Имейте план, которому вы будете следовать в случае инцидента
То, как вы будете улаживать инцидент, должно быть определено до того, как произойдет инцидент. Это включает установление подходящей степени защиты, так чтобы если инцидент станет опасным, потенциальные разрушения были бы ограниченными. Защита включает подготовку рекомендаций по улаживанию инцидента или выработку сиюминутного плана ответных действий вашей организации. Наличие написанного плана во-первых освобождает от двусмысленных ситуаций, возникающих во время инцидента и помогает принять более подходящие и строгие ответные действия. Во-вторых, частью защиты является разработка метода уведомления, чтобы вы знали, кому звонить и соответствующие номера телефонов. Например, важно провести тренировки, в ходе которых персонал компьютерной защиты, системные администраторы, и управляющие имитировали бы действия в ходе инцидента.
Тренировка эффективных ответных действий при инциденте важна по ряду причин. Самым важным является то, что таким образом предотвращается опасность человеческой жизни. Некоторые АС являются системами, от которых зависят человеческие жизни (например, система управления госпиталем или воздушным движением).
Важным, но часто забываемым достоинством является экономичность. Наличие как технического, так и управленческого персонала, готового к инцидентам, требует значительных ресурсов, которые могли бы быть использованы более выгодно, если бы не требовалась их готовность к отражению атаки. Если этот персонал натренирован на улаживание инцидента, им потребуется меньше времени для этого.
Третьим достоинством является защита конфиденциальной информации. Одна из основных опасностей инцидента с компьютерной защитой состоит в том, что нельзя будет восстановить эту информацию. Эффективное улаживание инцидента минимизирует эту опасность. Если инцидент затрагивает секретную информацию, то в любой план улаживания инцидента должны быть включены государственные законы, имеющие отношение к секретной информации.
Четвертое преимущество связано с прессой. Новости об инциденте с компьютерной защитой приводят к падению авторитета организации в глазах текущих или потенциальных клиентов. Эффективное улаживание инцидента минимизирует потенциальное негативное воздействие.
Последнее преимущество эффективного улаживания инцидента связано с судебной ответственностью. Весьма вероятно, что в ближайшем будущем организации будут привлекаться к ответственности в случае, если с одного из СВТ, принадлежащих им, была начата сетевая атака. Аналогично, люди, разрабатывающие "заплатки" (изменения в загрузочных модулях для исправления ошибок), возможно будут привлекаться к ответственности, если их изменения приведут к разрушениям в АС, или окажутся неэффективными при защите. Знание уязвимых мест операционных систем и типовых атак, а также действий, которые нужно предпринять, помогут избежать возможных проблем с законом.