Incidentu pārvaldības process
Kā strukturēt incidentu reaģēšanas plānu pēc NIST SP 800-61 Rev. 2.
NIST SP 800-61 Rev. 2 incidentu reaģēšanu iedala četrās fāzēs:
- Sagatavošana
Incidentu reaģēšanas plāna izstrāde, atbildību noteikšana, rīku sagatavošana, kontaktu saraksti, juridiskās prasības un darbinieku apmācības. - Atklāšana un analīze
Incidentu identificēšana ar SIEM, EDR un žurnālfailu analīzi. Tiek veikta incidenta klasifikācija, prioritizācija, ietekmes novērtēšana un dokumentēšana. - Ierobežošana, novēršana un atjaunošana
Incidenta izplatības ierobežošana, ļaunatūras novēršana, ievainojamību labošana, sistēmu atjaunošana un pastiprināts monitorings. - Pēcincidenta izvērtēšana
Lessons learned analīze, cēloņu noteikšana, reaģēšanas procesa uzlabošana un dokumentācijas aktualizēšana.
Būtiski: incidents nav tikai problēma — tas ir arī pamats drošības procesu un kontroļu uzlabošanai.