Рассказываем про пять простых шагов, которые помогут создать универсальный эффективный план реагирования на инциденты кибербезопасности в любой организации.
Статистика гласит: чем больше предприятий переводят свои операции в цифровую реальность, тем больше появляется рисков кибербезопасности. Согласно опросу GetApp 2020 Data Security, 35% ответивших компаний столкнулись с утечкой данных в уходящем 2020 году, а 28% столкнулись с атакой программ-вымогателей.
А что бы сделали вы? Есть ли у вас и вашей организации план действий по реагированию?
Думаем, мы знаем ответ – согласно отчету IBM, лишь 26% фирм имеют четко определенный план ответных мер безопасности на утечку данных и другие виды кибератак. В этом материале мы обсудим, что такое план реагирования на инциденты в области кибербезопасности и какую пользу он вам принесет. И выделим пять шагов по созданию плана реагирования на инциденты и предоставим ряд ресурсов, которые помогут вам начать работу.
Инцидент кибербезопасности — это любое событие, которое нарушает политику ИТ-безопасности организации и подвергает риску конфиденциальные данные – например, финансовые данные клиентов. Заражение вредоносным ПО, DDoS-атаки, атаки программ-вымогателей, несанкционированный доступ к сети, внутренние атаки и фишинг – вот лишь некоторые из распространенных типов инцидентов, связанных с кибербезопасностью.
План реагирования на инциденты кибербезопасности — это набор инструкций, которые помогут вашим сотрудникам выявлять инциденты кибербезопасности, реагировать на них и восстанавливаться – после них.
Такой план включает меры, которым стоит следовать, дабы предотвратить кибератаки, шаги, которые необходимо предпринять, когда компания с атакой уже столкнулась, а также меры после атаки – например, информирование заинтересованных сторон или сообщение об инциденте госорганам.
Приведем основные причины, по которым каждой организации нужен хорошо задокументированный и регулярно обновляемый план реагирования на инциденты кибербезопасности.
Вы будете подготовлены к борьбе с кибератаками
Благодаря плану реагирования вы и ваша команда будете знать, что именно нужно делать. При этом у каждого будет задокументированная роль и собственная ответственность. Вам не нужно будет давать дополнительные инструкции своей команде, чтобы не было потери времени или перерывов в общении.
Вы будете соблюдать правила
В случае нарушения безопасности вы должны выполнить множество требований, таких как информирование заинтересованных сторон и сообщение об инциденте властям. А план реагирования поможет вам отслеживать и четко придерживаться этих требований. Например, закон о защите данных потребителей GDPR требует, чтобы вы сообщали о событии безопасности в течение 72 часов с момента его возникновения, а стандарт безопасности финансовой информации PCI DSS требует, чтобы вы имели план реагирования на инциденты и проверяли его как минимум раз в год.
Вам не придется полагаться на специальные меры реагирования на инциденты
План реагирования на инциденты кибербезопасности — это письменный документ, в котором четко указаны шаги, которые вы и ваши сотрудники должны выполнять при обнаружении нарушения безопасности. Он одобрен руководством компании – а это значит, что вам не придется импровизировать. Согласитесь, заранее подготовленный ответ более эффективен, чем спонтанный и хаотичный.
Для начала создайте документ с перечислением потенциальных угроз для вашего бизнеса – он поможет вам подготовить различные стратегии реагирования на разные типы киберинцидентов.
Инциденты безопасности различаются по величине и серьезности. Поврежденный файл на ноутбуке сотрудника может считаться менее приоритетным по сравнению с DDoS-атакой, которая может вывести из строя весь сайт. Определите серьезность каждого инцидента безопасности – дабы решить, следует ли разрешать его первым.
Итак, оцените, влияет ли инцидент на ваши данные (делает их недоступными, крадет или приводит к их потере) или на вашу способность обслуживать клиентов или выполнять операции. Любой инцидент, который влияет как на безопасность данных, так и на операционную безопасность, должен рассматриваться в приоритетном порядке.
Используйте наш инструмент приоритизации инцидентов безопасности для оценки рисков различных инцидентов безопасности.
Укажите степень влияния инцидента на ваши операции и данные (нет, низкое, среднее или высокое), и сервис автоматически отобразит, действительно ли он в приоритете, или же его разрешение может немного подождать.
Не забудьте установить и временные рамки для разрешения всех выявленных инцидентов. В идеале инциденты с высоким приоритетом должны разрешаться в течение 2-6 часов после обнаружения, а вот инциденты с низким приоритетом – в течение суток.
План реагирования на инциденты будет определять шаги, которые вы должны предпринять для сдерживания атаки. Составьте свой план в виде блок-схемы, чтобы ваша команда могла максимально быстро понять, какой именно путь снижения угроз нужно использовать.
Пример схемы.
