Enviar búsqueda
Cargar
Incident management (part 3)
•
0 recomendaciones
•
1,396 vistas
Aleksey Lukatskiy
Seguir
Desarrollo personal
Denunciar
Compartir
Denunciar
Compartir
1 de 82
Descargar ahora
Descargar para leer sin conexión
Recomendados
Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Recomendados
Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Дашборды по ИБ для топ-менеджмента
Дашборды по ИБ для топ-менеджмента
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
Aleksey Lukatskiy
Más contenido relacionado
La actualidad más candente
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
La actualidad más candente
(20)
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Destacado
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
Aleksey Lukatskiy
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Evgeniy Shauro
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
Обзор ITIL
Обзор ITIL
Sergey Timofeev
Определяем приоритеты и сроки устранения инцидентов
Определяем приоритеты и сроки устранения инцидентов
Cleverics
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
Семинар: Закон 54-ФЗ об онлайн-кассах. Как подготовиться
Семинар: Закон 54-ФЗ об онлайн-кассах. Как подготовиться
MoySklad
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
Crypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
DLP for top managers
DLP for top managers
Aleksey Lukatskiy
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
Banking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
Information Security Trends
Information Security Trends
Aleksey Lukatskiy
Безопасность мобильных платежей
Безопасность мобильных платежей
Aleksey Lukatskiy
Требования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
Mobility and cloud security
Mobility and cloud security
Aleksey Lukatskiy
Destacado
(20)
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
On line вещание лукацкого с базы
On line вещание лукацкого с базы
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
Обзор ITIL
Обзор ITIL
Определяем приоритеты и сроки устранения инцидентов
Определяем приоритеты и сроки устранения инцидентов
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
Семинар: Закон 54-ФЗ об онлайн-кассах. Как подготовиться
Семинар: Закон 54-ФЗ об онлайн-кассах. Как подготовиться
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Crypto regulations in Russia
Crypto regulations in Russia
DLP for top managers
DLP for top managers
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Banking Security Misunderstanding
Banking Security Misunderstanding
Information Security Trends
Information Security Trends
Безопасность мобильных платежей
Безопасность мобильных платежей
Требования ИБ для бирж
Требования ИБ для бирж
Mobility and cloud security
Mobility and cloud security
Similar a Incident management (part 3)
Защита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPS
Cisco Russia
Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов Cisco
Cisco Russia
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
Alexey Kachalin
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Cisco Russia
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Концепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
Архитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Платформа Cisco Tetration Analytics
Платформа Cisco Tetration Analytics
Cisco Russia
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Expolink
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетень
Cisco Russia
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
Extreme Management Center XMC
Extreme Management Center XMC
MUK Extreme
Архитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Компания УЦСБ
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
Ken Tulegenov
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
Similar a Incident management (part 3)
(20)
Защита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPS
Эволюция портфолио технических сервисов Cisco
Эволюция портфолио технических сервисов Cisco
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Концепция активной обороны
Концепция активной обороны
Архитектура защищенного периметра
Архитектура защищенного периметра
Платформа Cisco Tetration Analytics
Платформа Cisco Tetration Analytics
Как построить SOC?
Как построить SOC?
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетень
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Extreme Management Center XMC
Extreme Management Center XMC
Архитектура защищенного периметра
Архитектура защищенного периметра
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
Más de Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
Атрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
Más de Aleksey Lukatskiy
(16)
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Атрибуция кибератак
Атрибуция кибератак
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Incident management (part 3)
1.
Определите
требуемые ресурсы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 160/431
2.
Определение ресурсов
Определите требуемые для работы CSIRT ресурсы – персонал, оборудование и инфраструктуру Как инфраструктура CSIRT будет защищаться и мониториться? Определите процессы сбора, записи, трекинга и архивирования информации Опишите должностные обязанности сотрудников CSIRT С указанием требуемых знаний и квалификации Создайте план обучения и повышения квалификации Определите необходимость аттестации персонала и его сертификации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 161/431
3.
Состав CSIRT
Лидер команды Технический персонал Обработчик инцидентов Аналитик уязвимостей Аналитик артефактов «Первый реагент» ;-) Сотрудник hotline, servicehelp desk Эксперты Эксперты по ИБ, сетевые специалисты (частичная загрузка) Другой персонал InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 162/431
4.
