Как написать план реагирования на инциденты (с примером)

29 июля 2021 г.

Когда вы думаете о кибербезопасности, важно создать план реагирования на инциденты для защиты вашей компании от любого типа атак. Атака на безопасность может быть, среди прочего, взломом веб-сайта, потерей данных или утечкой электронной почты компании. Более подробная информация о том, как составить план, может помочь вашей группе реагирования на инциденты быстро и с меньшим ущербом решить любые возможные события информационной безопасности. В этой статье мы обсудим, что такое план реагирования на инциденты, объясним, как написать свой собственный, и приведем пример, который можно использовать в качестве руководства.

Что такое план реагирования на инцидент?

План реагирования на инциденты — это стратегия, обеспечивающая способность организации обнаруживать, анализировать и реагировать на события информационной безопасности. Это набор процедур, которые ИТ-специалисты и другие сотрудники организации могут применять в случае инцидента. Такие инциденты могут быть связаны с утечкой данных или другими угрозами безопасности.

Организация создает этот документ до того, как произойдет инцидент, и включает в себя необходимые процедуры. Затем организация может использовать его во время инцидента, чтобы дать указания персоналу, который в противном случае мог бы не знать, что делать в такой ситуации. Цель плана реагирования на инциденты — помочь свести к минимуму любые долгосрочные последствия проблемы информационной безопасности. Это также гарантирует, что компания сможет быстро восстановиться и вернуться к работе после атаки.

Что включить в план реагирования на инциденты

План реагирования на инциденты — это подробное руководство, в котором описываются действия при возникновении инцидента кибербезопасности. Важно создать этот документ вместе с ИТ-отделом вашей компании и руководством компании, чтобы каждый сотрудник знал, что делать в случае кризиса. Вот еще несколько деталей, которые следует включить в план реагирования на инциденты:

• План сохранения бизнеса открытым во время инцидента

• Подробный список сетей и систем восстановления данных, которые можно использовать при необходимости

• План коммуникаций как для сотрудников, так и для клиентов

Как написать план реагирования на инцидент

Вот шаги по созданию плана реагирования на инциденты для вашей организации:

1. Определите роли сотрудников

В кризис важно знать, кто выполняет каждую задачу. Ваша команда должна проводить регулярные встречи для обновления процедур и пересмотра ролей. Вы должны начать план реагирования на инцидент со списком сотрудников, их контактной информацией и назначенными им ролями во время инцидента.

2. Опишите политику безопасности вашей организации

Затем ваша команда должна обобщить инструменты, технологии и ресурсы, доступные для реагирования на кризис. С помощью этого списка вы можете наметить процедуры безопасности во время инцидента. Это может включать такие инструменты, как резервное копирование и восстановление жесткого диска, анализ сетевого трафика, программное обеспечение для защиты от вредоносных программ, сбор доказательств для судебной экспертизы и брандмауэры.

3. Поймите, что должно произойти во время кризиса

Теперь ваша группа реагирования на инциденты может разработать стратегию действий до, во время и после кризиса. Например, если хакер раскрыл все пароли клиентов, должен быть план, чтобы остановить нарушение безопасности и немедленно связаться с клиентами, чтобы изменить их пароли. Включите эту информацию в план реагирования на инциденты с разделами о подготовке, выявлении, сдерживании, ликвидации и восстановлении, в которых указаны контакты для каждого шага и процедуры, которые необходимо выполнить.

4. Обучите персонал

Крайне важно, чтобы каждый сотрудник в вашей организации понимал важность плана реагирования на инциденты, чтобы они знали, как быстро действовать в случае их возникновения. Полное сотрудничество между ИТ-персоналом может уменьшить сбои. Базовое понимание концепций безопасности также сводит к минимуму вероятность серьезных нарушений.

Менеджеры должны узнавать о событиях кибербезопасности, чтобы быть готовыми к любому инциденту. Проводя учебные занятия, менеджеры могут стать более образованными и способными научить членов своей команды тому, как выявлять проблемы безопасности и нести ответственность в кризисной ситуации.

