4. #CODEIB Внутреннее взаимодействие 1. Предварительно одобренные каналы коммуникации 2. Руководство включено в цикл обеспечения безопасности 3. Существует единая точка сбора информации 4. Организованные, эффективные действия

10. #CODEIB Гибкий подход Определитесь, что такое инцидент, где проходят его границы Инциденты должны классифицироваться по меньшей мере на три уровня важности › Не поднимайте тревогу по мелочам › Убедитесь что к действительно критичным инцидентам и подход соответствующий

3. #CODEIB Сценарий Большой банк подвергся атаке типа « SQL - Injection » Первичные индикаторы показывают, что с высокой вероятностью данные клиентов были скомпрометированы Сотрудники: Квалифицированные, опытные, мотивированные

7. #CODEIB Назначение виновных Не входит в функции основной группы реагирования на инциденты › Оттягивает ресурсы › Могут появиться новые факты в ходе инцидента › Может повредить репутации

9. #CODEIB Цикл Бойда Ориентация • Разрушение • Созидание Решение Действие Наблюдение

8. #CODEIB Жизненный цикл инцидента Подготовка Действия после инцидента Анализ Сдерживание Устранение угрозы Восстановление Обнаружение Инцидент

5. #CODEIB Иерархия Техники Инженеры Прочий персонал Управляющий инцидентом Ответственный за инцидент Исполнители Высшее руководство Человеческие ресурсы СМИ Регуляторы

6. #CODEIB Нормативное регулирование Консультируйтесь с юристами! Регуляторы уведомляются как только в этом возникает необходимость › Регулятор «Подключается» по мере необходимости, а не как часть каждого инцидента › Кратко информируются, могут задавать уточняющие вопросы, передавать свои опасения, и т.п. › Они не участвуют напрямую в решении инцидента

2. #CODEIB Зачем нужен План 1. Экономит время 2. Обоснованные, предварительно одобренные методологии 3. Гарантирует вовлечённость 4. Упорядочивает коммуникации 5. Облегчает получение необходимых ресурсов 6. Ускоряет возобновление бизнес - процессов

14. #CODEIB Заключение › Будьте готовы к тому, что «никогда не случится» › Не тратьте много времени на отрицание инцидента › Следуйте лучшим практикам, разрабатывайте свои › Если возможно – заведите Red и Blue Team

15. #CODEIB 01 ноября 2018 года г. Тюмень ВЕДУЩИЙ ИНЖЕНЕР ОТДЕЛА ТЗИ ХОДЫРЕВ СЕРГЕЙ КОМПАНИЯ АНЛИМ - ИТ ТЕЛЕФОН : +7 950 527 2120 EMAIL : S.KHODYREV@UNLIM - IT.RU

12. #CODEIB Ресурсы Люди , деньги , оборудование, подрядчики › Обеспечьте возможность привлекать разных сотрудников › Убедите сотрудников организации, что реагирование на инцидент имеет высокий приоритет › Держите резервный фонд на разрешение непредвиденных ситуаций › Заранее получите одобрение для привлечения сторонних организаций

13. #CODEIB TL;DR 1. Определение инцидента ИБ 2. Классификация инцидентов ИБ по степени риска 3. Согласно классификации, разработка Плана реагирования на инцидент, обладающего полнотой и достаточностью 4. Создание Команды реагирования и ознакомление ее с Планом реагирования 5. Постоянная оценка эффективности работы этой схемы и ее совершенствование 6. Ведение документации по всем проведенным расследованиям

1. #CODEIB 01 ноября 2018 года г. Тюмень ВЕДУЩИЙ ИНЖЕНЕР ОТДЕЛА ТЗИ ХОДЫРЕВ СЕРГЕЙ КОМПАНИЯ АНЛИМ - ИТ ТЕЛЕФОН : +7 950 527 2120 EMAIL : S.KHODYREV@UNLIM - IT.RU КАК СОСТАВИТЬ ЭФФЕКТИВНЫЙ ПЛАН РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИБ

11. #CODEIB Гибкий подход: примеры Основанных на симптомах : › По степени риска › По количеству затронутых систем › По влиянию на бизнес - процесс Основанных на угрозах : › WannaCry › Bruteforce › DDoS