|
Dodatak H - Sigurnosni incidenti1. SvrhaBez obzira na sve veća sredstva i napore koji se ulažu u postizanje i održavanje sigurnosti informacijskih sustava, sigurnosni incidenti i dalje su česta pojava. Svaki sigurnosni incident bez obzira na veličinu i trajanje za organizaciju predstavlja gubitak, zbog čega je vrlo važno da se adekvatna pažnja posveti razvoju strategije i planiranju aktivnosti u slučaju pojave sigurnosnih incidenata. Zbog toga je upravljanje sigurnosnim incidentima važan segment poslovanja svake organizacije. Ukoliko se unaprijed definiraju zaštitne mjere i koraci u slučaju pojave incidenta, znatno se mogu umanjiti gubici i utjecaj incidenta na poslovanje organizacije. Kako bi upravljanje sigurnosnim incidentima bilo kvalitetno organizirano, potrebno je definirati:
Definiranje odgovornosti i ulogaGlavna odgovorna osoba dužna je inicirati provedbu politike upravljanja sigurnosnim incidentima. Odgovornost u organizaciji i provođenju politike može imati jedna osoba, ali i više njih. Važno je da hijerarhija odgovornosti bude jasno definirana i dokumentirana. Inicijalnu odgovornost nad upravljanjem sigurnosnim incidentima ima glavna odgovorna osoba. Glavna odgovorna osoba odgovornost ili dio odgovornosti može prenesti na drugu osobu/osobe, uz obavezno jasno definiranje i dokumentiranje odgovornosti. Treba dopuniti smjernicama kako prijaviti sigurnosni incident i potencijalne ranjivosti sustava. Pravovremena detekcijaKako bi se potencijalne prijetnje i incidenti pravovremeno detektirali, potrebno je osposobiti sljedeće mehanizme:
Odgovorne osobe koje pregledavaju prijave korisnika dužne su voditi evidenciju primljenih zahtjeva i akcija koje su poduzete. Dnevnik između ostalog mora sadržavati:
Kako reagirati u slučaju incidentaU slučaju incidenta odgovorna osoba mora reagirati na način da zadovolji sljedeće:
Treba dopuniti definicijama koji su načini sprječavanja daljnjih zlonamjernih radnji. Treba dopuniti definicijama na koji se način mogu prikupiti dodatni dokazni materijali. Ukoliko odgovorna osoba primijeti ili dobije prijavu od strane korisnika o potencijalnoj ranjivosti sustava, dužna je učiniti sljedeće:
Analiza incidenata, uklanjanje posljedicaNakon obavljanja inicijalnih procedura u slučaju incidenta i nakon što je napad (opasnost) prošao, potrebno je napraviti analizu stanja kako bi se utvrdilo što je sve obuhvaćeno incidentom. Neki od mogućih ciljeva napada:
Analizom je potrebno definirati što je sve bio cilj napada, kolika je šteta i na koji način detektiranu štetu ispraviti, odnosno na koji način sustav dovesti u zadnje "netaknuto" stanje. U slučaju mijenjanja i uništavanja resursa, ukoliko je riječ o logičkim resursima (informacije, softver), rješenje će vjerojatno biti napraviti obnovu iz sigurnosnih kopija podataka. Ovaj tip incidenta može biti vrlo ozbiljan ukoliko sigurnosne kopije ne postoje (nisu pravovremeno napravljene) jer je ponekad izgubljene podatke nemoguće obnoviti. Dopuniti definicijama procedura za vraćanje sustava u inicijalno stanje. |