Квалификация членов CSIRT
Базовые персональные навыки Коммуникации – письменные, оральные Умение читать презентации Дипломатия Умение следовать формальным процедурам/политикам Работа в команде Работа в условиях стресса Решение проблем Тайм-менеджмент InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 163/431
5.
Квалификация членов CSIRT
(окончание) Базовые технические навыки Основы информационной безопасности Знание Интернет Знание сетевых протоколов, сервисов и приложений Знание ОС, приложений Понимание вредоносных программ и уязвимостей Навыки программирования Навыки управления инцидентами Понимание техник проникновения Анализ инцидентов Взаимодействие с третьими сторонами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 164/431
6.
Сколько человек надо?
1 полностью загруженный «технический» сотрудник CSIRT может отработать 1 новый «усредненный» инцидент в день и 20 открытых и расследуемых инцидентов Еще потребуются административный и управленческий аппарат Учитывайте время работы одного человека в условиях стресса При режиме 24х7 вам понадобится не менее трех человек (24 / 8). А резерв на время болезни? А разные часовые пояса? Учитывайте, что в разное время происходит разное число инцидентов Людей можно перевести на другой фронт работ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 165/431
7.
Сколько человек надо?
(окончание) Только 2 сервиса – уведомления и обработка инцидентов Минимум 4 полностью загруженных сотрудников (31%) Все сервисы – в рабочее время Минимум 6-8 полностью загруженных сотрудников (31%) Все сервисы – в режиме 24х7 Минимум 12 полностью загруженных сотрудников (21%) С учетом резервирования на время праздников, отпусков и болезни InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 166/431
8.
Сколько инцидентов обычно
бывает? Большинство CSIRT обрабатывает менее 10 инцидентов в день 38% CSIRT управляют 1-3 инцидентами в день 18% CSIRT управляют 4-8 инцидентами в день 18% CSIRT управляют более чем 15 инцидентами в день 10% CSIRT управляют около 50 инцидентами в год InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 167/431
9.
Какое оборудование требуется?
Телефон Автоответчик (IVR) Факс Шредер Сейф Резервные носители Информационная безопасность Service Desk (или корпоративный) Специализированное ПО и оборудование для расследования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 168/431
10.
Определите
взаимодействия, интерфейсы и точки контакта InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 169/431
11.
Взаимодействие
Определите заранее все ключевые взаимодействия и интерфейсы с ключевыми заказчиками, заинтересованными сторонами Уточните заранее контакты у вашего Интернет-провайдера, ОВД, ФСБ (если необходимо) Подпишитесь на списки рассылки производителей «вашего» ПО и железа, а также на supporter’ов Установите контакты с другими CSIRT (если они есть) Определите информационные потоки Определите методы взаимодействия и проверки подлинности Определите формы документов, которыми вы будете обмениваться InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 170/431
12.
Взаимодействие (окончание)
Для всех интерфейсов и видов взаимодействия определите Кто владелец передаваемых данных? Кто имеет право передавать эти данные? Кто имеет право контактировать с прессой и иными внешними сторонами? Как распределяются данные? Как защищаются, контролируются и хранятся данные? Как контролируется доставка данных? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 171/431
13.
Взаимодействие с другими
CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 172/431
14.
Определите роли
и ответственности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 173/431
15.
Роли и ответственность
Определите роли и ответственность всех участников CSIRT Определите интерфейсы и виды взаимодействия между участниками/функциями CSIRT Определите процедуры эскалации конфликтов и спорных ситуаций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 174/431
16.
Документируйте
сервисы/процессы /функции CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 175/431
17.
Описание сервисов CSIRT
Каждый сервис/процесс CSIRT должен быть описан и это описание должно быть доступно всем заинтересованным сторонам Для любого сервиса желательно иметь два описания Для внешней аудитории – кому предоставляется сервис, как делать запрос на оказание услуги, что ожидать от CSIRT Для внутренней аудитории – повторение описания для внешней аудитории, а также подробные рекомендации по оказанию сервиса и описание управления сервиса Любой сервис должен описываться по двум измерениям Логическое Техническое InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 176/431
18.
