Руководство по выработке правил разграничения доступа к ЭВМ
       

Возможные цели эффективного улаживания инцидента


Прежде всего следует уделить внимание целям, достигаемым при улаживании инцидента. Конечно, в зависимости от организации, важность целей будет меняться, но один из возможных вариантов приведен ниже:

  • Гарантировать целостность критических АС
  • Поддержать и восстановить данные
  • Поддержать и восстановить службы
  • Определить, что случилось
  • Избежать эскалации и дальнейших инцидентов
  • Избежать нежелательной огласки
  • Определить, кто это сделал
  • Наказать атакующего

Важно определить приоритеты действий, предпринимаемых во время инцидента, до того, как инцидент произойдет. Иногда инцидент может быть настолько сложен, что просто невозможно делать все одновременно для его ликвидации; нужно расставить приоритеты. Хотя эти приоритеты могут меняться от организации к организации, предлагаемые ниже приоритеты могут послужить отправной точкой при определении ответных действий организации:

  • Защитить человеческие жизни - человеческая жизнь всегда является самым важным;
  • Защитить критические и секретные данные (с точки зрения организации и закона);
  • Защитить другие данные, включая частные, научные, и другие данные, так как потеря данных дорого обходится в терминах ресурсов;
  • Предотвратить разрушение АС (например, потерю или изменение системных файлов, разрушение дисковых накопителей, и т.д.); разрушение АС может привести к затратам времени на ее восстановление;
  • Минимизировать разрушение вычислительных ресурсов; во многих случаях лучше выключить АС или отключить ее от сети, чем рисковать данными или самой АС.

    Важным следствием определения приоритетов является то, что если затрагиваются вопросы человеческой жизни и национальной безопасности, то в этом случае гораздо более важно сохранить данные, чем программное обеспечение и оборудование. Хотя разрушение или стирание чего-либо в ходе инцидента нежелательно, АС можно заменить; потеря же или компрометация данных (особенно секретных данных) обычно неприемлема при любых условиях.

    То, как будет улаживаться инцидент, должно быть определено до того, как случится инцидент.
    Это включает в себя соответствующие защитные меры, чтобы, в случае серьезного инцидента, можно было ограничить разрушения. Защита включает подготовку рекомендаций по улаживанию инцидента или конкретный план действий, которые предпримет ваша организация. Наличие написанного плана позволяет избежать неясностей, возникающих в ходе инцидента, и ведет к более уместным и более строгим мерам. Во-вторых, частью защитных мер является разработка метода уведомления, чтобы вы знали, кому звонить, и как с ним связаться. Например, каждый член группы компьютерной безопасности Министерства Энергетики США носит с собой карточку с рабочими и домашними телефонами других членов группы, а также с номерами их пэйджеров. В-третьих, ваша организация должна разработать процедуры создания архивных копий для каждого СВТ и АС. Наличие архивных копий позволяет избежать большей части угроз даже при серьезном инциденте, так как архивные копии делают невозможным серьезные потери данных. В-четвертых, вы должны сделать АС защищенными. Это включает ликвидацию уязвимых мест, выработку эффективных правил работы с паролями, и другие процедуры СРД, которые будут рассмотрены позже в этом документе. Наконец, проведение тренировок также является частью защиты. Например, важно проводить тренировки, в ходе которых персонал, обеспечивающий защиту СВТ, системные администраторы и управляющие имитировали бы действия при улаживании инцидента.


    Содержание раздела