Вы находитесь на странице: 1из 1

Команда реагирования на компьютерные инциденты     39

В дополнение к этим фундаментальным областям процесс реагирования на


компьютерные инциденты также должен определить, как он будет взаимодей-
ствовать с третьими сторонами, партнерами и клиентами.
Например, если произошел инцидент и в ходе расследования было установ-
лено, что произошла утечка персональных данных клиента, то как компания
сообщит об этом средствам массовой информации? В процессе реагирования
на инциденты общение со СМИ должно быть согласовано с политикой безопас­
ности компании при раскрытии данных. Юридический отдел тоже должен быть
вовлечен до выхода пресс-релиза, чтобы гарантировать, что с заявлением не
будет никаких юридических проблем. Процедуры по привлечению правоохра-
нительных органов также должны быть задокументированы в процессе реаги-
рования на компьютерные инциденты. При документировании принимайте
во внимание физическое местоположение, т. е. где произошел инцидент, где
находится сервер (при необходимости) и его состояние. Собрав эту информа-
цию, вам будет легче определить юрисдикцию и избежать конфликтов.

Команда реагирования на компьютерные инциденты


Теперь, когда у  вас есть основные области, нужно собрать команду реагиро-
вания. Формат команды будет варьироваться в зависимости от размера ком-
пании, бюджета и цели. У крупной компании может возникнуть желание ис-
пользовать распределенную модель, где есть несколько групп реагирования,
у каждой из которой имеются определенные атрибуты и обязанности. Эта мо-
дель может быть очень полезна для организаций, имеющих географическую
разбросанность, поскольку вычислительные ресурсы расположены в несколь-
ких областях. Другие компании могут захотеть централизовать всю команду
реагирования на инциденты в одном объекте. Эта команда будет обрабатывать
инциденты независимо от местоположения.
После выбора модели, которая будет использоваться, компания начнет на-
бор сотрудников для работы в команде.
Процесс реагирования на компьютерные инциденты требует наличия персо-
нала с технически широкими знаниями, а также глубокими знаниями в других
областях. Задача состоит в том, чтобы найти людей с глубинными и обширны-
ми познаниями в этой области, а это иногда приводит к выводу о необходи-
мости найма сотрудников извне для выполнения некоторых должностей или
даже передачи части команды реагирования другой компании.
Бюджет команды реагирования также должен покрывать непрерывное
улучшение посредством обучения, приобретения надлежащего инструмента-
рия (программного обеспечения) и оборудования. По мере появления новых
угроз специалисты в  области безопасности, имеющие дело с  реагированием
на компью­терные инциденты, должны быть обучены и готовы к тому, чтобы
отреагировать должным образом. Многие компании не в состоянии поддержи-
вать свои кадры в актуальном состоянии, что вовсе не хорошо. При аутсорсин-
ге процесса реагирования на компьютерные инциденты убедитесь, что ком-