В момент возникновения инцидента от сотрудников, ответственных за ИБ, требуются быстрые и точные шаги, которые позволят минимизировать ущерб от инцидента и собрать доказательства для уголовного преследования злоумышленников.
Для безошибочного совершения этих шагов необходимо наличие инструкции по реагированию на инциденты ИБ, созданной экспертами ИБ. Если сотрудники подразделений, ответственных за ИБ, не знают, как реагировать на возникший инцидент и как обеспечить оперативный сбор данных, необходимых для проведения расследования, атакованная организация понесёт значительные убытки.
Ошибки в реагировании на инциденты ИБ приводят к достижению злоумышленником целей атаки и дают ему возможность для удаления следов своего присутствия в ИС.
- Данная методика реагирования на инциденты совмещает в себе концепцию плейбуков и отчасти ранбуков, для достаточного подробного, но не слишком перегруженного описания механизмов реагирования на компьютерные инциденты.
- Шаги реагирования выстроены в соответствии с документом NIST SP 800-61 R2.