Стратегия реагирования на инциденты
Другой аспект работы с инцидентами заключается в реагировании на них. Реагирование на инциденты необходимо, когда обнаружен несанкционированный доступ в сеть: когда бригада реагирования обращается к организации и сообщает, что возникла проблема, и им нужно войти в компьютеры организации; или когда кто-нибудь обращается в службу связи с общественностью с сообщением, что в операционной системе или программном обеспечении, которым пользуется организация, имеется проблема.
Подобно отчетности об инцидентах, правилами реагирования на инциденты должна быть определена одна точка для контакта. Это контактное лицо должно отвечать за сбор всех сообщений и готовить меры реагирования на них независимо от того, кто их присылает. Естественно, контактное лицо должно определять, имеет ли сообщение об инциденте какое-то отношение к организации. Правилами безопасности этому лицу могут быть определены полномочия на выполнение всех необходимых действий для решения любой проблемы, возникающей на основе этих сообщений, а также дано право привлекать необходимых специалистов к исследованию этой проблемы.
Работа с независимыми бригадами реагирования подобна работе с любыми независимыми службами за исключением того, что исполнитель работ, заключая с вами договор, может потребовать, чтобы ваша организация работала через отдельное контактное лицо. Например, ваша организация может захотеть, чтобы реагированием на инциденты занимался сотрудник безопасности. Ну, а исполнитель работ может пожелать работать непосредственно с системными администраторами организации, минуя сотрудника безопасности. Разрешение на это требует незначительной корректировки правил, и это должно быть сделано, чтобы обеспечить тесное сотрудничество с бригадой реагирования.