Укажите, кто отвечает за выполнение каждого шага, упомянутого в вашей блок-схеме. Распределите четкие и не конфликтующие между собой обязанности между своими сотрудниками, чтобы не было столкновений или ненужных споров.
Используйте матрицу ответственных, подотчетных, консультируемых и проинформированных (RACI), чтобы указать, кто должен нести ответственность, отчитываться, консультироваться или только информироваться о различных шагах реагирования на инциденты. Это может быть и один сотрудник – например, ваш менеджер по безопасности будет нести ответственность за ведение записей об инцидентах, отвечать за технические операции, консультироваться по вопросам подготовки отчета после инцидента и информировать об общей координации и взаимодействии с регулирующими органами.
Вот образец матрицы RACI, в которой указаны обязанности разных участников, который вы можете скачать и настроить в соответствии с характеристиками вашей организации. Например, если у вас нет MSSP, ваш менеджер по безопасности будет ответственным за все технические операции.
Одной программы реагирования на инциденты недостаточно. Вам необходимо проверить его эффективность, проведя имитационные учения, которые также будут обучать ваших сотрудников их роли в управлении инцидентами безопасности. Вот эффективное упражнение красных и синих команд, которое вы можете провести в качестве модели.
Регулярно обновляйте свой план, чтобы не отставать от изменений в ландшафте угроз или включать сведения о любых новых мерах безопасности, которые вы недавно приняли. Не реже одного раза в год пересматривайте свои действия по реагированию и работайте над сокращением времени, которое вы тратите на сдерживание инцидентов и восстановление после них.
Используйте информацию, собранную из предыдущих инцидентов безопасности и имитационных учений, чтобы определить возможности улучшения и внедрить новые элементы управления для вашего плана реагирования на инциденты безопасности (например, обязательно ищите шаги, которые можно автоматизировать).
И, наконец, используйте специальное программное обеспечение, ведь оно может помочь более эффективно обнаруживать и устранять угрозы безопасности. Они позволяют продолжать бизнес-операции, даже если действия по реагированию на инциденты выполняются в фоновом режиме.
Вот некоторые из них:
Статистика гласит: чем больше предприятий переводят свои операции в цифровую реальность, тем больше появляется рисков кибербезопасности. Согласно опросу GetApp 2020 Data Security, 35% ответивших компаний столкнулись с утечкой данных в уходящем 2020 году, а 28% столкнулись с атакой программ-вымогателей.
А что бы сделали вы? Есть ли у вас и вашей организации план действий по реагированию?
Думаем, мы знаем ответ – согласно отчету IBM, лишь 26% фирм имеют четко определенный план ответных мер безопасности на утечку данных и другие виды кибератак. В этом материале мы обсудим, что такое план реагирования на инциденты в области кибербезопасности и какую пользу он вам принесет. И выделим пять шагов по созданию плана реагирования на инциденты и предоставим ряд ресурсов, которые помогут вам начать работу.
Что такое инцидент кибербезопасности
Инцидент кибербезопасности — это любое событие, которое нарушает политику ИТ-безопасности организации и подвергает риску конфиденциальные данные – например, финансовые данные клиентов. Заражение вредоносным ПО, DDoS-атаки, атаки программ-вымогателей, несанкционированный доступ к сети, внутренние атаки и фишинг – вот лишь некоторые из распространенных типов инцидентов, связанных с кибербезопасностью.
Что такое план реагирования на инциденты кибербезопасности
План реагирования на инциденты кибербезопасности — это набор инструкций, которые помогут вашим сотрудникам выявлять инциденты кибербезопасности, реагировать на них и восстанавливаться – после них.
Такой план включает меры, которым стоит следовать, дабы предотвратить кибератаки, шаги, которые необходимо предпринять, когда компания с атакой уже столкнулась, а также меры после атаки – например, информирование заинтересованных сторон или сообщение об инциденте госорганам.
Зачем нужен план реагирования на инциденты кибербезопасности
Приведем основные причины, по которым каждой организации нужен хорошо задокументированный и регулярно обновляемый план реагирования на инциденты кибербезопасности.
Вы будете подготовлены к борьбе с кибератаками
Благодаря плану реагирования вы и ваша команда будете знать, что именно нужно делать. При этом у каждого будет задокументированная роль и собственная ответственность. Вам не нужно будет давать дополнительные инструкции своей команде, чтобы не было потери времени или перерывов в общении.
Вы будете соблюдать правила
В случае нарушения безопасности вы должны выполнить множество требований, таких как информирование заинтересованных сторон и сообщение об инциденте властям. А план реагирования поможет вам отслеживать и четко придерживаться этих требований. Например, закон о защите данных потребителей GDPR требует, чтобы вы сообщали о событии безопасности в течение 72 часов с момента его возникновения, а стандарт безопасности финансовой информации PCI DSS требует, чтобы вы имели план реагирования на инциденты и проверяли его как минимум раз в год.
