• взаимодействие с провайдером для отслеживания источника атаки,
• использование записывающих устройств для сбора доказательств,
• отключение поврежденных систем или источников атаки,
• обращение в правоохранительные органы или федеральные агентства,
• выключение поврежденных систем,
• восстановление систем в соответствии со списком приоритетности,
• уведомление руководства и юристов компании.
Необходимо детализировать любые изменения в политике безопасности, которые могут быть произведены без обязательного получения разрешения от руководства.
Отметим, что существуют две основные причины для сбора и хранения информации об атаках: определение последствий реализации атаки и расследование и преследование злоумышлеников. Тип информации, способ сбора и обработка информации обусловлены целями реагирования на нарушения безопасности.
Для определения последствий нарушения безопасности рекомендуется осуществить следующие шаги:
• зафиксировать инцидент с помощью записи сетевого трафика, снятия копий файлов журналов, активных учетных записей и сетевых подключений;
• ограничить дальнейшие нарушения путем отключения учетных записей, отсоединения сетевого оборудования от сети и от Интернета;
• провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;
• попытаться найти другие подтверждения компрометации. Часто при компрометации системы оказываются затронутыми другие системы и учетные записи;
• просматривать хранимые файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом для определения метода атаки.
Если необходимо произвести юридические действия, следует уведомить руководство и привлечь юристов компании для сбора соответствующих доказательств. Если нарушение было внутренним, то потребуется привлечь сотрудников отдела кадров компании.
Восстановление. Восстановление работоспособности сервисов сети компании является конечной целью процедуры реагирования на нарушения в области безопасности. Здесь необходимо определить порядок восстановления доступности сервисов, например с помощью процедур резервного копирования. При этом надо учитывать, что каждая система имеет свои собственные механизмы резервного копирования. Поэтому политика безопасности, являясь общей для всех элементов сети, при необходимости должна позволять детализировать условия восстановления конкретного элемента. Если требуется получить разрешение на восстановление, нужно описать порядок получения разрешения в политике безопасности.
Пересмотр политики безопасности. Пересмотр политики безопасности является заключительным этапом жизненного цикла политики безопасности. Здесь важно обратить внимание