Руководство по выработке правил разграничения доступа к ЭВМ



         

Возможные цели эффективного улаживания инцидента


Прежде всего следует уделить внимание целям, достигаемым при улаживании инцидента. Конечно, в зависимости от организации, важность целей будет меняться, но один из возможных вариантов приведен ниже:

  • Гарантировать целостность критических АС
  • Поддержать и восстановить данные
  • Поддержать и восстановить службы
  • Определить, что случилось
  • Избежать эскалации и дальнейших инцидентов
  • Избежать нежелательной огласки
  • Определить, кто это сделал
  • Наказать атакующего

Важно определить приоритеты действий, предпринимаемых во время инцидента, до того, как инцидент произойдет. Иногда инцидент может быть настолько сложен, что просто невозможно делать все одновременно для его ликвидации; нужно расставить приоритеты. Хотя эти приоритеты могут меняться от организации к организации, предлагаемые ниже приоритеты могут послужить отправной точкой при определении ответных действий организации:

  • Защитить человеческие жизни - человеческая жизнь всегда является самым важным;
  • Защитить критические и секретные данные (с точки зрения организации и закона);
  • Защитить другие данные, включая частные, научные, и другие данные, так как потеря данных дорого обходится в терминах ресурсов;
  • Предотвратить разрушение АС (например, потерю или изменение системных файлов, разрушение дисковых накопителей, и т.д.); разрушение АС может привести к затратам времени на ее восстановление;
  • Минимизировать разрушение вычислительных ресурсов; во многих случаях лучше выключить АС или отключить ее от сети, чем рисковать данными или самой АС.

    Важным следствием определения приоритетов является то, что если затрагиваются вопросы человеческой жизни и национальной безопасности, то в этом случае гораздо более важно сохранить данные, чем программное обеспечение и оборудование. Хотя разрушение или стирание чего-либо в ходе инцидента нежелательно, АС можно заменить; потеря же или компрометация данных (особенно секретных данных) обычно неприемлема при любых условиях.

    То, как будет улаживаться инцидент, должно быть определено до того, как случится инцидент.


    Содержание  Назад  Вперед