Этот модуль является ресурсом для лекторов

Обнаружение инцидентов, реагирование на них, восстановление и обеспечение готовности

Обнаружение инцидентов представляет собой процесс определения угроз путем активного мониторинга активов и выявления аномальной активности (NIST, 2018). Сразу после обнаружения угрозы предпринимаются соответствующие действия для нейтрализации угрозы (если эта угроза является активной на момент принятия мер реагирования) и расследования инцидента. После принятия мер реагирования на инцидент первым шагом в процессе восстановления является восстановление доступа и доступности систем, сетей, услуг и данных до состояния, существовавшего до инцидента (NIST, 2018).

Процесс восстановления также включает в себя элемент планирования, который требует определения, разработки и окончательной реализации мер по усилению устойчивости и обеспечению возможности восстановления систем, сетей, услуг и данных, которые были недоступны, нарушены, повреждены и/или скомпрометированы во время инцидента. Важным элементом обеспечения устойчивости является наличие современного плана непрерывности бизнеса или плана действий по урегулированию чрезвычайных ситуаций (Maras, 2014b) с изложением инструкций, которые необходимо соблюдать, и действий, которые необходимо предпринять в случае возникновения инцидента в области кибербезопасности. Проще говоря, этот план включает в себя подробную информацию о способах реагирования на инцидент и восстановления после него. Все лица, участвующие в принятии мер реагирования на инциденты в области кибербезопасности и восстановления после них, должны быть проинформированы о плане действий по урегулированию чрезвычайных ситуаций. При этом необходимо организовать тренинги, включая учения, предназначенные для проверки эффективности и действенности этих планов. Примером учений такого рода являются учения «Кибер-шторм» ( Cyber Storm exercises) Министерства внутренней безопасности США с участием представителей национальных публичных и частных организаций, а также организаций из других стран (например, Австралии, Канады, Дании, Финляндии, Франции, Германии, Венгрии, Италии, Японии, Новой Зеландии, Нидерландов, Швеции, Швейцарии и Великобритании), проводимые с целью проверки текущей практики обмена информацией между этими организациями, а также их возможностей обеспечения готовности, защиты и реагирования на инциденты в области кибербезопасности (DHS, n.d.).

Далее: Заключение
Наверх