1. Профессиональные навыки:

2. Координация и сотрудничество:

3. Обработка доказательств:

•Цифровые доказательства: такие как журналы, записи, компьютерные файлы и компоненты компьютерных систем. Например, память или жесткий диск.

·Печатные материалы: такие как печатные документы, рукописные заметки, бумажные отчеты и т. д.

• Если речь идет об уголовном преступлении, в штат должны входить профессионалы с опытом работы в правоохранительных органах, а роль CISSP заключается в поддержке и выполнении любых запросов этих специалистов.

При реагировании на инциденты сбор цифровых доказательств чрезвычайно важен. Цифровые доказательства часто эфемерны, поэтому их необходимо собирать как можно быстрее, чтобы обеспечить целостность доказательств.

Чтобы обеспечить целостность доказательств, вот несколько лучших практик:

•Цифровая криминалистика и реагирование на инциденты (DFIR) — это процесс, который включает сбор и анализ цифровых доказательств для расследования инцидентов безопасности и реагирования на них.

•Обработка цифровых доказательств требует соблюдения определенных процессов и стандартов, таких как ISO/EC 27037:2012 и NISTSP 800-86.

•Очень важно поддерживать хорошую цепочку или хранение, включая запись всех процессов сбора доказательств, от их сбора до анализа, чтобы гарантировать целостность и надежность доказательств.

Распределенный характер и глобальный масштаб облачных вычислений создают уникальные проблемы для цифровой криминалистики. При сборе доказательств из облачных сред необходимо учитывать юридические и технические вопросы, в том числе вопросы, связанные с суверенитетом данных и юрисдикцией.

•Точность:

• Подлинность:

• Понятность:

• Убедительно:

•Цель:

• Допустимо:

1. Сбор данных

2.Интервью

3. Допрос

4. Внешние запросы

• Криминалистические инструменты: Эти инструменты включают программное обеспечение и оборудование для отслеживания и управления делами, рабочие станции и рабочие зоны, которые изолированы и предназначены для криминалистической работы, чтобы предотвратить загрязнение расследуемых доказательств. Некоторые конкретные инструменты могут включать в себя блокировщики записи и образы дисков, контейнеры Фарадея, а также инструменты записи видео и аудио.

Общие процессуальные действия при проведении судебно-медицинской экспертизы:

Природа облачных вычислений затрудняет сбор доказательств и могут возникнуть проблемы юрисдикции.

В основном обнаружение и генерация предупреждений.

После обнаружения вторжения предпринимаются различные упреждающие действия, такие как: внедрение правил брандмауэра для блокировки вредоносного трафика, восстановление файлов до их состояния до повреждения и даже закрытие приложений, служб или серверов для предотвращения дальнейших вторжений.

IDS и IPS могут быть развернуты как варианты на базе сети (NIDS и NIPS) или на базе хоста (HIDS и HIPS).

• Обнаружение на основе поведенческих шаблонов, отслеживающее отклонения трафика от ожидаемых базовых показателей.

• Обнаружение на основе сигнатур, которое сканирует сетевой трафик или активность хоста на предмет известных шаблонов атак.

Слишком много ложных срабатываний — это нехорошо. Поэтому при использовании IDS и IPS необходимо калибровать их в соответствии с базовой деятельностью конкретной организации и максимально избегать случайных DoS-атак.

1. Централизация. Объединение файлов журналов, разбросанных по разным системам, в центральную базу данных для анализа и мониторинга.

2. Стандартизация. Преобразование данных журналов, созданных различными системами, в единый формат для поиска и корреляции.

3 Корреляция и обнаружение: Корреляция посредством специальных данных для обнаружения границ в системе с охранными компаниями, работающими в системе.

4. Оповещения. После анализа и обработки данных SIEM автоматически генерирует оповещения, побуждая аналитиков провести расследование, повышая эффективность обнаружения инцидентов безопасности и реагирования на них.

Определение контрольной точки: эффективный мониторинг требует базового набора мер для непрерывного сравнения, который может быть основан на признанной системе соответствия (например, PCI-DSS, NIST SP 800 и т. д.) или базовой системе (например, CIS).

Автоматизация. Для непрерывного мониторинга используйте автоматизированные инструменты, такие как инструменты обнаружения и реагирования конечных точек (EDR) и инструменты анализа поведения пользователей и объектов (UEBA).

Частота: Частота мониторинга должна определяться на основе приоритета контроля и оцененных затрат. Это требует взвешивания рисков и использования ресурсов.

Соответствующие показатели: Показатели, определенные для программы непрерывного мониторинга, должны предоставлять полезную информацию об эффективности средств контроля. Для этого необходимо обеспечить измеримость показателей, чтобы их можно было отслеживать и улучшать.

Четкий план действий. Если в ходе мониторинга обнаруживаются проблемы, должен быть четкий план действий по их решению. Это включает в себя поиск и устранение неисправностей, их разрешение и последующие действия.

