какие конкретно вопросы интересуеют? могу поделиться опытом.
Интересуют вопросы практической реализации процесса реагирования. Сейчас пытаюсь как-то организовать реагирование на инциденты по банк-клиенту. Информация доходит не сразу по происшествиям. Как у вас это процесс построен?
Комрад conficker-i, поделился насчет реализации процесса реагирования на инциденты и попросил опубликовать его ответ:
Сообщение от conficker-i
Ну, если говорить в двух словах, то необходимо разработать процедуру по управлению инцидентами ИБ, где определить:
- основные цели данного процесса
- что считается инцидентом ИБ
- группа реагирования на инциденты ИБ, назначить ответственных
- классификация инцидентов: вредоносный код, отказ в обслуживании, НСД и тп (есть различные best practise на этот счет, лучше смотри стандарты NIST)
- Оценка степени серьезности инцидента
- Регистрация инцидента (должна весть единая БД всех инцидентов, с их статусами)
- Оповещение заинтересованных лиц (группы реагирования, доп. сотрудников)
- Расследование (кто, как, какие возможны последствия для виновного)
- Устранение последствий и причин (внедрение доп. контролей при необходимости)
- Закрытие инцидента
- Регулярная отчетность по инцидентам (кому, как часто)
Example 3: Privileged insider inadvertently installs malware using BitTorrent
A help desk employee who works the night shift decides to install Bittorrent in order to download the latest and greatest movie. Using Bittorrent is a violation of his organizations policy, but since he has the privileges, he can do what he wants. When he downloads the movie, it is infected with malcode. The virus begins to propagate and infect other machines on the network installing keyloggers and disabling anti-virus. This causes the Networks & NW Devices to be flooded with traffic, which creates latency for VoIP calls going into the organizations call center.
А как считают уважаемые участники форума, насколько актуальна угроза заражения через movie, it is infected with malcode?!
Комментарий