Articles

インシデントレスポンスのステージ

by admin

インシデントレスポンスを話すとき、インシデントを処理する際に従う標準的なプロセスは、次のステー最も重要な段階。 準備は、インシデント対応機能の有効性を決定します。 実際には、準備の本質はプロセス全体を通して織り込まれています。 準備は、効果的なインシデント処理の暗黙の重要な機能が明示的に記載されている段階でもあります。 適切な準備は、インシデント対応チームの成熟度を決定し、ビジネスへの影響を定量的に測定することができます。

準備の焦点は次のとおりです:

  • ポリシー
  • コミュニケーション
  • ツール
  • トレーニング
  • 責任

ポリシー

インシデント対応計画が効果的であるためには、非常に最初のス このバックアップにより、組織全体がインシデント対応計画をサポートし、成功するための能力を最大化するために必要な時間とリソースを提供することが保証されます。 エグゼクティブサポートは、当初、組織のリーダーシップによって署名されたポリシーの形で現れます。 良いポリシーは、それを達成するために必要な権限を与えることによって、インシデント対応チームの使命を保護します。 このポリシーは、組織がインシデントにどのように対応するかを指示する一連の原則、ルール、または慣行を記述しています。

ポリシーの定義は、インシデントの影響を受ける可能性のある情報セキュリティの領域が多いため、困難なプロセスになる可能性があります。 許容可能な使用、従業員の解雇、データアーカイブ、アクセス制御、およびパスワード管理は、インシデント対応の触手がどのように広がるかのほんの一例です。 ポリシーは、個々の任務のために競合するニーズを持つ可能性のある複数の部門に影響を与える可能性があります。 法的、規制、および運用上の要件を満たす包括的なポリシーを作成するには、時間とリソースに多大な投資が必要になる可能性があります。 しかし、効果的なインシデント対応チームの実装を容易にするために、組織全体がどのように機能するかを理解するために必要なステップです。

責任

ポリシーを作成するプロセスは、インシデント対応プロセスをサポートするために必要なさまざまな役割に焦点を当て始めます。 セキュリティマネージャやアナリストなどの従来のインシデントの役割は明確になる傾向があります。 インシデントを修復するチームの能力を成功させるためには、他の部門からの機能横断的なサポートが不可欠です。 これらの部門は、法律、コンプライアンス、および広報の懸念の周りに事件の影響をナビゲートします。

識別されたロールは、インシデント応答プロセスに対して明示的に定義された責任を持つ必要があります。 役割には、組織が現在実行しているインシデント対応プロセスのフェーズに応じて異なる責任があります。

インシデント対応チームのイメージ

コミュニケーション

ポリシー開発を通じて行われた分析は、インシデント インシデント対応計画の策定中の一般的な失策の1つは、インシデントの処理における主要な利害関係者を特定することを怠っていることです。

法律や規制は、インシデントが発生した場合に組織が通信しなければならない外部のエンティティを指示することがあります。 通信計画は、これらのエンティティを識別し、通知の手順を定義する必要があります。 計画を策定する際には、ベンダー、顧客、およびサービスプロバイダに特別な注意を払う必要があります。

コミュニケーション計画はまた、法執行機関を関与させるときのための明確なガイドラインを設定する必要があり、誰が組織と機関の間で調整 セキュリティ事件が刑事告発につながらない主な理由は、組織が事件と法執行機関とのコミュニケーションを正しく処理しなかったことです。 リードコンタクトとして指定された人物は、組織および法執行機関によって定義された手順に対応する明確かつ一貫した方法で法執行機関と通信す

ツール

ポリシー作成プロセスの重要なコンポーネントは、インシデント対応チームの機能を定義することです。 インシデント対応チームの責任を明確に定義することは、組織を成功させるために不可欠です。 一部のサービスは内部で処理される場合があり、他のサービスは外部委託される場合があります。 実装されているツールは、定義された機能に沿ったものになるように設計されています。

インシデント対応計画の各フェーズには、それに関連付けられたツールがあります。 検出と分析フェーズには、インシデントレポートの合理化、ネットワークトラフィックのキャプチャ、行動分析を行うためのツールがあります。 インシデントの封じ込めと復旧フェーズには、ネットワーク/システムへのアクセスを制限し、定義された復旧時間内にサービスの復元を容易にす インシデント後のツールを使用して、組織の脅威インテリジェンスとナレッジベースを更新できます。

トレーニング

ツールと手順が定義されたら、インシデント対応プロセスに関与するすべてのスタッフを定期的に訓練する必要があります。 訓練は多くの異なった形態の形を取ることができる。 キーは訓練を異なったシナリオの関連し、取囲むようにすることである。 すべての関連部門を含む卓上演習は、インシデント対応プロセスを微調整する最も効果的な方法の1つです。 卓上演習は、参加者が集まり、インシデントプロセスを議論する模擬演習です。 これは、ライブ演習で取得することは困難であり、組織内のすべての役割に包括的である柔軟性を提供します。 卓上の練習は構成があるかもしれないギャップを識別することができるように可能にする。 彼らはまた、組織が制御された環境で学んだ教訓を適用することができます。

定期的な練習は、あなたの会社がライブインシデント中に最大の効率で実行することができます。

人気のある孫子の引用は、”自分自身を知って、あなたはすべての戦いに勝つでしょう。”自分自身を知ることは、準備段階で細心の注意を払い、弱点を発見するために意図的な練習を行うことになります。 成熟した効果的なインシデント対応チームは、缶詰の技術ソリューションやその他の魔法の弾丸を介して作成されません。 彼らは、検出、封じ込め、およびインシデント後の活動を実行するための準備に細心の注意を払って構築されています。