Баланс стоимости и ценности: Стоимость программы постоянного мониторинга должна быть сбалансирована с выгодой, полученной от нее. Это требует всесторонней оценки ожидаемых выгод по сравнению с затратами на реализацию, чтобы убедиться в оправданности инвестиций.

Нарушение данных — это когда конфиденциальная информация незаконно передается и покидает сеть. Злоумышленники могут использовать стандартные порты, протоколы и службы, такие как электронная почта, FTP или HITTP, для отправки данных. Иногда они даже маскируют свою деятельность, маскируя данные под обычные источники данных с высоким трафиком, например HTTP-трафик.

Инструменты DLP могут идентифицировать определенные типы данных и управлять ими, например, сканировать сеть на наличие неизвестных конфиденциальных данных, хранящихся в сети, выявлять конфиденциальные данные, передаваемые по сети, и генерировать оповещения при попытках скопировать файлы из общих файлов. Эти инструменты могут временно заблокировать такую ​​операцию и попросить пользователя подтвердить, действительно ли он хочет отправить файл, или даже полностью предотвратить такую ​​операцию.

Целью демографического надзора является выявление данных, попадающих в сеть, и предотвращение попадания в сеть сообщений, содержащих конфиденциальные данные, таких как электронные письма.

Стратегии физического мониторинга входа и выхода включают проверку физических носителей, входящих и выходящих из объекта, чтобы убедиться, что передача данных не нарушает политику организации.

Brix является важнейшим источником информации для деятельности по обеспечению безопасности, включая постоянный мониторинг и реагирование на инциденты (IR). Для разработки стратегии ведения журналов можно использовать такие платформы, как IS027001 и NIST SP 800-53. NIST SP 800-92 содержит основные требования к управлению данными журналов безопасности и процессам стандартизации и дезагрегирования собранной информации.

Предприятию или организации необходимо определить, какие события следует регистрировать, а какие можно игнорировать. Это необходимо сопоставить с рисками и стратегиями безопасности, чтобы гарантировать, что данные журналов не являются избыточными и не содержат критически важной информации.

Журналы должны записывать достаточно подробностей для восстановления операций в информационной системе, включая информацию о том, кто выполнял операции, что они делали и когда они происходили. Общие точки данных включают идентификаторы пользователей или процессов, временные метки, идентификаторы устройств, имена объектов, идентификаторы политик и т. д.

Данные журналов могут содержать конфиденциальную информацию, поэтому необходимо обеспечить их конфиденциальность и целостность. Вы можете защитить целостность носителей данных, записывая файлы журналов на носители с высокой степенью целостности, такие как диски WORM. Доступ к журналам приложений, которые могут содержать конфиденциальную информацию, необходимо ограничить для защиты конфиденциальности данных.

Объем данных журналов со временем увеличивается, что требует планирования емкости. Для локальных журналов, хранящихся на сервере, вы можете установить более короткий период хранения для экономии места. Журналы, хранящиеся в инструменте SIEM, могут храниться месяцами, годами или даже навсегда. Данные журналов также можно архивировать с использованием недорогих методов автономного хранения, что обеспечивает более низкие затраты и более медленный доступ.

Анализ угроз — это превентивная стратегия, которая помогает специалистам по безопасности выявлять и прогнозировать угрозы и злоумышленников, которые могут атаковать их организации. Эту информацию можно интегрировать с SIEM и SOAR, а ее источники включают, помимо прочего, поставщиков коммерческой информации об угрозах, правительственные учреждения (такие как CISA в США), отраслевые центры обмена и анализа информации (ISAC), а также глубокую сеть и темные сети. Интернет, социальные сети или блоги и т. д.

Охота за угрозами — это стратегия превентивной защиты, в которой используется ручной анализ и автоматизированные инструменты для поиска и анализа данных об угрозах с целью превентивного обнаружения угроз и защиты от них внутри и за пределами организации. Это можно сделать на следующих трех уровнях:

UEBA — это решение безопасности, которое использует модели машинного обучения и статистического анализа для определения базового уровня нормального или ожидаемого поведения пользователей и объектов в информационных системах. Любое отклонение от этого ожидаемого базового уровня будет помечено как подозрительное и использовано в качестве входных данных для других инструментов безопасности для дальнейшего анализа.

В этом контексте сущности относятся к нечеловеческим участникам сети, включая оборудование (например, маршрутизаторы и серверы), а также программные процессы, потоки или демоны. Пользователь – это пользователь-человек, который входит в систему и взаимодействует с информационной системой.

UEBA обеспечивает более детальный мониторинг безопасности и адаптируемость, позволяя настраивать политики безопасности в соответствии с уникальными потребностями каждой организации. Такой подход позволяет избежать ненужных ограничений и воздействия на законную деловую деятельность, одновременно повышая экономическую эффективность инструментов безопасности.