Факторы описания сервисов
CSIRT Фактор Описание Цель Цель сервиса Определение Описание области применения сервиса Функции Описание функций сервиса Условия, при которых сервис доступен клиентам Доступность (кому, когда и как) Гарантии качества Настройки и ограничения сервисов для клиентов Взаимодействие между командами и Взаимодействие и заинтересованными сторонами, такими как клиенты, раскрытие другие команды или журналисты. Также включает информации стратегию раскрытия информации об инциденте Интерфейс с Информационные потоки между данным и другими другими сервисами CSIRT сервисами Описание приоритетов функций внутри сервиса и Приоритет сервиса относительно других сервисов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 177/431
19.
Цель сервиса
Цель сервиса вытекает из миссии CSIRT, которая, в свою очередь, вытекает из миссии отдела ИБ или иной структуры, главенствующей над CSIRT Пример Миссия CSIRT: Улучшение безопасности информационной инфраструктуры предприятия и минимизация угрозы нанесения ущерба вследствие вторжений и атак Цель сервиса: Стать центром поддержки обработки инцидентов для сетевых и системных администраторов и пользователей предприятия или Обеспечение технической поддержки на месте в связи с инцидентами, влияющими на системы предприятия, с целью их изоляции и восстановления от вторжений и атак InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 178/431
20.
Определение сервиса
Прежде чем описывать реализацию сервиса важно понимать все ограничения, связанные с имеющимися ресурсами Нужно описать масштаб и глубину оказываемых услуг Сервис может быть ограничен Целью Ресурсами (финансовыми, человеческими, техническими) Опытом и квалификацией персонала CSIRT Полномочиями Контактами с внешним миром … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 179/431
21.
Функции
У каждого сервиса CSIRT может быть свой набор функций Например, для обработки инцидентов список включает 4 основных функции Систематизация Обработка Уведомление Обратная связь Данный сервис мы будем рассматривать далее более детально InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 180/431
22.
Функции (окончание)
Данный раздел должен включать в себя Цель функции Детали реализации и ссылки на соответствующие процедуры Критерии приоритезации функций Уровень оказываемых услуг Критерии качества Детали реализации Как срабатывает функция (снаружи или изнутри)? Какие формы коммуникаций используются? Какие данные необходимы для работы функции (вход и выход)? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 181/431
23.
Доступность
Кто может получить доступ к сервису? На каких условиях? В какое время доступен сервис? Разные сервисы в разное время Разные уровни сервиса в разное время Разные типы/приоритеты инцидентов в разное время Разные типы клиентов в разное время Условия предоставления сервиса Заполненный по определенной форме отчет об инциденте Обязательное прохождение процедуры проверки подлинности клиента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 182/431
24.
Гарантии качества
Каковы ожидания клиентов относительно качества сервиса? Для разных клиентов разное качество Для разных функций разное качество В разное время разное качество Для разных приоритетов разное качество В течение какого времени CSIRT ответит на запрос клиента? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 183/431
25.
Взаимодействие и раскрытие
информации Какое взаимодействие происходит между CSIRT и участниками инцидента? Чего CSIRT ждет от пострадавшей стороны? Что будет с файлами, документами и материалами, предоставленными пострадавшим CSIRT? Будут ли они передаваться за пределы CSIRT? Если да, то как они будут защищены? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 184/431
26.
Интерфейс с другими
сервисами Какое взаимодействие происходит между одним сервисом и другими? Каковы критерии взаимодействия? Есть ли общие для всех сервисов? Например, часто функция систематизации является единой для всех сервисов? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 185/431
27.
Приоритет
Приоритезация очень важна в условиях нехватки ресурсов Важен не только приоритет событий, но и приоритет функций внутри сервиса, а также сервисов между собой Приоритезация возможна по различным критериям Тип атакуемого ресурса Критичность для бизнеса Количество атакуемых систем Тип атаки/инцидента Тип цели атаки InfoSecurity 2008 Квалификация злоумышленника / сложность атаки © 2008 Cisco Systems, Inc. All rights reserved. 186/431
28.
Критерии приоритезации InfoSecurity 2008
© 2008 Cisco Systems, Inc. All rights reserved. 187/431
29.
Критерии приоритезации (окончание) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 188/431
30.
Шкала воздействия (ущерба) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 189/431
31.
Шкала воздействия (ущерба) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 190/431
32.
Шкала воздействия (ущерба) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 191/431
33.
Приоритет инцидента
Источник: Университет Мельбурна InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 192/431
34.
