность информации или информационной системы; или представляет собой нарушение или неминуемую угрозу нарушения закона, политик безопасности, процедур безопасности или политик допустимого использования.
Источник(-и):
NIST SP 800-172 по инциденту из 44 U.S.C., Sec. 3552
NIST SP 800-172A при инциденте из 44 U.S.C., Sec. 3552
NIST SP 800-37 Rev. 2 при инциденте
NIST SP 800-53 Rev. 5 при инциденте из PL 113-283 (FISMA)
NIST SP 800-171 Rev. 2 при Инцидент из 44 USC, Sec. 3552
Происшествие, которое фактически или потенциально ставит под угрозу, без законных полномочий, конфиденциальность, целостность или доступность информации или информационной системы; или представляет собой нарушение или непосредственную угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования.
Источник(-и):
NIST SP 800-128 по инциденту из 44 U.S.C., Sec. 3552
Происшествие, которое фактически или потенциально ставит под угрозу конфиденциальность, целостность или доступность системы или информации, которую система обрабатывает, хранит или передает, или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности , процедуры безопасности или правила допустимого использования.
Источники:
NIST SP 800-171 Rev. 1 [Заменено] в соответствии с инцидентом из FIPS 200 — адаптировано
Глоссарий комментариев
Комментарии к конкретным определениям следует направлять авторам публикации, на которую ссылается источник. Для публикаций NIST адрес электронной почты обычно находится в документе.
Цель настоящего Плана реагирования на компьютерные инциденты (CIRP) — предоставить Университету план, учитывающий динамику инцидента, связанного с компьютерной безопасностью.
1 Цель
Цель настоящего Плана реагирования на компьютерные инциденты (CIRP) — предоставить Университету план, учитывающий динамику инцидента, связанного с компьютерной безопасностью. Инцидент компьютерной безопасности — это инцидент, который угрожает конфиденциальности, целостности или доступности информационных активов Университета с большим воздействием, высокой угрозой, сопряженной с высоким риском и большой уязвимостью. Инцидент безопасности включает непреднамеренное раскрытие конфиденциальной или защищенной информации, такой как номер социального страхования или защищенная медицинская информация, как это определено в Законе о переносимости и подотчетности медицинского страхования от 1996 года. CIRP определяет роли и обязанности членов группы реагирования на инциденты, определяет уровни серьезности инцидента. , описывает процесс управления инцидентами и включает методологии проведения ответных действий.
Программу CIRP можно использовать одновременно во время определенных стихийных бедствий вместе с Планом восстановления после ураганов и аварийных ситуаций Технологических служб Университета для обеспечения информационной безопасности и обеспечения непрерывности рабочих компьютеров/сети.
2 Область действия
Этот CIRP применяется ко всем компьютерным системам и сетям, подключенным к сети Tulane University. CIRP содержит действия, необходимые для обеспечения защиты репутации, информационных активов Тулейнского университета, а также информационных активов студентов, преподавателей и сотрудников, которые находятся под контролем Тулейнского университета.
Определения и сокращения
CIRT – Группа реагирования на компьютерные инциденты
VPIT – Вице-президент по информационным технологиям
ISO – Сотрудник по информационной безопасности (начальник или уполномоченный)
PCAB – Президентский кабинет
TS – Технологические службы
WFMO — Организация управления персоналом
Политика в отношении технологических служб
Произойдут инциденты, связанные с компьютерной безопасностью, которые потребуют полного участия технического персонала TS, а также руководства подразделения для надлежащего управления исходом. Служба технического обслуживания установит процедуры реагирования на компьютерные инциденты, которые обеспечат привлечение соответствующего руководства и технических ресурсов для
- Оценить серьезность инцидента,
- Оцените степень ущерба,
- Определить созданную уязвимость,
- Оцените, какие дополнительные ресурсы (если таковые имеются) необходимы для смягчения последствий инцидента,
- Смягчить инцидент,
- Составлять надлежащие последующие отчеты и
- Скорректируйте процедуры, чтобы лучше реагировать на будущие инциденты.