Результаты мониторинга, генерируемые UEBA, могут служить полезными входными данными для других инструментов безопасности, таких как SOAR или IPS, запуская автоматические реакции и средства контроля безопасности. Например, если обнаружен потенциально зараженный компьютер, он может активировать меры сетевого карантина или приостановить действие учетных данных пользователя, чтобы ограничить потенциальный ущерб, который вредоносная деятельность может нанести организации.

Конфигурация — это первый шаг в управлении конфигурацией. Обычно это предполагает использование предварительно утвержденного базового образа, который соответствует потребностям организации в настройке оборудования и программного обеспечения, что позволяет быстро развертывать операционные системы и программное обеспечение. Это сокращает время установки и возможные ошибки.

Для эффективного обеспечения организации должны иметь четкое представление обо всех своих активах, включая оборудование, программное обеспечение, облачные сервисы и многое другое. Этого можно достичь посредством упреждающего и реактивного контроля запасов активов. Упреждающий контроль запасов записывает подробную информацию по мере приобретения оборудования и программного обеспечения, а реактивный контроль запасов добавляет неизвестные активы в инвентарь по мере их обнаружения.

После того, как все активы понятны, организация может установить базовый уровень, который представляет собой установленный набор организационных стандартов, используемых для обеспечения конфигурации систем в соответствии с этими стандартами. Однако базовые показатели не статичны. По мере изменения системных функций, версий системы, приложений исправлений и операционной среды может потребоваться корректировка базового уровня. Для этого требуется тщательно разработанный процесс управления изменениями, гарантирующий, что изменения базового уровня тщательно планируются, тестируются и внедряются.

•Руководства по технической реализации безопасности Агентства оборонных информационных систем (DISA STIG)

• Эталон СНГ

•Руководство, предоставляемое поставщиками (например: Microsoft, Alibaba Cloud и т. д.).

•автоматизация:

Это принцип информационной безопасности, который основан на идее о том, что доступ к этой информации должен быть предоставлен только тем, кто должен получить доступ к конкретной информации в связи с должностными обязанностями или требованиями миссии. Проще говоря, если кому-то не нужно использовать информацию для выполнения своих должностных функций, то у него не должно быть к ней доступа.

Это еще один принцип информационной безопасности, который подчеркивает максимальное ограничение доступа пользователей, предоставляя им только минимальные права, которые им абсолютно необходимы для выполнения своей работы. Это снижает риск, который может возникнуть в результате злоупотребления привилегиями или взлома системы.

Это относится к разделению различных этапов бизнес-процесса между несколькими людьми, чтобы не дать одному человеку иметь слишком много разрешений или возможностей, тем самым снижая риск внутренних угроз и мошеннических действий.

Многопользовательское управление означает, что для выполнения действия или задачи требуется более одного человека. Это не обязательно означает, что эти люди имеют одинаковые или разные привилегии, просто ради баланса действие или задачу должны выполнять несколько человек.

Управление M-Of-N также похоже на управление несколькими людьми, но для завершения процесса требуется только M из N людей, которые способны выполнять соответствующие задачи.

Рабочие разрешения (разрешения), обычно предоставляемые пользователям в системе. Эти разрешения могут включать чтение, запись, изменение файлов, выполнение программ, доступ к определенным ресурсам и т. д.

Это учетная запись с особенно высокими привилегиями в системе, обычно это учетная запись системного администратора или суперпользователя. Разрешения этих учетных записей могут включать изменение настроек системы, установку программного обеспечения, управление учетными записями пользователей и т. д.

• Конфигурация. Пользователи, которым требуется привилегированный доступ, должны пройти тщательную проверку, чтобы убедиться, что у них есть законные потребности и им можно доверять.

• Использование. Привилегированные учетные записи должны иметь дополнительные этапы аутентификации, такие как обязательная многофакторная аутентификация, использование учетной записи должно быть ограничено по времени и автоматически истекать, а все операции должны регистрироваться.

• Аудит. Автоматические или ручные проверки журналов привилегированных учетных записей должны выполняться регулярно для выявления любого необычного или подозрительного поведения.

Деинициализация. При деинициализации привилегированной учетной записи лучше всего сначала приостановить или деактивировать ее, а затем провести проверку, чтобы определить, нужно ли деинициализировать учетную запись навсегда.

1) Предоставляет возможности для перекрестного обучения, давая сотрудникам возможность улучшить свои навыки и обеспечивая большую гибкость организации.

2) Смягчение инсайдерских угроз, таких как мошенничество.

Это соглашение, подписанное между организацией и поставщиком, в котором оговариваются показатели доступности и производительности, которым должны соответствовать продукты или услуги, предоставляемые поставщиком, а также ответственность и обязательства обеих сторон. Обычно соглашения об уровне обслуживания содержат положения о штрафных санкциях, гарантирующие, что поставщик сможет выполнить свои обязательства, а также стимулирующие его предоставлять более качественные продукты или услуги.

1) Типы носителей: включая бумажные записи, жесткие диски (HDD), твердотельные накопители (SSD) и хранилища в облачных средах.

