Инструкция по действиям различных категорий сотрудников, включая сотрудников отдела информационной безопасности, в случае возник

  1. Возможны следующие кризисные ситуации:

    • Уничтожение данных вследствие стихийного бедствия, пожара или наводнения.

    • Уничтожение, кража, раскрытие или модификация данных вследствие физического взлома или проникновения в помещение.

    • Уничтожение, модификация, раскрытие данных или нарушение работоспособности системы вследствие успешно проведенной атаки.

    Уничтожение данных вследствие стихийного бедствия, пожара или наводнения

    Сотруднику, обнаружившему факт возникновения кризисной ситуации, необходимо:

    • немедленно оповестить других сотрудников и принять все меры для самостоятельной оперативной защиты помещения;

    • немедленно позвонить в соответствующие службы помощи (пожарную и т.д.);

    • немедленно доложить соответствующему руководителю.

    После устранения кризисной ситуации назначается комиссия во главе с генеральным директором по устранению последствий кризиса.

    Комиссия определяет ущерб (какая информация и оборудование уничтожены), причины, по которым произошло происшествие, и выявляет виновных.

    Уничтожение, кража, раскрытие или модификация данных вследствие физического взлома или проникновения в помещение

    Сотруднику, обнаружившему факт взлома помещения или пропажи важного оборудования, необходимо:

    • немедленно доложить соответствующему руководителю;

    • сохранять помещение в первоначальном виде и воспрепятствовать проходу остальных сотрудников и возможному уничтожению улик в помещении.

    Соответствующий руководитель, прибыв на место происшествия, принимает решение о необходимости вызова милиции.

    После устранения кризисной ситуации назначается комиссия во главе с генеральным директором по устранению последствий кризиса.

    Комиссия определяет ущерб (какая информация и оборудование уничтожены или украдены), причины происшествия и выявляет виновных.

    Уничтожение, модификация, раскрытие данных или нарушение работоспособности системы вследствие успешно проведенной атаки

    Сотруднику, обнаружившему факт возникновения кризисной ситуации, необходимо немедленно оповестить специалиста службы информационной безопасности. Специалист службы информационной безопасности обязан немедленно доложить начальнику службы безопасности, генеральному и техническому директору об инциденте.

    Немедленно после обнаружения факта инцидента или при подозрении на инцидент создается комиссия, куда входят специалист службы информационной безопасности, эксперт по информационной безопасности, начальник службы безопасности и технический директор. Комиссия определяет ущерб (какая информация была раскрыта), причины происшествия и выявляет виновных.

    Возможные варианты действий при различных атаках

    Внешнее проникновение

    В случае подозрения на удаленную атаку и проникновение злоумышленника в корпоративную сеть извне немедленно отключаются все внешние связи, сеть компании изолируется от внешней сети и начинается расследование, по каким причинам злоумышленник смог проникнуть в сеть, к каким данным он смог получить доступ и какой ущерб понесла Компания. После обнаружения уязвимости, через которую злоумышленник смог осуществить атаку, уязвимость ликвидируется, и система вводится в строй.

    По результатам работы комиссии осуществляется попытка поиска злоумышленника, и вырабатываются адекватные меры по снижению ущерба и недопущению такого типа атак в будущем.

    Внутреннее проникновение

    В случае подозрения на атаку и проникновения злоумышленника в корпоративную сеть изнутри (атака осуществлена собственным персоналом) негласно создается комиссия, которая осуществляет внутреннее расследование причин этой атаки и нанесенного Компании ущерба. В результате работы комиссии находится виновный, и вырабатываются адекватные меры по снижению ущерба и недопущению таких атак в будущем.

    Характерными чертами внешнего или внутреннего проникновения являются признаки утраты Компанией конфиденциальной информации (обнаружение ее у конкурентов, выявление специфичной информации, которую конкурент не мог бы получить без проникновения в сеть и т.д.)

    Действия специалиста службы информационной безопасности при обнаружении попыток сканирования, проникновения или атак на отказ в обслуживании

    Специалист службы информационной безопасности обязан осуществлять ежедневный анализ журналов регистрации системных событий серверов удаленного доступа и систем обнаружения атак с целью обнаружения подозрительной активности, попыток сканирования и несанкционированного проникновения в сеть. В случае обнаружения подобной активности специалист службы информационной безопасности обязан:

    • запротоколировать данный случай и сообщить о нем в своем еженедельном отчете;

    • в случае подозрения на целенаправленную постоянно осуществляющуюся атаку злоумышленника (не автоматизированных средств или червей, а именно человека) необходимо немедленно сообщить начальнику службы безопасности и техническому директору;

    • убедиться, что атака успешно отражена и не повлекла за собой последствий;

    • предпринять ответные меры, включающие в себя:

      • выявление источника атаки (диапазоны IP-адресов, с которых осуществлена атака);

      • анализ по базе RIPE принадлежности IP-адресов, с которых была осуществлена атака;

      • выявление по базе ответственных за данный диапазон лиц и принадлежности этого диапазона к определенной организации;

      • отправку сообщений об атаках по официальным адресам.

Вид документа: 
Ключевые слова: 
Рубрика: