Идентификация нарушений безопасности
Большинство нарушений безопасности достаточно трудно идентифицируются. Для выявления нарушений безопасности в документе могут быть определены признаки нарушений. Таковыми могут быть: отказы подсистем, неестественная активность и ненормальные действия некоторых пользователей, новые файлы со странными именами, рассогласование в учетной информации, необычно низкая производительность, подозрительные пробы (многочисленные неудачные попытки входа), подозрительное изменение размеров и дат файлов или их удаление, появление новых пользовательских счетов, попытки записи в системные файлы, аномалии (звуковые сигналы и сообщения) и т.д. и т.п.
Идентификации инцидента сопутствует определение масштаба его последствия. Здесь целесообразно выяснить: затрагивает ли нарушение несколько организаций и подсистем АС, находится ли под угрозой критически важная информация, какой источник нарушения, каковы могут быть потенциальные потери, какие материальные и временные ресурсы могут понадобиться для ликвидации нарушения и др.
В плане описываются схема оповещения конкретных лиц, указываются руководство и ответственные лица, оговариваются вопросы взаимодействия с группами быстрого реагирования (собственная группа или внешняя), связи с общественностью (могут быть подготовлены пресс-релизы), с правоохранительными органами. Здесь же рекомендуется осветить стандартные формулировки докладов.
При выработке ответных мер определяются следующие процедуры:
- сдерживания распространения нарушения (как ограничить атакуемую область),
- ликвидации последствий,
- восстановление,
- анализ случившегося с извлечением уроков.