2) Классификация данных: классифицируйте данные в соответствии с политикой классификации организации, чтобы заложить основу для выбора соответствующих мер контроля.

3) Маркировка и маркировка: Все носители должны быть маркированы, чтобы показать уровень классификации содержащихся на них данных. В разных случаях для маркировки могут использоваться водяные знаки, верхние/нижние колонтитулы файлов или метаданные.

4 Обработка: Пользователи должны быть обучены уровням классификации и процедурам обработки мультимедиа. Процедуры обработки могут включать способы обращения с конфиденциальными данными, соблюдения требований по уничтожению и т. д.

· Внедрить меры безопасности: применять необходимые меры безопасности в соответствии с классификацией данных, записывать соответствующие процессы и процедуры и обучать пользователей.

•Принцип наименьших привилегий: Ограничьте доступ к средствам массовой информации и примите меры физической безопасности.

•Физическая защита: сосредоточьтесь на физической защите для устранения потенциальных рисков, таких как потеря или кража оборудования. Компенсирующие меры контроля, такие как шифрование диска, обеспечивают конфиденциальность данных.

• Transport Butterfly: обеспечивает безопасность передаваемых носителей посредством шифрования, проверки хеш-функции и мер физической защиты.

• Дезинфекция и утилизация: выберите подходящий метод дезинфекции и утилизации в соответствии с вашими потребностями, например, накрытие, размагничивание, физическое уничтожение или криптографическое уничтожение. В решениях облачного хранения криптографическое стирание может быть единственным жизнеспособным методом безопасности.

• Управление поставщиками: обеспечение соблюдения поставщиками средств уничтожения контрактов и соглашений об уровне обслуживания, включая стандарты физической безопасности и требования страхования.

•События: наблюдаемые элементы, такие как регулярные операции. Обычно никаких дополнительных действий не требуется.

• Инциденты: незапланированные события, которые оказывают негативное влияние на организацию и требуют от ИТ-специалистов, специалистов по эксплуатации и безопасности совместного расследования и устранения последствий.

• Документируйте инструменты, ресурсы и процессы, необходимые для выявления, классификации и устранения последствий инцидента.

• Содержит определения типов инцидентов, персонал группы реагирования на инциденты, роли и зарплаты, необходимые ресурсы и процессы управления инцидентами.

• В системе реагирования на инциденты особое внимание уделяется заблаговременному планированию инцидентов и разработке соответствующих стратегий реагирования. Такие как: TL, NIST, ISACA

• Классифицировать и расставлять приоритеты на основе критичности, воздействия и срочности.

Многие организации используют (P0-P5) для классификации инцидентов. P0 — наиболее критичные, а P5 — наименее критичные тесты и учения по реагированию на инциденты:

•Протестируйте план в нечрезвычайных ситуациях, чтобы выявить пробелы, упущения или проблемы.

• Уменьшите путаницу или потери во время реального инцидента, обучая членов группы реагирования на инциденты своим обязанностям посредством тренировок.

• Обеспечить соответствующую координацию с внешними поставщиками услуг, чтобы организация могла продолжать работу.

• В плане реагирования на инциденты должны быть указаны ключевые внешние поставщики услуг или третьи стороны, а также документирована контактная информация.

•Определите роли и обязанности третьих сторон, чтобы внутренние команды и третьи стороны могли сотрудничать при разрешении инцидентов.

1) Определить процессы IR, которые нуждаются в улучшении;

2) Устраните основную или первопричину, чтобы предотвратить повторение инцидента.

1. Статическая проверка пакетов (без сохранения состояния). Это первое поколение межсетевых экранов, в котором основное внимание уделяется фильтрации информации в заголовках пакетов на основе правил.

2. Межсетевой экран с отслеживанием состояния. Основанный на первом поколении, межсетевой экран второго поколения добавляет понимание контекста связи (состояния) и обеспечивает более гибкую и интеллектуальную защиту.

3. Брандмауэр веб-приложений (WAF) и шлюз API. Эти конкретные типы брандмауэров не соответствуют напрямую определенному поколению брандмауэров, а представляют собой специализированные решения для конкретных сценариев приложений (таких как веб-приложения и API).

4. Межсетевой экран на базе хоста: он также не относится напрямую к определенному поколению межсетевых экранов, но представляет собой защиту, развернутую на одном хосте для обеспечения дополнительного уровня безопасности помимо сетевого межсетевого экрана.

5. Межсетевой экран нового поколения (NGFW). Часто считается брандмауэром третьего поколения, он объединяет множество функций безопасности. Такие как брандмауэр с отслеживанием состояния, шлюз API, службы обнаружения вторжений, VPN и т. д., обеспечивающие более комплексный брандмауэр сетевой безопасности.

Эта концепция возникает в программно-определяемых сетях (SDN) и облачных средах и не связана напрямую с конкретным поколением межсетевых экранов. Функционально они аналогичны межсетевым экранам, но более гибки и масштабируемы в виртуализированных средах.