3 Роль и обязанности
В этом разделе определяются роли и обязанности VPIT, CIRT, ISO и групп поддержки. Кроме того, в этом разделе рассматриваются различные функциональные области технологических служб в Университете и их обязанности в CIRT.
3.1 Вице-президент по информационным технологиям — главный технический директор
В зависимости от потребностей инцидента VPIT либо привлечет, либо проинформирует. Передача информации во время инцидента будет следовать этому потоку, чтобы исключить путаницу и дезинформацию между группами.
VPIT отвечает за выполнение или делегирование следующих действий:
- Установка приоритетов
- Уведомление президента университета и/или попечительского совета о заявлении об инциденте
- Декларация о стихийном бедствии
- Участие вместе с ISO в принятии решений о судебном расследовании
- Назначение помощника VPIT или его заместителя для выполнения обязанностей роли VPIT
- Уведомление службы связи университета о внутренних и внешних коммуникациях.
- Принадлежность к плану(ам) работы по ликвидации инцидентов ISO
- Определение и выдача запретительных приказов в рамках Технических служб по особо деликатным вопросам; руководство по умолчанию для сообщения об инциденте компьютерной безопасности основано на необходимости знать
- Ведение пост-мортема — этап закрытия
3.2 Сотрудник по информационной безопасности (ISO)
Эта позиция будет регулярно обновлять VPIT во время критического инцидента. ISO проведет техническую экспертизу на основе заявленного инцидента.
ISO отвечает за следующее:
- Начало досье по инциденту. Используется для обеспечения надлежащего сбора и документирования информации.
- Управление ресурсами инцидентов
- Определение того, находится ли инцидент на критическом уровне, и объявление его таковым
- Поддержание связи между CIRT и VPIT.
- Уведомление WFMO по мере необходимости
- Уведомление юридического отдела по мере необходимости
- Уведомление службы безопасности кампуса по мере необходимости
- Напоминание персоналу о том, что общение осуществляется по принципу служебной необходимости, или если VPIT определил «приказ о неразглашении информации», информируя членов команды о характере «уведомления».
- Сообщение руководству группы технологических служб о том, что объявлен критический инцидент и создана группа CIRT
- Активация CIRT и уведомление группы о местах проведения встреч и телефонных номерах
- Разработка условий содержания
- Создание группы вскрытия для определения первопричины и основных последствий инцидента
- Тесное сотрудничество с VPIT и генеральным юрисконсультом университета во время судебно-медицинских расследований.
- Управление планами работы с инцидентами и назначением задач
- Поднятие проблем с зависимостями по мере их возникновения
- Назначение заместителя ISO для выполнения обязанностей, которые охватывают более 12 часов.
- Координация совещаний по передаче дел между сменами и разработка планов работы с учетом выполненных и невыполненных задач
- Подтверждение того, что все системы возвращены в рабочее состояние, а причина устранена.
- Надежное уничтожение/сохранение всех материалов по окончании инцидента
- Определение внешнего персонала/ресурсов по мере необходимости
3.3 Группа реагирования на компьютерные инциденты (CIRT)
Во время инцидента ISO соберет команду. Члены будут различаться в зависимости от набора навыков, необходимых для оказания помощи во время инцидента. Команды будут различаться по размеру в зависимости от потребности. Эта команда будет оставаться активной до тех пор, пока инцидент не будет закрыт. Эта команда будет отвечать как за реагирование, так и за восстановление. Основной состав группы CIRT определен в разделе 6.
Этап реагирования. В обязанности группы реагирования входит проведение сортировки инцидента, помощь в сдерживании инцидента, сбор доказательств для отчета о вскрытии и, при необходимости, проведение или помощь в проведении судебно-медицинского расследования.
Помощь в сборе доказательств во время расследования инцидента
Предоставление рекомендаций ISO по действиям по исправлению положения в затронутых системах
Вызов группы CIRT возможен 24 часа в сутки, 7 дней в неделю, 365 дней в год во время критического инцидента
Этап восстановления. Ответные действия группы сосредоточены на оценке ущерба, возвращении к нормальной работе, восстановлении серверов и систем и т. д.