Матрица «Приоритет –
Реагирование» Источник: Университет Мельбурна InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 193/431
35.
Информационные
потоки InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 194/431
36.
Информационные потоки
Независимо от спектра предлагаемых сервисов необходимо понимать как они связаны друг с другом В частности необходимо определить Какие сервисы зависят от информации других сервисов или предоставляют информацию другим сервисам Какие сервисы имеют общие источники информации или являются общими для каких-либо функций CSIRT Какие сервисы обрабатывают информацию, зависящую от каких-либо условий (конфиденциальность, законодательство) Какие сервисы передают информацию за пределы CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 195/431
37.
Информационные потоки
Понимание информационных потоков позволяет оптимизировать ресурсы и эффективнее использовать существующую информацию Различные сервисы по разному обрабатывают информацию В ряде случаев информационный поток может быть ограничен или даже полностью заблокирован Например, политика раскрытия информации, требования законодательства, требования конфиденциальности, отсутствие договорных обязательств и т.д. Этот сценарий должен быть разрешен до, а не после начала работы CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 196/431
38.
Информационные потоки
Разным запросам в рамках информационного обмена могут быть присвоены разные приоритеты В зависимости от автора запроса или иных критериев InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 197/431
39.
Пример матрицы информационных
потоков для обработки инцидентов Имя сервиса Входящий поток Исходящий поток Уведомление Предупреждения о Статистика и отчеты о текущих сценариях статусе, а также новые атак профили атак для исследований Обработка Как защититься против Возможное уязвимостей использования существование новых определенных уязвимостей уязвимостей? Обработка артефактов Как распознать Статистика по использование обнаруженным определенных артефактам, а также артефактов и какое примеры артефактов влияние они могут оказать? Обучение / тренинги Знание, примеры из практики, мотивация InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 198/431
40.
Пример матрицы информационных
потоков для обработки инцидентов Имя сервиса Входящий поток Исходящий поток Обнаружение Отчет о новом Новый профиль атак вторжений инциденте Аудит и оценка Уведомление о Общие сценарии атак защищенности расписании начала и окончания тестов на проникновении Консалтинг Информация об Практические безопасности угрозах и величине примеры и опыт потенциального ущерба Анализ рисков Информация об Статистика или угрозах и величине сценарии или потери потенциального ущерба InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 199/431
41.
Пример матрицы информационных
потоков для обработки инцидентов Имя сервиса Входящий поток Исходящий поток Анализ технологий Предупреждение о Статистика или отчет сценариях будущих о статусе, а также атак или о новые профили атак распространении для рассмотрения или новых хакерских исследований инструментов Разработка средств Наличие новых Потребности в новых защиты средств для продуктах, а также использования анализ текущей клиентами практики InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 200/431
42.
Визуализация
процессов CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 201/431
43.
Визуализация процессов
С целью облегчения внедрения процессов управления инцидентами и эффективного их применения на практике рекомендуется графически визуализировать в виде диаграмм последовательности выполняемых действий (workflow diagram) Это позволяет отобразить все процессы и подпроцессы, а также связи между ними, входную и выходную информацию, триггеры срабатывания, критерии перехода из состояния в состояние, дополнительные требования, роли и ответственность участников С диаграммами связаны описания выполняемых действий (workflow descriptions), которые разъясняют карты процессов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 202/431
44.
Визуализация процессов (продолжение) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 203/431
45.
Визуализация процессов в
PWC InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 204/431
46.
Визуализация процессов в
Университете Мельбурна InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 205/431
47.
Другие примеры визуализации Управление
несанкционированной модификации Управление сканированием InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 206/431
48.
Визуализация процессов (продолжение) InfoSecurity
2008 © 2008 Cisco Systems, Inc. All rights reserved. 207/431
49.
Визуализация процессов (окончание)
Визуализация процессов также облегчает поиск Узких мест в процессе Отсутствия или недостаточно описанные аспекты осуществления каждого процесса (например, нехватка ресурсов или отсутствие описанной процедуры) Отсутствие или слабо определенная передача управления между элементами Плохо определенных потоков активностей в рамках процесса (например, много параллельных задач, линейность, множество передач управления) Единой точки отказа Созданная карта процессов может быть улучшена на основе проведенного анализа InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 208/431
50.
Разработайте
политики и процедуры InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 209/431
51.