1. Функция: Обнаружение попыток вторжения в систему.

2. Введите:

3. Как это работает: пассивное устройство, которое анализирует трафик или активность и обнаруживает активность, соответствующую вредоносным шаблонам или отклоняющуюся от нормальной или ожидаемой работы системы.

4. Ответ: генерирует предупреждение, требующее действий человека.

1. Функция: Обнаружение попыток вторжения в систему и реагирование на них.

2. Введите:

3. Как это работает: активное устройство, которое анализирует трафик или активность и обнаруживает активность, соответствующую известным вредоносным шаблонам или отклоняющуюся от нормальной или ожидаемой работы системы.

• Ответ: автоматически предпринимайте превентивные действия, например внедряйте новые правила брандмауэра.

1. НИДС/НИПС

2.СКРЫТЫЕ/БЕДРА

• Снижение затрат

•Экспертные знания

• Нижний контроль

•Риск нападения на третьи стороны

•Дополнительные накладные расходы на управление третьими сторонами

• Центр управления безопасностью (SOC): частично или полностью переданные на аутсорсинг операции SOC.

• Цифровая криминалистика и реагирование на инциденты (DFIR): как расширение непрерывного наблюдения, предоставляемое MSSP.

Аналитика угроз: предоставляет информацию о потенциальных угрозах для организации, которую можно сочетать с непрерывным мониторингом, оценкой рисков и технологией SOAR.

представляет собой изолированную среду с ограниченной возможностью подключения к ресурсам за пределами «песочницы».

•Анализ вирусов: запуск вредоносных программ на изолированных виртуальных машинах. Предотвратить заражение других систем

• Проверка концепции: экспериментируйте в изолированной среде, не затрагивая целостность данных производственной системы.

Управляйте поведением приложения во время выполнения с помощью ограничительного набора правил.

Пример: система iOS от Apple ограничивает приложениям доступ к данным и функциям.

Добавьте дополнительный уровень безопасности на свой смартфон

На телефон пользователя устанавливается специальное приложение, которое разрешает доступ к данным организации, но ограничивает доступ к внешним данным.

•Информация, используемая для обнаружения или сбора несанкционированных попыток доступа к данным и информационным системам.

Honeypots кажутся ценными ресурсами, но на самом деле не содержат важных данных.

• Отвлекайте злоумышленников и защищайте важные цели.

• Собирать информацию о злоумышленниках, например IP-адрес.

•В различных юрисдикциях существуют юридические проблемы, связанные с использованием приманок/сетей-приманок, особенно в отношении провокации.

• Обеспечивает простой способ развертывания и мониторинга устройств-приманок.

•Решать юридические проблемы, связанные с приманками, и избегать проблем, связанных с провокациями.

•Сгенерированные оповещения можно интегрировать в инструменты SIEM или SOAR.

Самое раннее антивирусное (A/V) программное обеспечение по мере развития угроз постепенно заменялось программным обеспечением для защиты от вредоносных программ (A/M).

Внедрите многоуровневую модель защиты, чтобы обеспечить тщательное сканирование трафика и активности для обнаружения нежелательного поведения.

Может быть развернут на критически важных ресурсах, таких как серверы электронной почты, серверы обмена файлами и инструменты мониторинга сети.

• Решение для обнаружения и реагирования конечных точек (EDR): сочетает в себе возможности A/M, межсетевой экран хоста, мониторинг целостности файлов и UEBA.

• Служба управляемого обнаружения и реагирования (MDR): сочетает возможности обнаружения со сторонними службами безопасности для устранения рисков безопасности конечных точек.

• Инструменты на основе сигнатур: найдите определенные файлы или шаблоны действий, связанные с известным вредоносным ПО.

• Эвристическое обнаружение: основано на статистическом анализе моделей активности для обнаружения потенциально вредоносного поведения.

• Действия после обнаружения: помещать затронутые файлы или системы в карантин, генерировать оповещения.

• Интеграция оповещений: интеграция с инструментами SIEM для централизованного мониторинга и реагирования или с SOAR для автоматического реагирования на инциденты.

• Быстрее обнаруживайте инциденты и реагируйте на них.

•При правильной настройке человеческая ошибка может быть исключена при принятии решений.

Принятие решений происходит по принципу «черного ящика». Трудно обнаружить ошибки или понять результаты, поэтому принятие мер на основе предупреждений может оказаться затруднительным. Нам следует проявлять осторожность при работе с новыми технологиями.

• Охота за угрозами: поиск угроз, которые могут использовать неизвестные уязвимости.

• Сканирование уязвимостей: автоматически обнаруживает известные уязвимости, такие как небезопасные конфигурации или необновленное программное обеспечение.

• Конфронтация красных и синих: красная команда проводит целевое тестирование конкретных активов, а синяя команда проводит защиту.

• Тестирование на проникновение и вознаграждение за обнаружение ошибок: ручное тестирование для поиска уязвимостей.

• Автоматизируйте процессы и рабочие процессы управления уязвимостями с помощью инструментов SOAR.

1) Создайте запрос на изменение: задокументируйте цель, обоснование, ответственное лицо, необходимые ресурсы и ожидаемое влияние изменения.

2) Обзор изменений. Комитет по контролю изменений или консультативный совет по изменениям (CCB или CAB) проводит анализ для оценки бизнес-ценности, влияния и потенциальных рисков изменения.

3) Утверждение изменения: Выполняется ответственным лицом в соответствии с записанным планом.

4) Координировать вопросы безопасности: обеспечить соблюдение соответствующих процессов во время закупки и развертывания нового оборудования.

•Стандартные изменения: низкий риск, маловероятно, что они окажут негативное влияние, предварительно одобрены. Например: применить стандартные исправления, добавить стандартные ресурсы и установить одобренное программное обеспечение.

• Обычные изменения: требуют полного процесса управления изменениями. Реализация планируется в соответствии с регулярными заседаниями Комитета по изменениям.

• Чрезвычайные изменения: реагирование на чрезвычайные ситуации, такие как инциденты безопасности. Чтобы сбалансировать безопасность и скорость, можно использовать упрощенные процессы принятия решений или облегченные процессы.

В соответствии с целями безопасности доступности, идентифицируйте критически важные активы и функции с помощью анализа влияния на бизнес (B/A) и разрабатывайте стратегии восстановления, чтобы сбалансировать потребности и затраты на доступность.

• Целевое время восстановления (RTO): время, необходимое для восстановления системы или процесса с использованием аварийных процедур.

• Целевая точка восстановления (RPO): объем потери данных, который можно допустить в случае аварии.

• Максимально допустимое время простоя (MTD или MAD): время, в течение которого организация может выжить без доступа к активу или процессу.

• Полное резервное копирование. Резервное копирование всех данных занимает больше всего времени и занимает больше всего места.

• Инкрементальное резервное копирование: резервное копирование данных, которые изменились с момента последнего полного резервного копирования или инкрементального резервного копирования. Это самый быстрый способ, но восстановление занимает больше всего времени.

• Дифференциальное резервное копирование: резервное копирование всех данных, изменившихся с момента последнего полного резервного копирования, быстрее и с меньшими требованиями к объему хранилища.

Храните как минимум три копии данных, две копии хранятся локально или на месте, включая копию основных данных, а одна копия хранится в автономной удаленной резервной копии.

Целостность и конфиденциальность резервной копии:

•Облачные сервисы, такие как программное обеспечение как услуга (SaaS), настроенные для обеспечения высокой доступности, автоматической репликации и сохранения данных.

• Используйте инфраструктуру как услугу (laas) или платформу как услугу (paas) в качестве решения для хранения резервных копий.

•Оценить компромисс между потерей физического контроля над данными и экономией средств при использовании облачных сервисов. Шифрование данных перед их сохранением в облачной среде может быть эффективной мерой безопасности.

•Холодная площадка: пустое помещение, требует настройки оборудования и инженерных коммуникаций, более длительного времени восстановления и более низких затрат.

•Теплый участок: Он оснащен некоторым оборудованием и требует определенного уровня строительства.

·Горячий сайт: имеет те же возможности и данные, что и основной сайт, является дорогостоящим, но помогает обеспечить краткосрочное RTO или RPO.

· Преимущества: Встроенные метаданные для сайтов с множественной обработкой. Имеет высокую надежность.

•Недостатки: Более высокие затраты на аренду, персонал и оборудование.

Относится к способности системы противостоять сбоям и опирается на конструкцию, которая учитывает сбои и включает корректирующие действия.

Обеспечьте избыточность и динамическое перенаправление с помощью таких технологий, как балансировщики нагрузки или кластеризация, чтобы гарантировать непрерывную доступность системы.

Функция в сетевой технологии, которая определяет приоритет важного трафика, например критически важных или срочных данных.

В соответствии с уровнями Uptime Institute, центры обработки данных разных уровней могут обеспечивать различную степень гарантированного времени безотказной работы в условиях сбоев.

Системы, которые могут выдерживать сбои оборудования, программного обеспечения или обработки данных и продолжать работать, например системы RAID и базы данных.

1. Специалисты по обеспечению безопасности часто несут ответственность за первоначальное реагирование на стихийные бедствия.

2. Действия, необходимые для реагирования на стихийное бедствие, различаются в зависимости от типа стихийного бедствия. Люди имеют ограниченные возможности принятия решений во время стрессовых ситуаций, поэтому лучше всего заранее утвердить планы реагирования и действий в планах аварийного восстановления и обеспечения непрерывности бизнеса.

3. Некоторые задачи, которые необходимо решить в плане, включают:

4 Документируйте все операции для поддержки проверок после стихийного бедствия и предоставляйте необходимые доказательства для страхования или судебных исков.

• Включает сотрудников и руководство, которым необходимо знать информацию об инциденте и о том, как участвовать в реагировании.