- Определение возможности восстановления затронутых систем с резервных копий на лентах или их необходимо переустановить
- Очистка всех данных перед подготовкой к повторной установке.
- Определение того, какие данные потеряны и не могут быть восстановлены или восстановлены
- Повторная загрузка данных в затронутых системах.
- Восстановление нормальной работы
Последующая фаза:
- Отправка окончательных отчетов об инцидентах сторонам, которым необходимо знать
- Обсуждение процедурных изменений и обновлений
- Обсуждение проблем с конфигурацией
- Принятие решения о проведении расследования для определения основной причины и основных последствий инцидента
- Обсуждение невыполненных задач
3.4 Общественная безопасность
- Помогать на собеседованиях, когда это необходимо
- Помощь WFMO во время нарушений правил
- При необходимости координируйте свои действия с внешними правоохранительными органами.
- Связь с Федеральным бюро расследований (ФБР) по запросу главного юрисконсульта университета
3.5 Главный юрисконсульт
- Предоставляет руководство VPIT относительно правовых и нормативных аспектов инцидента и его публичного раскрытия.
- Консультирует WFMO относительно расследований с участием сотрудников
- Консультирует VPIT и/или ISO относительно решения просто защитить свою деятельность или возбудить гражданские или уголовные дела.
- Консультируется с VPIT и/или ISO относительно взаимодействия с правоохранительными органами.
- Консультирует VPIT и/или ISO по вопросам сотрудничества с регулирующими органами.
- Просматривает сообщения, подготовленные отделом коммуникаций университета, по мере необходимости.
- Взаимодействие с внешним юрисконсультом
3.6 ВФМО
- Консультирует VPIT по кадровым вопросам.
- Инициирует расследования, связанные с сотрудниками, вместе с главным юрисконсультом университета.
- Участвует в допросах и при необходимости предоставляет разрешенную законом личную информацию
- Оповещает CIRT о любых необычных моделях поведения сотрудников во время критического инцидента или расследования.
- Управляет внутренними проблемами и вопросами сотрудников, не связанными с инцидентом.
- Координирует внутреннюю коммуникацию сотрудников вместе с генеральным юрисконсультом университета и университетскими коммуникациями, по мере необходимости
3.7 Связь с университетом
- Обеспечивает внешнюю связь по согласованию с главным юрисконсультом университета.
- Отвечает на все запросы внешних СМИ.
- Взаимодействие с внешними фирмами по связям с общественностью.
- Убедитесь, что внутренние сообщения соответствуют внешним сообщениям.
Определено 4 инцидента
Инцидент с компьютерной безопасностью – это любое неблагоприятное событие, которое угрожает конфиденциальности, целостности или доступности информационных активов университета, информационных систем и сетей, доставляющих информацию. Любое нарушение политик компьютерной безопасности, политик допустимого использования или стандартных методов компьютерной безопасности является инцидентом.
Неблагоприятные события могут включать несанкционированный доступ к системам и информации, атаки типа "отказ в обслуживании", потерю ответственности или повреждение любой части системы. Если произошел инцидент или есть подозрение на инцидент, необходимо уведомить ISO, чтобы помочь определить уровень инцидента и следующие действия по реагированию, как определено в этом документе.
4.1 Уровни инцидентов
Уровни инцидентов определены здесь для ясности, хотя о любом потенциальном инциденте необходимо уведомить ISO, чтобы помочь определить следующие шаги. В рамках первоначального процесса реагирования на инцидент ISO необходимо будет провести оценку воздействия инцидента и назначить соответствующий уровень серьезности. Этот уровень серьезности будет основан на потенциальном воздействии на деятельность или репутацию Университета Тулейна и/или его студентов, преподавателей и/или сотрудников.
Уровень серьезности инцидента определяет первоначальное реагирование и действия по управлению, связанные с событием. По мере продолжения деятельности по управлению инцидентами дальнейшая оценка может привести к переназначению на более высокий или более низкий уровень серьезности.
