Недавно мне поступил запрос на разработку шаблона плана реагирования на инцидент кибербезопасности. Что это такое и почему в каждой организации обязательно должен быть такой план, я обязательно расскажу подробнее в другой раз. Сейчас же отмечу только самое главное. Кибератака на вашу компанию может произойти ночью, когда вы спите, когда вы находитесь в отпуске, либо вне зоны действия сети. Ваши сотрудники всегда должны знать, что конкретно они должны сделать в случае возникновения инцидента кибербезопаности, где именно им следует находиться, к кому обращаться за помощью и кого следует уведомить в первую очередь. Такая инструкция “на чёрный день” должна быть доступна не только для них, но и для вашей команды реагирования из ИТ-департамента или департамента по ИБ.
На сегодняшний день существует целый ряд методик, к которым можно прибегнуть при составлении такого плана. Также в интернете существует огромное множество довольно объёмных статей на тему того, что этот план должен в себя включать и почему. Я же хотел бы поделиться с вами своей краткой и рабочей русскоязычной версией плана, который основан на рекомендациях из документа NIST SP 800-61, Computer Security Incident Handling Guide.
Свежая версия готового для заполнения шаблона в формате Word всегда доступна для вас по этой ссылке.
План реагирования на инцидент кибербезопасности
- Подготовка
Контактная информация членов команды реагирования на инциденты ИБ, сотрудников компании, внешних контрагентов: номера телефонов, адреса эл. почты, псевдонимы в мессенджерах, а также способы проверки аутентичности контакта:
| Имя | Номер телефона | Адрес эл. почты | Способ проверки |
Способы сообщения пользователями информации об инцидентах: телефонные номера, адрес эл. почты, веб-форма или мессенджеры; при этом как минимум один способ должен позволять передавать информацию анонимно:
| Способ | Детали |
Система регистрации заявок для хранения информации об инциденте и мониторинга его статуса:
| Описание | Ссылка |
Устройства для связи и работы членов команды реагирования (с установленным необходимым ПО, например для анализа данных и сетевого трафика, расследования инцидентов, подготовки отчетов и т.д.), устройства для выхода в интернет (LTE-роутер), а также устройства видео- и аудио-фиксации:
| Устройство | Расположение | Детали |
Заранее подготовленное место для встречи и совместной работы членов команды реагирования: переговорная комната, выполняющая функцию «командного пункта».
Рекомендуется заранее позаботиться о наличии в данном помещении необходимых канцелярских принадлежностей, маркеров, интерактивной доски, а также пакетов и конвертов для хранения улик.
| Место | Детали |
Место для защищенного хранения предметов и документов, имеющих отношение к инциденту:
| Место | Детали |
Программное и аппаратное обеспечение для анализа кибер-инцидентов: устройства и накопители для создания резервных копий, хранения логов и любой другой информации:
| Устройство | Расположение | Детали |
Запасное оборудование: принтеры, сетевое оборудование, компьютеры и серверы, образы ПО и виртуальных машин, необходимых для восстановления информации и работоспособности ИТ-инфраструктуры:
| Устройство или ПО | Расположение | Детали |
Техническая документация ИТ-инфраструктуры и оборудования, а также методические документы для анализа инцидентов:
| Документация | Детали |
- Обнаружение
Ответственному за кибербезопасность следует заблаговременно оценить текущее состояние кибербезопасности в организации и определить наиболее вероятные типовые методы атак, которые могут быть использованы злоумышленниками в отношении данной организации.
Чтобы не перебирать все возможные объекты воздействия, можно начать с анализа рисков и таким образом выяснить, какие из рисков точно будут иметь негативные последствия для организации: финансовые, правовые, репутационные и т.д. Исходя именно из последствий, вы сможете определить возможные события, способные к ним привести.
В качестве методического материала рекомендуется использовать матрицу MITRE ATT&CK. С её помощью вам будет легче выделить наиболее вероятные техники атак для вашей организации, а следовательно, найти способ правильно отреагировать на каждый из типов инцидентов (заражение вредоносным кодом, истощение ресурсов, несанкционированный доступ и прочие) в отдельности.
| Тип инцидента | Стратегия реагирования |
Определение признаков инцидентов кибербезопасности, согласно данным из систем мониторинга, систем защиты от вредоносного ПО и спама, IDS/IPS-систем или SIEM-систем, указывающие на то, что инцидент кибербезопасности может произойти в будущем или происходит в данный момент:
| Дата | Время | Событие | Описание |
- Анализ
Документирование и регистрация инцидентов кибербезопасности (шаблон):
| Номер инцидента | |
| Статус | |
| Оценка последствий | |
| Приоритет | |
| Индикаторы | |
| Доказательства и улики | |
| Предпринятые меры | |
| Запланированные меры | |
| Связанные события | |
| Команда реагирования | |
| Заинтересованные лица |
Уведомление об инциденте:
| Дата | Время | Инцидент | Список лиц |
- Сдерживание
План сдерживания и снижения уровня ущерба:
| Дата | Время | Предпринимаемое действие | Ответственный за выполнение |
- Устранение
План устранения уязвимостей и последствий:
| Дата | Время | Предпринимаемое действие | Ответственный за выполнение |
- Восстановление
План восстановления:
| Дата | Время | Предпринимаемое действие | Ответственный за выполнение |
- Анализ «выученных уроков»
Что произошло и как команда реагирования справилась с ситуацией? Что следует улучшить и какие ресурсы могут для этого потребоваться?
| Что произошло | Анализ | Меры по улучшению |