• Методы связи могут быть активными (например, телефонное дерево) или пассивными (например, сообщения, размещенные на веб-сайте).

•Выбранный метод связи должен учитывать критичность человека, его получающего, и передаваемого сообщения.

• Включает клиентов, общественность, деловых партнеров и поставщиков, пострадавших от организационных чрезвычайных ситуаций.

• Юридические или договорные обязательства могут диктовать порядок взаимодействия с внешними заинтересованными сторонами, например уведомления о конфиденциальности в случае утечки данных.

• При необходимости используйте активные и пассивные методы связи, например, упреждающее уведомление клиентов или отправку новых запросов.

•Коммуникация следует принципу одного голоса: организация должна иметь единый голос при общении с внешними заинтересованными сторонами (такими как средства массовой информации или общественность), и этот принцип должен быть включен в обучение.

•Подобно оценке рисков, основная цель – выявить последствия и определить приоритетность мер реагирования.

•Необходимо определить характер и источник катастрофы (например, техногенная или естественная), а также приоритетность восстановительных действий (например, эвакуация персонала или постепенное отключение и перемещение оборудования на резервные объекты).

•Процесс оценки может продолжаться, и группа реагирования должна определить текущие и возможные будущие последствия события или стихийного бедствия.

•Должно быть доведено до сведения руководства и лиц, принимающих решения, для определения правильного направления действий.

• Если существует хороший план BCDR, реагирование должно следовать определенным процедурам или шагам и быть адаптировано к конкретной катастрофе.

• Эти шаги должны уделять приоритетное внимание жизни, здоровью и безопасности, а также учитывать влияние на клиентов, нормативные обязательства, а также прямые и косвенные затраты (например, потерю дохода и репутационный ущерб).

•После восстановления оцените общее воздействие стихийного бедствия или события.

•Оценка должна включать общие финансовые затраты организации (включая затраты на восстановление и любую потерю бизнеса или производительности), а также информацию о том, как улучшить операции в случае стихийных бедствий и обеспечить непрерывность работы в будущем.

• Запись и применение извлеченных уроков будут обсуждаться более подробно в последующих главах.

•Восстановить исходное место или объект, пострадавший от стихийного бедствия.

•Восстановить критически важные бизнес-функции.

•Возобновление нормального уровня обслуживания на ключевых объектах.

• Текст от конкретных людей, собирающих грибы, в планах C и DR.

•И роль группы безопасности в восстановлении ИТ-услуг и обеспечении контроля безопасности.

•Отделы кадров, финансов и юристов могут играть ключевую роль в определенных типах стихийных бедствий.

• Обеспечить актуальность знаний.

•Проводить регулярные учения по пожарной безопасности и эвакуации.

•Проводить регулярное тестирование и тренировки по плану BC или DR для перекрестного обучения и обновления знаний ключевого персонала.

•Регулярный пересмотр планов BC и DR.

• Формальная проверка после завершения восстановления.

•Использовать извлеченные уроки для оптимизации планов и процессов.

•Определить сильные и слабые стороны плана.

•Анализ влияния поведения сотрудников на процесс восстановления.

•Проводить вскрытие и анализ первопричин.

•Определить сильные стороны плана или ответа

•Определить потенциальные возможности улучшения.

•Применять собранную информацию для улучшения программы и процессов BCDR.

• Самый простой тест BCDR.

• Обсуждать планы с различными заинтересованными сторонами

• Обзор ключевой информации и процессов

• Практические упражнения в реальных сценариях.

•Операции на местах с ключевыми игроками

•Определить потенциальные проблемы и предположения.

• Аналогично пожарным учениям.

• Реагировать на конкретные сценарии

• Проверка целевого времени восстановления (RTO) и целевой точки восстановления (RPO).

• Одновременное тестирование активных и резервных систем.

•Убедитесь, что системы резервного копирования могут выдерживать реальную нагрузку.

• Обнаружение ошибок конфигурации или проблем с резервным копированием данных.

• Имитировать настоящую катастрофу

•Высокая стоимость, которая может повлиять на нормальную работу.

• Выявлять все проблемы в планах и процессах BCDR.

1. Изменения требований безопасности во время аварийных операций, предоставление предложений по изменениям требований безопасности для реализации или управления мерами по удовлетворению новых требований.

2. Руководство по внесению изменений в планы BC и DR

3. Разработайте сценарии испытаний и тренировок.

• Общественные места: дороги, тротуары, вестибюли, парковки.

• Входы и выходы на объект: стойка регистрации, входная дверь, зона погрузки и разгрузки.

•Внешние объекты: резервный генератор, коммунальные услуги, парковка.

•Операционные помещения: офисные помещения, конференц-залы.

•Объекты повышенной безопасности: дата-центры, хранилища, SCIF

• Превентивные меры контроля: меры контроля, предназначенные для предотвращения инцидентов безопасности. Например, системы контроля доступа, ограждения и замки могут предотвратить проникновение посторонних лиц на объект.