5. Проведите тренировочный инцидент

Для вашей команды может быть полезно провести тренировочный кризис. Многие организации считают, что проведение имитации инцидента обеспечивает дополнительное обучение персонала и помогает выявить любые проблемы или неэффективность плана. Например, вы можете организовать фиктивную кибератаку на серверы вашей компании, а затем следовать плану, включая установленные протоколы для идентификации, сдерживания, искоренения и восстановления. Определите время для разрешения инцидента и проведите совещание после принятия мер, чтобы рассмотреть результаты.

6. Назначьте встречу после любых инцидентов

На совещании после инцидента вы можете обсудить произошедшее и результаты со всеми членами группы реагирования на инциденты. Вам может потребоваться время для всестороннего анализа данных об утечке, чтобы найти возможные методы улучшения. Однако оценка имеет решающее значение, поскольку извлеченные уроки могут помочь укрепить системы против будущих атак.

7. Проконсультируйтесь с юридическим отделом вашей организации

После создания плана реагирования на инциденты и размещения имитации инцидента вы можете заполнить документ. Принесите свое исследование в юридический отдел, чтобы убедиться, что оно содержит правильную информацию и соответствует организационным принципам. В них могут быть внесены изменения в соответствии с федеральными директивами, включая способы уведомления.

Пример плана реагирования на инцидент

Вот пример краткого плана реагирования на инциденты. Как правило, планы реагирования на инциденты очень подробны и могут занимать несколько страниц официального документа компании. Однако вот сокращенный пример ответа на инцидент, который вы можете использовать в качестве руководства при создании собственного:

Название компании: Computer Networks Associated

*Дата вступления в силу: 4 января 2021 г.*

*Цель: В этом плане описываются шаги по реагированию на информацию, связанную с инцидентами кибербезопасности в Computer Networks Associated. В этом документе содержится список сотрудников во время такого инцидента, а также любые политики и процедуры, которым они должны следовать для обеспечения нормальной работы.*

* Роли и обязанности: в этом списке перечислены сотрудники, которым следует информировать во время инцидента, и от которых могут потребоваться действия, чтобы предотвратить или отреагировать на нарушение безопасности: *

• Ада Лагари, офицер по информационной безопасности

• Бен Хеберт, аналитик по кибербезопасности

• Блейз Лавин, сетевой инженер

• Леонор Соарес Энрикес, менеджер по маркетингу

• Хана Абэ, специалист службы поддержки

• Джина Мэдден, руководитель отдела обслуживания клиентов

*Процесс реагирования на инциденты: Реагирование на инцидент может различаться в зависимости от ситуации, поэтому важно проконсультироваться со своим сотрудником по информационной безопасности, если у вас есть вопрос о том, как поступать с чем-то, что не охвачено этими рекомендациями. Чтобы обеспечить конфиденциальность и защиту данных, мы должны документировать все наши действия по реагированию на инциденты.*

Рекомендации по атаке на информацию о клиенте:

1. Документируйте угрозу и отслеживайте утечку информации.

2. Сообщите сотруднику по информационной безопасности, чтобы он начал процесс плана реагирования на инцидент, который включает в себя информирование всех сотрудников о нарушении и обеспечение того, чтобы каждый член команды, ответственный за инцидент, отреагировал соответствующим образом.

3. Проконсультируйтесь с отделом маркетинга, чтобы создать пресс-релиз с информацией о нарушении безопасности и электронное письмо потенциально затронутым клиентам.

4. Обсудите нарушение в команде обслуживания клиентов, чтобы создать процедуры для ответов на вопросы клиентов по телефону и электронной почте относительно утечки информации.

5. Запустите исправления безопасности, чтобы исправить сеть и избежать дальнейших проблем.

6. Запустите тестирование на проникновение, чтобы выявить слабые места в точках безопасности.

7. Убедитесь, что нарушение безопасности устранено и веб-сайт снова работает.

8. Переоцените системы безопасности и убедитесь, что хакеры не могут воспроизвести инцидент.