Вы находитесь на странице: 1из 1

40    Процесс реагирования на компьютерные инциденты

пания, которую вы нанимаете, несет ответственность за постоянное обучение


своих сотрудников в этой области.
Если вы планируете передать работу по реагированию на инциденты, убе-
дитесь, что у вас есть четко определенное соглашение об уровне предостав-
ления услуги, которое соответствует установленным ранее уровням серьез-
ности. На этом этапе вы также должны определить охват команды, учитывая
необходимость круглосуточных операций.
Здесь вам нужно будет определить:
 смены, а именно то, сколько смен будет доступно для круглосуточного
покрытия;
 распределение команды, т. е. то, кто будет работать в каждой смене,
включая штатных сотрудников и подрядчиков;
 дежурный процесс – рекомендуется иметь дежурную ротацию для тех-
нических и управленческих ролей в случае необходимости обострения
проблемы.

Жизненный цикл компьютерного инцидента


У каждого начинающегося инцидента должен быть конец. То, что происходит
между началом и  концом, – это разные фазы, определяющие результат про-
цесса реагирования. Это непрерывный процесс, который мы называем жиз-
ненным циклом инцидента. То, что мы описывали до сих пор, можно считать
подготовительным этапом. Однако этот этап шире, поскольку он также имеет
частичную реализацию мер безопасности, которые были созданы на основе
первоначальной оценки рисков (предполагается, что это было сделано еще до
создания процесса реагирования на инциденты).
На этапе подготовки также включена реализация других мер безопасности,
таких как:
 защита конечных точек;
 защита от вредоносных программ;
 сетевая безопасность.
Этап подготовки не является статичным, и на следующей диаграмме видно,
что этот этап будет получать исходные данные от действий после инцидента.
Другие фазы жизненного цикла и  их взаимодействие также показаны на
рис. 2.3.
Фазы ОБНАРУЖЕНИЕ и СДЕРЖИВАНИЕ могут иметь несколько взаимодей-
ствий в одном и том же инциденте. Как только цикл закончится, вы перейде­те
к этапу действий после инцидента. В последующих разделах эти три этапа бу-
дут рассмотрены более подробно.

Обработка инцидента
Обработка инцидента в контексте жизненного цикла реагирования включает
фазы обнаружения и сдерживания. Чтобы обнаружить угрозу, ваша система об-