Политики
Политики – это оформленные руководящие принципы, принятые в организации или подразделении («что вы должны делать») Прежде чем разрабатывать политики необходимо понять, каким критериям должна удовлетворять политика и какие обязательные пункты в ней должны быть Разработкой политики дело не заканчивается Необходимо оценивать их осуществимость на практике и исполнение Политики могут быть внутренние (для внутреннего использования CSIRT) и внешние (для клиентов), а также для конкретного сервиса (например, для идентификации пострадавшего клиента) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 210/431
52.
Процедуры
Детализация деятельности в пределах конкретной политики («пошаговые инструкции, как это сделать») Не существуют без политик Пример политики: «Будьте вежливы со СМИ; не врите им; сообщайте только обезличенные сведения общего характера» За этой простой политикой скрывается достаточно подробная процедура «Передаваемые данные должны быть зашифрованы ГОСТ 28147-89» – это не политика Технология может меняться. Правильнее - «Передаваемые данные должны зашифрованы с помощью алгоритма, обеспечивающего стойкость в течение 25 лет» InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 211/431
53.
Атрибуты хорошей политики
Атрибут Описание Поддержка и Как и миссия, политика не подлежит одобрение исполнению, если она не поддержана руководством руководством Ясность Любой член целевой аудитории должен понимать, о чем данная политика. Избегайте жаргонизмов. Используйте короткие предложения. Если допустимо, попросите вашу жену прочитать политику. Если ей непонятно, то замените ее (не жену ;-). Краткость Хорошая политика – краткая политика. Длинная политика либо плоха, либо включает слишком много процедур, смешивая управление (политика) с оперативной деятельностью (процедуры). InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 212/431
54.
Атрибуты хорошей политики
(окончание) Атрибут Описание Необходимость и Политика должна включать все, что достаточность необходимо для действий в определенной ситуации, но не больше, чем надо и что может быть описано в процедурах. Практичность Избегайте красивых, но бессмысленных фраз (например, «обеспечение высокого уровня защищенности») Реализуемая Политика должна быть реализуемой на практике с учетом имеющихся ресурсов Подлежащая Если политика не исполняется, то она исполнению бесполезна. Если политика секретна, то как пользователи должны знать, что ее надо выполнять? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 213/431
55.
Содержание политики
Раздел Описание Связь с миссией Как политика помогает в достижении миссии? Роли Четко определите людей, участвующих в реализации политики (или отдельных ее частей) Ответственность Определите обязанности и ответственность участников (там где это возможно) Взаимодействие Опишите взаимодействие между участниками. Например, при общении с прессой определите канал общения (телефон или лично), перечень вопросов, а также обязательное согласование текста перед публикацией Процедуры Укажите процедуры, обеспечивающие политику InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 214/431
56.
Содержание политики (окончание)
Раздел Описание Связи Определите связи с другими сервисами и политиками Поддержка Определите процедуру и ответственного за пересмотр и поддержание политики Термины, определения Определите все термины и сокращения, и сокращения чтобы гарантировать, что новые члены CSIRT понимают, о чем идет речь и общаются на одном языке Хорошей практикой является сопровождение политик примерами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 215/431
57.
Проверка политик
Перед тем, как пускать политику в плавание, проверьте ее плавучесть Основная задача, что все тезисы политики применимы на практике Люди, создающие политику, должны отличаться от тех, кто ее проверяет Исключите конфликты интересов и необъективность Проверьте согласованность политики с другими политиками Запустите пилотный проект с худшими сценариями и реальным поведением людей Совет «всегда будьте дружелюбны с собеседниками» надо проверить на очень агрессивных оппонентах InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 216/431
58.
Поддержка политик
Не бывает идеальных политик, созданных «раз и навсегда» Все течет, все меняется В ряде случаев политики могут создавать уже после начала работы CSIRT или ее отдельных сервисов Любые изменения в политиках должны быть проверены перед их утверждением Необходимо регулярно проверять «работоспособность» политик Необходимо иметь ответственного за поддержание политики в актуальном состоянии InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 217/431
59.
Какие политики должны
быть? Термины и определения Политика классификации информации/инцидентов Включая порядок категорирования, приоритезации и эскалации инцидентов Политика входящих звонков Политика раскрытия информации Политика безопасности CSIRT Политика общения с прессой Политика общения со сложными контактами Политика координации с другими CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 218/431
60.
