Questo è un incidente che devi gestire e suppongo che una risposta standard non sia stata dettagliata nella documentazione.
Comprendi che il tuo sistema non funziona correttamente. Non funziona come previsto.
- Isolare il sistema [che indica la (e) rete (i) e la struttura fisica, se possibile] per impedire che i dati lascino il sistema. Abbiate cura di causare il minimo cambiamento possibile delle singole risorse. Vuoi che lo stato delle risorse rimanga costante finché non puoi valutarle.
- Identifica la fonte o le fonti della perdita di dati.
- Isolare la fonte di perdita o le fonti per prevenire ulteriori contaminazioni nel sistema. Di nuovo, cerca di conservare lo stato attuale il più possibile. Ciò ti aiuterà a identificare i beni contaminati dalla fonte.
- Identifica tutte le risorse che potrebbero essere state contaminate dalla fonte o dai sorgenti.
- Isolare le risorse potenzialmente contaminate. So che sta diventando ripetitivo, ma preservare il più possibile lo stato di ogni risorsa. Queste risorse ti aiuteranno a valutare l'entità della contaminazione.
-
Tratta tutte le risorse potenzialmente contaminate a livello di contaminazione. In questo caso TS.
- Verifica che le risorse rimanenti non siano contaminate.
- Respirare, avere qualcosa da mangiare o da bere, fare una breve pausa, perché il resto della giornata / settimana / mese sarà doloroso.
- Discutere e pianificare la bonifica delle risorse contaminate. Pianificare bene qui ti consentirà di capire la portata del problema, chi è interessato e quanto tempo ti aspetti che prenda.
- Esegui il piano di riparazione e segnala periodicamente sullo stato di avanzamento.
- Il dolore
- vacanze
Has anyone ever had to deal with an unauthorized laptop accidentally getting Top Secret level data on it?
Non l'ho fatto. Sono stato coinvolto nel contenimento e nella risoluzione dei dati sensibili.
How did you quarantine the system?
Non sono stato coinvolto con il sistema contaminato primario, solo con sistemi secondari.
Per i sistemi sospettati di contaminazione:
- Segnale di avviso dell'area riservata pubblicata sulla porta.
- Chiuso a chiave la porta.
- Rimosse le comunicazioni di rete.
- Spegni il sistema per preservare il più possibile lo stato corrente.
- Analizzato il sistema per verificare la presenza di dati in questione.
- Se rilevato, sposta il sistema in un'area sicura per la disinfezione.
Were you required to turn in the entire laptop or were you able to destroy/format the HDD?
L'agenzia coinvolta determinerà l'azione da intraprendere e le politiche e le pratiche potrebbero variare da un'agenzia all'altra.
Non ho esperienza personale, ma dato che TS è descritto come "Tale materiale potrebbe causare" eccezionalmente grave danno "alla sicurezza nazionale, se reso pubblicamente disponibile." Mi aspetto che ogni componente fisico dell'oggetto precedentemente noto come laptop sarà schiacciato, fracassato, fuso, sciolto, estruso, triturato e usato come bersaglio in una gamma di artiglieria.
La conseguenza del rilascio delle informazioni rispetto al valore del laptop, dell'altro software e dei dati sul laptop, e qualsiasi altro adiacente valore aggiunto, rende chiaro che impedire il rilascio dei dati vale il costo di distruzione totale del laptop.