Працэдура плана рэагавання на інцыдэнты інфармацыйнай бяспекі

 

Мэта

Гэты план паказвае, як рэагаваць на інцыдэнты інфармацыйнай бяспекі ў грамадскім каледжы акругі Хадсан (HCCC). План вызначае ролі і абавязкі групы рэагавання на інцыдэнты HCCC і меры, якія неабходна прыняць у выпадку інцыдэнту. План рэагавання на інцыдэнты інфармацыйнай бяспекі (ISIRP) накіраваны на мінімізацыю наступстваў інцыдэнту, захаванне доказаў для расследавання і як мага хутчэйшае аднаўленне нармальнай працы.

Вызначэння

інцыдэнт: падзея, якая прыводзіць да страты канфідэнцыяльнасці, цэласнасці або даступнасці інфармацыі або інфармацыйных сістэм.

Адказ: Дзеянні, якія прымаюцца для змякчэння наступстваў інцыдэнту і аднаўлення пацярпелых сістэм і даных у нармальны стан.

Група рэагавання на інцыдэнты (IRT): Група рэагавання на інцыдэнты (IRT) адказвае за рэалізацыю ISIRP. IRT складаецца з прадстаўнікоў адпаведных дэпартаментаў, у тым ліку, але не абмяжоўваючыся імі, службы інфармацыйных тэхналогій (ITS), фінансаў (кіраванне рызыкамі), юрысконсульта, кадраў і камунікацый. IRT адказвае за каардынацыю рэагавання на інцыдэнт і забеспячэнне наяўнасці ўсіх неабходных рэсурсаў.

Ролі і абавязкі

IRT адказвае за наступнае:

  • Рэагаванне на інцыдэнты і змякчэнне іх наступстваў.
  • Расследаванне інцыдэнтаў і вызначэнне іх прычын.
  • Аднаўленне сістэм і даных, якія пацярпелі ад інцыдэнту.
  • Камунікацыя з зацікаўленымі бакамі аб інцыдэнтах.
  • Рэгістрацыя і справаздачнасць аб інцыдэнтах.

Справаздача аб здарэннях

Аб усіх падазраваных або пацверджаных інцыдэнтах інфармацыйнай бяспекі неабходна неадкладна паведамляць у ITS. Затым ITS ацэніць інцыдэнт і вызначыць, ці з'яўляецца гэта інцыдэнтам бяспекі. ITS перадасць інцыдэнт IRT, калі гэта інцыдэнт з бяспекай.

Крокі ў адказ

Катэгарызацыя інцыдэнту:

IRT класіфікуе інцыдэнт у залежнасці ад яго сур'ёзнасці і ўздзеяння. Катэгорыі наступныя:

Category 1: Дробны інцыдэнт - ніякага істотнага ўплыву на каледж або яго дзейнасць.
Category 2: Інцыдэнт сярэдняй цяжкасці - абмежаваны ўплыў на каледж або яго дзейнасць.
Category 3: Буйны інцыдэнт - значны ўплыў на каледж або яго дзейнасць.
Category 4: Крытычны інцыдэнт - сур'ёзнае ўздзеянне на каледж або яго дзейнасць.

Рэагаванне на інцыдэнты па катэгорыях:

IRT будзе выконваць наступныя крокі, каб адрэагаваць на інцыдэнт:
Category 1: Ніякага афіцыйнага адказу не патрабуецца.
Category 2: IRT правядзе расследаванне інцыдэнту і прыме адпаведныя меры для стрымлівання і ліквідацыі інцыдэнту.
Category 3: IRT будзе каардынаваць свае дзеянні з адпаведнымі дэпартаментамі і знешнімі рэсурсамі, такімі як праваахоўныя органы і эксперты па кібербяспецы, для расследавання інцыдэнту і прыняцця адпаведных мер для стрымлівання і ліквідацыі інцыдэнту.
Category 4: IRT будзе рэалізоўваць план HCCC па надзвычайных сітуацыях, які апісвае крокі, якія неабходна выконваць падчас значнага крызісу.

Крокі ISIRP для IRT

IRT будзе выконваць наступныя дзеянні ў выпадку інцыдэнту:

  1. Адказаць на паведамленне аб здарэнні.
  2. Змякчыць наступствы інцыдэнту.
  3. Класіфікуйце эфекты па прыведзенай вышэй шкале.
  4. Расследуйце інцыдэнт.
  5. Вызначце прычыну здарэння.
  6. Аднавіць сістэмы і даныя, якія былі закрануты інцыдэнтам.
  7. Паведаміце пра інцыдэнт зацікаўленым бакам.
  8. Зарэгіструйцеся і паведаміце пра інцыдэнт.

Інструменты і рэсурсы

IRT будзе выкарыстоўваць наступныя інструменты і рэсурсы для рэагавання на інцыдэнты:

  • Праграмнае забеспячэнне для бяспекі: Sophos, Crowdstrike
  • Сістэмы рэзервовага капіявання і аднаўлення дадзеных: Cohesity, Arcserve, OneDrive
  • Каналы сувязі: электронная пошта, тэкст, сацыяльныя сеткі
  • Староннія эксперты па кібербяспецы: NJ Edge, CyberSecOp, кансультанты Cybersecurity Insurance

Тэставанне і навучанне

IRT будзе рэгулярна правяраць працэдуры і інструменты і навучацца ім.

План зносін

IRT будзе мець зносіны з наступнымі зацікаўленымі бакамі ў выпадку інцыдэнту:

  • Студэнтам
  • факультэт
  • Персанал
  • сродкі масавай інфармацыі
  • Правапрымяненне
  • Рэгулюючыя органы

Метрыкі і справаздачнасць

IRT задакументуе ўсе аспекты інцыдэнту, уключаючы, але не абмяжоўваючыся, тып інцыдэнту, сур'ёзнасць, наступствы, рэакцыю і рашэнне. Дакументацыя будзе надзейна захоўвацца і даступная толькі ўпаўнаважанаму персаналу.

IRT будзе збіраць і аналізаваць наступныя паказчыкі, звязаныя з інцыдэнтамі:

  • Колькасць здарэнняў
  • Кошт інцыдэнтаў
  • Час акрыяць ад інцыдэнтаў

Намеснік віцэ-прэзідэнта па тэхналогіях і ІТ-дырэктар будзе дакладваць аб гэтых паказчыках апякунскаму савету HCCC.

Агляд і абнаўленне

ІТ-дырэктар AVP будзе штогод разглядаць ISIRP і абнаўляць яго, каб адлюстраваць зменлівы ландшафт бяспекі і змяняюцца патрэбы HCCC.

Зацверджана Кабінетам міністраў: май 2023 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

Вярнуцца да Policies and Procedures