• Контроль угроз: создавая потенциальные угрозы, потенциальные злоумышленники будут бояться атак, тем самым снижая вероятность инцидентов безопасности. Например, камеры видеонаблюдения и предупреждающие знаки могут создать у потенциальных злоумышленников ощущение, будто за ними наблюдают, что снижает вероятность совершения преступления.

• Средства контроля обнаружения: меры контроля, используемые для своевременного обнаружения инцидентов безопасности. Например, камеры видеонаблюдения, системы обнаружения вторжений (IDS) и датчики движения могут обнаруживать несанкционированное вторжение или аномальное поведение.

• Компенсирующие меры: меры, которые обеспечивают дополнительную защиту, когда другие меры не могут полностью предотвратить или обнаружить инциденты безопасности. Например, сотрудники службы безопасности могут использоваться для временного патрулирования в случае сбоя систем контроля доступа.

Элементы управления восстановлением: элементы управления, которые помогают восстановить нормальную работу после инцидента безопасности. Например, резервные генераторы и планы аварийного восстановления могут восстановить работу критически важных объектов после инцидента.

• Директивный контроль: средства контроля, которые направляют поведение внутри организации, предписывая правила и процедуры. Например, обучение технике безопасности, политика и рабочие процедуры могут помочь сотрудникам следовать безопасным методам работы.

• Корректирующие меры: меры, которые предпринимают шаги по устранению повреждений или исправлению ошибок после возникновения инцидента безопасности. Например, расследования после событий, аудиты безопасности и корректирующие действия могут помочь организациям решить проблемы безопасности и предотвратить повторение подобных инцидентов.

•Физический контроль: барьеры, заборы.

•Технический контроль: считыватель идентификационных карт.

• Административный контроль: политика и процедуры

•Использовать ландшафтный дизайн для обеспечения физической безопасности.

•Освещение играет важную роль в сдерживании преступного поведения.

• Рассмотрите расположение окон и материалы с учетом потребностей безопасности объекта.

На этих объектах обычно постоянно находятся сотрудники, и они подлежат физическому контролю безопасности организации. Нам необходимо обратить внимание на меры контроля, такие как противопожарная защита и экологический контроль, чтобы обеспечить безопасность персонала и оборудования.

• Обнаружение и тушение пожара: оборудуйте дороги для обнаружения пожара и дыма и используйте распыление воды, газовое пожаротушение и другие методы для уменьшения воздействия огня на персонал и оборудование.

•Контроль доступа: разделите доступ к различным областям объекта на основе разрешений сотрудников и используйте карты доступа или замки для контроля доступа.

•Политика и процедуры: Обучите сотрудников соблюдать процедуры безопасности, такие как уборка столов и запирающих экранов, а также разработать меры экстренной эвакуации и другие аспекты. Материалы: Для повышения безопасности используйте соответствующие строительные материалы, такие как стены, двери и окна, в соответствии с требованиями безопасности.

Эти помещения часто включают в себя помещения для хранения доказательств, защищенные разделенные информационные центры (SCIF), а также серверные помещения или центры обработки данных, поскольку в них хранятся ценные или конфиденциальные активы.

•На объектах строгого режима необходимо внедрить дополнительные меры контроля безопасности, такие как проверка входного и выходного оборудования, многоуровневый контроль физического доступа и т. д.

•Центры обработки данных — это специальные объекты с высоким уровнем безопасности, для проектирования и обслуживания которых требуются специальные навыки. Эти объекты требуют более высокого уровня безопасности и часто требуют более высокого бюджета на безопасность.

• Эталонные стандарты проектирования, такие как «Руководство по температурному контролю центров обработки данных ASHRAE» и «Рейтинги доступности оборудования центров обработки данных» Института безотказной работы.

Когда сотрудники путешествуют по делам, компании должны обеспечить их безопасность, включая страхование, медицинское страхование и т. д. В зонах повышенного риска могут потребоваться дополнительные меры безопасности, такие как персонал службы безопасности или безопасная транспортировка. В то же время сотрудникам необходимо пройти обучение по вопросам безопасности устройств, чтобы защитить данные компании от утечки.

Во время чрезвычайной ситуации компаниям необходимо координировать свои действия с органами реагирования на чрезвычайные ситуации (такими как медицинские, пожарные, правоохранительные органы и т. д.). В то же время необходимо разработать резервные методы связи для доставки критической информации в случае блокировки обычных каналов связи. Чрезвычайные ситуации также могут потребовать активации планов обеспечения непрерывности бизнеса и аварийного восстановления.

Принуждение – это когда сотрудника из-за угроз вынуждают действовать в нарушение политики компании.

Для обнаружения ситуаций принуждения используются специальные коды принуждения или кодовые слова. Эти коды или кодовые слова следует скрывать и регулярно менять. Кроме того, проведите обучение сотрудников из группы высокого риска тому, как использовать эти коды и кодовые слова.