Cosa accade in un processo di risposta agli incidenti medio per una rete aziendale?

3

Sto cercando di rispolverare il lato più orientato ai processi e orientato alla politica e sono interessato alla risposta agli incidenti. Comprendo che la maggior parte delle aziende competenti per la sicurezza hanno una sorta di processo di risposta agli incidenti di sicurezza di base che disciplina il modo in cui gestiscono gli incidenti di sicurezza all'interno della propria rete aziendale.

Quali elementi devono essere considerati come parte di un processo di risposta agli incidenti standard? Ci sono aree specifiche su cui concentrarsi, come l'integrità legale delle prove? È questo il genere di cose che varia selvaggiamente a seconda dell'organizzazione e dei tipi di incidenti o ci sono molti elementi comuni?

    
posta Polynomial 29.01.2013 - 12:06
fonte

2 risposte

7

Un insieme di processi di base dovrebbe includere le seguenti categorie di alto livello:

  • Analisi delle minacce - questo dovrebbe includere tutti i tipi di minacce; disastri naturali, attacchi terroristici, spionaggio straniero ecc. e dovrebbero essere rivisti ogni anno per comprendere e preparare i probabili incidenti. Queste minacce dovrebbero essere mappate agli incidenti e queste mappature dovrebbero alimentare lo sviluppo delle procedure di risposta agli incidenti. Questa è la fase preparatoria fondamentale.

  • Classificazione degli incidenti - la classificazione dovrebbe essere di proprietà centrale e dovrebbe essere responsabilità dell'azienda. Questa classificazione dovrebbe includere soglie di impatto e di probabilità, insieme ai requisiti di escalation. Ciò contribuirà a determinare in che modo rispondere agli incidenti, con quale urgenza e con quali aspettative di risoluzione.

  • Procedure operative - le procedure di comunicazione ed escalation devono essere formalizzate e documentate per ogni unità aziendale. Questi devono includere individui o squadre nominati, livelli di servizio, tempi di risposta e protocolli di comunicazione all'interno e all'esterno del team e dell'organizzazione. Le squadre coinvolte dipenderanno dalla classificazione dell'incidente, ma ogni squadra richiederà procedure operative per soddisfare i requisiti standard di comunicazione, misurazione, integrità e resilienza.

  • Revisione post incidente - la revisione post incidente deve essere formalizzata e obbligatoria per tutti gli incidenti. Ciò dovrebbe includere una valutazione d'impatto completa per aiutare l'organizzazione a comprendere i costi incrementali, a lungo termine e intangibili dell'incidente.

  • Chiusura definitiva - la chiusura dovrebbe includere la registrazione del tempo e delle attività di risoluzione degli incidenti, nonché il confronto con i risultati attesi, in modo che sia possibile apportare miglioramenti.

Penso che, dalla formulazione della domanda, tu sia più interessato alla sezione Procedure operative, quindi ti faccio scendere un livello qui:

Le procedure operative includeranno articoli come:

  • Conservazione di tutte le informazioni registrate dalla squadra dell'incidente dall'inizio dell'incidente almeno fino alla chiusura. Oltre tale termine, la conservazione avverrà in base ai requisiti aziendali o normativi.
  • Mettere in attesa la rotazione di tutti i registri - anziché seguire il normale ciclo di rotazione del registro, i registri che risalgono a un importo definito (che può essere un'ora, un giorno o più) saranno messi a disposizione del team investigativo.
  • Come qualsiasi incidente potrebbe essere un incidente criminale, non importa come sia (come esempio, esfiltrazione tettonica - il furto opportunistico di hardware si è verificato durante il caos causato a causa dei terremoti in Nuova Zelanda) la registrazione dei dati dovrebbe essere il più completa possibile e registrata su storage che sia Write-Once, Read-Many se possibile, e dovrebbero essere applicate regole forense.
  • Identificazione delle attività da rimediare rapidamente e tornare a Business-as-Usual, nonché attività per indagare a fondo sulla causa principale dell'incidente.
  • Gli incidenti interni ed esterni possono essere affrontati in modo molto diverso (ad esempio, un dipendente che ha rubato dati critici può essere licenziato e abbandonato dal sito, ma le prove che un concorrente sta portando avanti lo spionaggio industriale possono essere passate alla polizia , o può essere tranquillamente nascosto - queste decisioni avranno esiti aziendali quindi è necessario discuterne a livello di Chief Risk Officer o equivalente)

Ricorda che ogni articolo o attività è un'opzione di costo, quindi raramente vediamo tutti questi risultati. Il primo ad andare è di solito la registrazione forense di dati o attività, poiché un'impresa che soffre di un grave incidente potrebbe perdere denaro ogni minuto che l'incidente continua. È probabile che il conducente riprenda le normali procedure operative, seguito da un'indagine dopo il fatto.

Per un paio di dettagli sulla risposta agli incidenti della sicurezza informatica, controlla questo documento IETF e questo documento CERT .

    
risposta data 29.01.2013 - 12:39
fonte
0

La risposta alla tua domanda non è semplice, suggerisco di dipendere da SO / IEC TR 18044: 2004 e altre best practice, personalmente, ho creato alcune categorie per classificare il livello di rischio (Critico, Alto, Medio, Basso) e anche Ho identificato la maggior parte degli eventi previsti, gli eventi previsti possono essere facilmente definiti, ad esempio:

  • Tutti gli eventi che corrispondono ai principi di sicurezza (Confidenziale, integrità, disponibilità) possono essere estesi a più specifici (autenticità, responsabilità, non ripudio, ecc.)
  • Quindi classificali in base a interni ed esterni (se l'utente malintenzionato è un dipendente o anonymouse)

Ora, per ogni evento, crea luogo (Obiettivi) per ogni evento, sarà luoghi logici o reali, dopo di ciò, fornisci dettagli al tuo piano.

Infine, ricevi il modulo di supporto per il tuo progetto !!!

[1] link

[2] link

    
risposta data 29.01.2013 - 12:40
fonte

Leggi altre domande sui tag