Выработка плана реагирования на инциденты
Подобно планам резервного копирования и восстановления после аварий (они ведь у вас имеются, не так ли?), у вас должен быть план реагирования на проявления компьютерной преступности. Это поможет вам действовать правильно, как до инцидента, так и после него, чтобы иметь надежный фундамент и не создавать себе лишних проблем. Это большая тема, которой посвящены специальные книги, но по сути вы должны задокументировать последовательность действий при возникновении инцидента, чтобы вы могли ее выполнить без лишних сомнений, когда что-то произойдет.
С ведома руководства создайте план, который описывает ваши действия, если происходят определенные события. Позаботьтесь о том, чтобы высшее руководство санкционировало некоторые действия, такие как привлечение правоохранительных органов, иначе ваша работа может оказаться под угрозой. В крупных организациях в реагировании, вероятно, примут участие юристы и отдел по связям с общественностью; тогда дело может быстро уйти из ваших рук, и это хорошо, если вы понимаете свою роль в этом процессе, и другие тоже ее понимают. План действий в общих чертах может выглядеть примерно так:
- Локализуйте проблему. Убедитесь, что ваш противник не сможет нанести дополнительный ущерб.
- Начните предварительные операции восстановления, не забывая должным образом сохранять все свидетельства.
- Оцените размер ущерба. Попробуйте быстро определить его денежный эквивалент. Руководство обычно реагирует быстрее, когда речь идет о деньгах.
- Сообщите о проблеме высшему руководству для принятия решения о передаче дела в правоохранительные органы или о проведении внутреннего расследования.
- Решите, проводить ли расследование собственными силами или привлечь сторонних профессионалов.
- Продолжите вашу деятельность, проводя внутреннее расследование или помогая официальным лицам из правоохранительных органов.