Вам не придется полагаться на специальные меры реагирования на инциденты
План реагирования на инциденты кибербезопасности — это письменный документ, в котором четко указаны шаги, которые вы и ваши сотрудники должны выполнять при обнаружении нарушения безопасности. Он одобрен руководством компании – а это значит, что вам не придется импровизировать. Согласитесь, заранее подготовленный ответ более эффективен, чем спонтанный и хаотичный.
5 шагов для создания плана реагирования на инциденты кибербезопасности
1. Задокументируйте общие типы инцидентов безопасности.
Для начала создайте документ с перечислением потенциальных угроз для вашего бизнеса – он поможет вам подготовить различные стратегии реагирования на разные типы киберинцидентов.
2. Расставляйте приоритеты в инцидентах безопасности в зависимости от их серьезности.
Инциденты безопасности различаются по величине и серьезности. Поврежденный файл на ноутбуке сотрудника может считаться менее приоритетным по сравнению с DDoS-атакой, которая может вывести из строя весь сайт. Определите серьезность каждого инцидента безопасности – дабы решить, следует ли разрешать его первым.
Итак, оцените, влияет ли инцидент на ваши данные (делает их недоступными, крадет или приводит к их потере) или на вашу способность обслуживать клиентов или выполнять операции. Любой инцидент, который влияет как на безопасность данных, так и на операционную безопасность, должен рассматриваться в приоритетном порядке.
Используйте наш инструмент приоритизации инцидентов безопасности для оценки рисков различных инцидентов безопасности.
Укажите степень влияния инцидента на ваши операции и данные (нет, низкое, среднее или высокое), и сервис автоматически отобразит, действительно ли он в приоритете, или же его разрешение может немного подождать.
Не забудьте установить и временные рамки для разрешения всех выявленных инцидентов. В идеале инциденты с высоким приоритетом должны разрешаться в течение 2-6 часов после обнаружения, а вот инциденты с низким приоритетом – в течение суток.
3. Создайте блок-схему реагирования на инцидент с указанием необходимых действий
План реагирования на инциденты будет определять шаги, которые вы должны предпринять для сдерживания атаки. Составьте свой план в виде блок-схемы, чтобы ваша команда могла максимально быстро понять, какой именно путь снижения угроз нужно использовать.
Пример схемы.
Укажите, кто отвечает за выполнение каждого шага, упомянутого в вашей блок-схеме. Распределите четкие и не конфликтующие между собой обязанности между своими сотрудниками, чтобы не было столкновений или ненужных споров.
Используйте матрицу ответственных, подотчетных, консультируемых и проинформированных (RACI), чтобы указать, кто должен нести ответственность, отчитываться, консультироваться или только информироваться о различных шагах реагирования на инциденты. Это может быть и один сотрудник – например, ваш менеджер по безопасности будет нести ответственность за ведение записей об инцидентах, отвечать за технические операции, консультироваться по вопросам подготовки отчета после инцидента и информировать об общей координации и взаимодействии с регулирующими органами.
Вот образец матрицы RACI, в которой указаны обязанности разных участников, который вы можете скачать и настроить в соответствии с характеристиками вашей организации. Например, если у вас нет MSSP, ваш менеджер по безопасности будет ответственным за все технические операции.
4. Проведите тест-драйв и обучите своих сотрудников.
Одной программы реагирования на инциденты недостаточно. Вам необходимо проверить его эффективность, проведя имитационные учения, которые также будут обучать ваших сотрудников их роли в управлении инцидентами безопасности. Вот эффективное упражнение красных и синих команд, которое вы можете провести в качестве модели.
5. Регулярно обновляйте план реагирования на инциденты.
Регулярно обновляйте свой план, чтобы не отставать от изменений в ландшафте угроз или включать сведения о любых новых мерах безопасности, которые вы недавно приняли. Не реже одного раза в год пересматривайте свои действия по реагированию и работайте над сокращением времени, которое вы тратите на сдерживание инцидентов и восстановление после них.
Используйте информацию, собранную из предыдущих инцидентов безопасности и имитационных учений, чтобы определить возможности улучшения и внедрить новые элементы управления для вашего плана реагирования на инциденты безопасности (например, обязательно ищите шаги, которые можно автоматизировать).
И, наконец, используйте специальное программное обеспечение, ведь оно может помочь более эффективно обнаруживать и устранять угрозы безопасности. Они позволяют продолжать бизнес-операции, даже если действия по реагированию на инциденты выполняются в фоновом режиме.
Вот некоторые из них:
- Антивирусное ПО
- ПО для защиты конечных точек
- ПО сетевой безопасности
- ПО для мониторинга сети
- SIEM
- ПО для резервного копирования данных
- ПО для обеспечения непрерывности бизнеса