Какие политики должны
быть? Политика общения с неидентифицированными абонентами Вам звонит атакуемый или атакующий? Политика управления уязвимостями Политика разработки уведомлений InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 219/431
61.
Создайте план
внедрения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 220/431
62.
План внедрения
Создайте план внедрения и разошлите его всем заинтересованным сторонам для получения обратной связи Выберите время для запуска CSIRT Учитывайте время, в которое не стоит запускать CSIRT – годовой отчет, квартальный отчет, запуск системы, аудит со стороны регуляторов и т.п. Получите поддержку руководства на запуск CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 221/431
63.
Анонсируйте
CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 222/431
64.
Реклама CSIRT среди
клиентов CSIRT определила своих клиентов, но знают ли клиенты о CSIRT? Кто в компании отвечает за реагирование на инциденты? Кому писать или звонить в случае получения подозрительного письма или сообщения от системы? О чем сообщать и в какой форме? Надо ли клиенту самому пытаться сделать что-то? Можно ли позвонить другу из ИТ-департамента или службы ИБ? Клиенты должны знать о существовании CSIRT, ее задачах и полномочиях Особенно если CSIRT является единой точкой контакта InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 223/431
65.
Анонсирование
Подготовьте формальное сообщение от имени руководства о запуске CSIRT Подготовьте маркетинговые материалы, руководства и процедуры, описывающие Что такое CSIRT? Как клиенты могут взаимодействовать с CSIRT? Какие показатели качества используются? Включите раздел о CSIRT в корпоративную программу обучения новых сотрудников Создайте отдельный курс (ролик) для всех желающих Распространите информацию о CISRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 224/431
66.
Как себя рекламировать?
Электронная почта и списки рассылки Внутренний портал Презентации и семинары Скринсейверы, календари, ручки/карандаши, плакаты в «людных» местах Телефония (массовые голосовые сообщения) Медиа (Digital Media Signage) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 225/431
67.
Отображение уровня угрозы
Визуализация уровня угрозы облегчает понимание неквалифицированных пользователей текущего статуса в области безопасности организации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 226/431
68.
Отображение уровня угрозы:
пример 1 уровень Обычная жизнедеятельность, никаких угроз и эпидемий 2 уровень Начинается вторжение (или неминуемо начнется), которое может привести к простоям, росту задержек в обслуживании или перебоев в сетевом взаимодействии 3 уровень Вторжение расширяется, рост простоев и перебоев в обслуживании, растет число скомпрометированных узлов 4 уровень Вторжение серьезно влияет на инфраструктуру и ключевые бизнес-приложения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 227/431
69.
Определите
методы оценки эффективности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 228/431
70.
Контроль качества
Очевидно, что наличие каталога услуг, матрицы информационных потоков, а также разработанных политик и процедур недостаточно для того, чтобы оказывать услуги CSIRT на качественном уровне Требуется контроль качества (quality assurance) На практике он реализуется не часто ;-( Стандартные формы – приоритезация инцидентов и отсутствие жалоб со стороны руководства Определение показателей качества должно начинаться «сверху вниз», от миссии Которая может содержать такие качественные показатели, как «своевременно», «гибко», «все возможные сценарии» и т.л. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 229/431
71.
Контроль качества (окончание)
Каждая услуга, политика, процедура, информационный поток могут иметь свои показатели качества Вспомните курс по измерению эффективности Взаимодействие • Скорость • Скорость выпуска реагирования способа • Скорость на первичный закрытия оповещения о доклад об уязвимости новой инциденте уязвимости Обработка Обработка уязвимостей инцидентов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 230/431
72.
Примеры показателей качества
Для инцидента Время отклика на события из сферы действия сервиса (инцидент, уязвимость) Приоритет события Уровень информации, предоставляемой для событий (краткосрочная перспектива) Уровень информации, предоставляемой для событий в долгосрочной перспективе (отчет, резюме, анонс…) Уровень конфиденциальности … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 231/431
73.
Примеры показателей качества
Для CSIRT Число инцидентов, открытых и закрытых Число «звонков о помощи» Звонки, сообщений e-mail, сообщений через Web Среднее время реагирования на инцидент Для разных приоритетов Распределение инцидентов по приоритетам Тренды Рост/падение числа инцидентов по разным срезам InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 232/431
74.
Значение показателей качества
После определения списка показателей качества необходимо связать их с конкретными измеримыми значениями Параметр качества Значение Время реагирования на Для всех не критичных уязвимостей CSIRT сообщение об уязвимости будет выпускать рекомендации в течение двух дней с момента первичного сообщения Время реагирования на Каждый высокоприоритетный инцидент высокоприоритетый инцидент должен быть признан в течение 2-х часов. Анализ начнется в течение первого часа после получения сообщения об инциденте Время реагирования на Каждый низкоприоритетный инцидент должен низкоприоритетный инцидент быть признан в течение 4-х часов. Анализ начнется в течение первых 48-и часов после получения сообщения об инциденте InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 233/431
75.
Динамичность показателей качества
Система контроля качестве нестатична Значения одного параметра могут влиять на значения других (например, в кризис время отклика может быть гораздо жестче, чем при обычном инциденте) Значения параметров качества могут быть гибкими (например, 95% всех неприоритетных инцидентов будут обрабатываться в течение 5 дней) При необходимости стоит уведомить об изменении значения параметров качества заинтересованных лиц InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 234/431
76.
Проверка показателей качества
Система контроля качества также должна включать проверку показателей Это нетривиальная задача должна подразумевать набор процедур и инструментов по измерению показателей качества и генерацию соответствующих отчетов Что проще измерять и проверять количественные или качественные показатели качества? «Реагировать надо быстро» или «Реагировать надо в течение 2-х часов»? Частота проверки также требует проработки Слишком редко – можно снизить качество работы CSIRT Слишком часто – отнимает время у CSIRT и требует ресурсов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 235/431
77.
Проверка показателей качества
(продолжение) Общая ошибка при проверке – очень сложные процедуры Слишком долгие и сложные проверки системы качества Потенциальная возможность ошибки Проверка становится самоцелью (многие забывают, что она предназначена для помощи в работе системы качества, а не для того, чтобы ей мешать) Число процедур при проверке должно быть сведено к минимуму И они должны быть прозрачны и понятны Сотрудники CSIRT должны понимать, зачем нужны проверки Это предотвратит отторжение и конфликты при проверках InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 236/431
78.
Проверка показателей качества
(окончание) Не забудьте при изменении показателей качества обновить и процедуры проверки Пример: проверка связи с клиентом, сообщившим об инциденте Первичный показатель качестве – «Ответ на сообщение клиента об инциденте должен быть в течение 2-х часов с момента получения сигнала» Внедрена система автоматического ответа по e-mail и ответ направляется сразу же Показатель должен поменяться на «Автоматический ответ отправляется сразу после получения сообщения об инциденте. Личный ответ сотрудника CSIRT должен быть в течение 24-х часов с момента получения сигнала» InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 237/431
79.
Опубликование показателей качества
Надо ли публиковать список показателей качества перед клиентами? Если они знают, как вас контролировать, то они могут на вас давить! Если они не знают, как вас контролировать, то они могут думать, что вы что-то скрываете! Выберите часть показателей качества и опубликуйте их Это покажет вашу открытость Не занимайтесь показухой Помните, что клиенты не любят непонятных им слов и терминов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 238/431
80.
Противовес
Нужен баланс между процедурами, проверками и необходимостью делать свое дело Что делать, если процедуры CSIRT не могут помочь решить проблему или члены CSIRT выполняют свою работу некачественно? Нужна процедура эскалации, а также положение об ответственности и наказании, которые являются противовесом стандартным процедурам CSIRT Штрафные санкции часто стимулируют работать хорошо без всяких процедур Аналогичный противовес должен быть и в отношении клиентов, которые не выполняют своих обязательств Таких клиентов можно отключать от CSIRT или снижать уровень их обслуживания InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 239/431
81.
Пример: число звонков
в Service Desk Задача: оценить время реагирования на звонок об инциденте Поощрение за снижение времени реагирования Сотрудники могут класть трубку сразу после звонка! Поощрение за число разрешенных инцидентов Сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту Увеличение длительности звонков и ожидания клиентов на линии Меньше доступных специалистов – ниже удовлетворенность Комбинируйте метрики Время реагирования на звонок + длительность звонка InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 240/431
82.
Incident Management Capability
Metrics InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 241/431
Descargar ahora