Критический инцидент: любое неожиданное или несанкционированное изменение, раскрытие информации или прерывание работы информационных ресурсов Тулейнского университета, которые могут нанести серьезный ущерб нашим студентам, сотрудникам, преподавателям и/или репутации. Эти инциденты влияют на способность Университета выполнять свои задачи.
Низкий уровень: к этим инцидентам относятся: значительное количество обнаруженных сетевых проверок, сканирований и аналогичных действий, указывающих на схему концентрированной разведки; получена разведывательная информация об угрозах, которым системы могут быть уязвимы; попытки проникновения или атаки типа «отказ в обслуживании» не повлияли на операции; единичные экземпляры нового компьютерного вируса; или работы, которые не могут быть обработаны развернутым антивирусным программным обеспечением.
5 уровней эскалации, роли и обязанности
Роли и обязанности каждой из групп, участвующих в реагировании на инциденты, зависят от конкретного уровня эскалации, который активен в любой конкретный момент времени. Эти роли и обязанности описаны ниже.
5.1 Инцидент низкого уровня
Нормальная работа системы в сочетании с периодическим мониторингом информационных ресурсов университета в режиме реального времени.
- Отслеживайте все известные источники предупреждений или уведомлений об угрозах.
5.2 Инцидент среднего уровня
Процессы мониторинга обнаружили ранние признаки инцидента.
- Анализируйте данные мониторинга и определяйте ранние защитные действия с уведомлением и вводом информации от ISO.
- Уведомить местного ИТ-директора (если применимо) и руководителя отдела.
- Если затронуты пользователи, сообщите об этом через вице-президента по административным службам.
- Получайте и отслеживайте информацию об инцидентах от системного/сетевого администратора.
- Перевести реагирование на инцидент на следующий уровень, если информация о событии указывает на реальную угрозу.
- Оповестить руководителя соответствующего бизнес-подразделения и ISO об угрозе (при необходимости).
- Если затронуты пользователи, сообщите об этом через вице-президента по административным службам.
5.3 Инцидент высокого уровня
Проявилась угроза.
- Определить контрмеры для сдерживания инцидента.
- Сообщить директору о текущей угрозе.
- Уведомить Дина, если это необходимо
- Уведомить CIRT о проявлении угрозы.
- Сообщать подробности инцидента и вспомогательные системные журналы, записи аудита и т. д. в CIRT.
- Начать регистрацию событий для возможных дисциплинарных/судебных разбирательств.
- Если затронуты пользователи, сообщите об этом через вице-президента по административным службам.
- Постоянно отчитываться перед соответствующими бизнес-подразделениями/академическими подразделениями.
CIRT
- Возьмите на себя ответственность за управление действиями по обработке инцидентов.
- Определить, требуется ли дальнейшая эскалация до VPIT.
- Определить, снизили ли контрмеры риски до приемлемого уровня.
- Получать техническую информацию от соответствующих системных администраторов.
- Выполните необходимые действия.
- Предоставьте отзыв директору департамента ISO и ИТ (если применимо).
5.4 Инцидент критического уровня
Угроза стала широко распространенной или имеет высокий уровень серьезности.
- Поддержите CIRT
- Продолжить сообщать о статусе директору
- Продолжайте отслеживать все источники событий для оповещений и уведомлений об угрозах.
- Контролировать эффективность контрмер по уменьшению угроз
- Продолжить отслеживание инцидента
- Постоянно отчитываться перед деканом или эквивалентным руководством
- Настроить командный центр
- Оповестить главного юрисконсульта и управление рисками университета
- Оповестить продавцов/поставщиков/внешних поставщиков услуг (при необходимости)
- Определить, снизили ли контрмеры риски до приемлемого уровня.
- Выполните необходимые действия
- Отправить отзыв директору департамента ISO и ИТ (где применимо)
- Продолжайте следить за событием и, при необходимости, сообщите об этом президенту или президентскому кабинету.
5.5 Сообщение об инциденте
Угроза удалена. Происходит полное выздоровление. Началась нормальная работа.
Читайте также: