Incident management (part 4)

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 242/431

Создайте резервный план


Резервный план

Определите критичные функции, сервисы и оборудование CSIRT

Разработайте план обеспечения непрерывности бизнеса и восстановления для критичных сервисов и процессов CSIRT

Заранее проработайте сценарии «что если»

В т.ч. и для сотрудников CSIRT

Проведите тестирование возможности CSIRTфункционировать в чрезвычайной ситуации


Будьте гибки


Универсального рецепта нет

Не бывает двух одинаковых CSIRT

Важное свойство CSIRT – гибкость и адаптивность

Примеры

CSIRT крупного холдинга или группы компаний осуществляет только общее руководство процессом и вырабатывает общие рекомендации для нижележащих CSIRT

ИТ-департамент предприятия успешно справляется с вирусными атаками. В этом случае CSIRT исключает реагирование на вредоносное ПО из своего поля деятельности

CSIRT имеющая максимальные полномочия и, в частности, доступ к оборудованию для изменения его настроек, блокирующих развитие инцидента

CSIRT военного ведомства запрещено общаться с СМИ, а CSIRT университета может делиться техническими деталями


Будьте готовы к неожиданностям

Фактор неожиданности Влияние на CSIRT

Число отчетов об инцидентах,

полученных CSIRT не может быть

предсказуемо заранее

CSIRT столкнется с неожиданной

пиковой нагрузкой и конфликтом

приоритетов

Злоумышленники постоянно

разрабатывают все новые методы

нападения

Тип и сложность сообщений об

инцидентах, отправляемых в CSIRT

будет меняться с течением времени

Новые технологии дают новые

возможности для проникновения

(например, Java или Flash)

Экспертиза, требуемая CSIRT будет

меняться. Сотрудники CSIRT должны

постоянно поддерживать уровень

своих знаний на высоте

Изменение законодательства, в т.ч. и

в части компьютерных преступлений

CSIRT должны постоянно

отслеживать новое законодательство

Различные требования со всех

сторон, с которыми взаимодействует

CSIRT, в соответствие с их

пониманием деятельности CSIRT

Множество ситуаций, когда ресурсов

CSIRT будет недостаточно для

эффективного удовлетворения

противоречивых требований к CSIRT


Не предсказать, но планировать

Будьте готовы к получению и использованию внешних ресурсов в условиях кризиса или будьте готовы к пересмотру или снижению уровня обслуживания на период кризиса

Непрерывное профессиональное развитие в области существующих и новых технологий

Внедрение программы обучения персонала

Своевременный доступ к информационным ресурсам

Поощрение сотрудников на обмен опытом

Постоянное сотрудничество с руководством, юристами и правоохранительными органами

Убедитесь что политики, процедуры и услуги гибки к изменениям


Правовые вопросы управления


Юридические вопросы

CSIRT

Международное право

Национальное право

Корпоративные требования


Юридические вопросы

Консультации с юристами важны и обязательны

Можно наделать ошибок (неосознанно)

Правовые вопросы пронизывает практически всю деятельность CSIRT – от политики до оперативных вопросов

Чего не делать, чтобы не навлечь на себя ответственность?

Как собрать юридически значимые доказательства?

Какую информацию надо раскрывать?

Что будет, если не раскрывать информацию?


Виды правонарушений

Ст.272. Неправомерный доступ к компьютерной информации

Ст.273. Создание, использование и распространение вредоносной программ для ЭВМ

Ст.274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Статья не работает. Судебная практика отсутствует

Ст.183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну

Статья не работает. Судебная практика отсутствует


Виды правонарушений (окончание)

Ст.165. Причинение имущественного ущерба путем обмана или злоупотребления доверием

Ст.138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений


Можно ли забрать заявление?

В процессе расследование правоохранительными органами вы можете принять решение отказаться от их услуг

Это невозможно!

Ст.272-274 УК РФ относятся к делам публичного обвинения и не подлежат прекращению в связи с примирением сторон

Ст.306 Заведомо ложный донос


Знаете ли вы Гражданский Кодекс?

Статья 1095. Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги

Вред, причиненный жизни, здоровью или имуществу гражданина либо имуществу юридического лица вследствие конструктивных, рецептурных или иных недостатков товара, работы или услуги, а также вследствие недостоверной или недостаточной информации о товаре (работе, услуге), подлежит возмещению продавцом или изготовителем товара, лицом, выполнившим работу или оказавшим услугу (исполнителем), независимо от их вины и от того, состоял потерпевший с ними в договорных отношениях или нет

Правила, предусмотренные настоящей статьей, применяются лишь в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях, а не для использования в предпринимательской деятельности


Что анализируют юристконсульты?

Договора с клиентами

Неправильные или юридически ничтожные разделы

Упущения, вредные для CSIRT

Определение сервисов и контроль качества

Гарантии, ответственность (когда что-то пойдет не так)

Политики и процедуры

Можете ли вы уволить сотрудника за попустительство в инциденте?

Можете ли вы использовать несертифицированные СКЗИ для общения с клиентами?

Сколько вы должны хранить доказательства?

Легко ли подделать доказательства при хранении?


Незаконно полученный лог

В США незаконно полученные улики (например, украденные журналы регистрации) могут быть использованы в качестве доказательств

Все зависит от позиции судьи

В ряде примеров, на базе таких «улик» строились целые обвинения

В России такой лог не будет воспринят в качестве доказательства


Что анализируют юристконсульты?

Форс-мажор и отказ от ответственности (disclaimer)

Соглашение о неразглашении

При приеме на работу и увольнении

Для контрактников, приглашенных консультантов и т.п.

Без юридической проверки такое соглашение будет скорее психологической защитой, чем помощью в суде

Другие вопросы

Что вы будете делать, если к вам обратятся правоохранительные органы?


Ответственность

В отличие от США в России не стоит серьезно беспокоиться об ответственности за невыполнение или ненадлежащее выполнение деятельности CSIRT

Но все зависит от ситуации

Проблема Пример

Раскрытие информации CSIRT получила дамп БД с ПДн и не обеспечила

их защиту

Побочные эффекты В новом инциденте вы столкнулись с новой

уязвимостью, о которой забыли уведомить своих

клиентов, которые через месяц столкнулись с

ней и понесли ущерб

Непризнание

обязательного хранения

В ряде случаев вы обязаны информировать

правоохранительные органы о готовящемся

преступлении в отношении государственных ИС


Раскрытие информации

Предсказуемое

• Отчеты

• Уведомления

• Консультации по телефону

Непредсказуемое

• Судебные решения

• Правоохранительные органы

• Утечки информации (от доверенных экспертов или бывших сотрудников)

• Утечка во время вторжения в CSIRT


Ответственность (продолжение)


Неадекватное

определение сервиса

Вы не указали в договоре, что в праздничные

дни CSIRT не работает и клиент, обратившись в

этот период, не смог получить в оговоренные

договором сроки помощь (а само понятие

праздничные дни у вас определено?)

Не соблюдается значение

уровня сервиса

Вы пообещали поддержку в реальном времени и

не смогли обеспечить ее в период кризиса

Не соблюдается значение

показателя качества

Вы не отреагировали в течение объявленных

вами 4-х часов и клиент потерял деньги

Ссылки на физических

или юридических лиц

Вы делаете заявления, из которых следует что

некто участвовал в атаке. Это может нанести

ущерб деловой репутации

Раскрытие персональных

данных

Наступление ответственности зависит от того,

кто запрашивает и кому передаются ПДн


Ответственность (окончание)


Распространение ложной

информации

Вы распространяете информацию о серьезной

уязвимости в ОС Windows. Microsoft не рада

этому

Вы сообщили об уязвимости, но рекомендация

об устранении не работает. Если это не

очевидно, то в результате клиент мог понести

убытки

Некорректный совет

(неполный,

несвоевременный или

неверный)

Вы информируете клиента об изменениях в

МСЭ, но изменение ACL приводит к

бесконтрольному открытию границы

Вы предоставили клиенту устаревшую

информацию, в то время как лучшие

рекомендации уже опубликованы. Клиент мог

пострадать от устаревшего ответа


Как себя обезопасить?

Используйте юридически «безопасные» фразы из стандартных договоров

Удалите все определения сервисов или показателей качества, которые могут быть неверно, трудно истолкованы или юридически непонятны

Проверьте отказы от ответственности

Определите процессы, политики и процедуры, а также внедрите процессы документирования, соблюдения порядка и контроля, чтобы доказать, что принимали все необходимые меры во время ваших действий

Застрахуйте ваши услуги

Попробуйте оградить CSIRT от ответственности за ущерб


Сервис обработки инцидентов


Функции сервиса «Обработка инцидентов»


Функция «Систематизация»


Функция «Систематизация»

Функция «Систематизация» является единой точки контакта и координации для приема, сбора, классификации и передачи поступающей информации для дальнейшей обработки

Иногда эта функция является единственным каналом, через который проходит вся внешняя информация независимо от метода получения информации (телефон, e-mail, факс и т.д.)

Дополнительные операции, которые могут быть осуществлены в рамках данной функции

Архивирование

Перевод (например, в штаб-квартиру)

Медиа-подготовка (для журналистов)


Как сделать функцию эффективной?

Обеспечить понятный и простой механизм отчетности

Четко определенная точка контакта

Четкая информация о доступности точки контакта

Простая и четкая процедура контакта

Понятные инструкции по оформлению отчета об инциденте

Что CSIRT будет делать с полученной информацией?

Когда будет ответ?

Будет ли эта информация передана еще кому-нибудь?

Поддерживающие документы (формы, инструкции и т.д.)

Публикация открытых ключей шифрования/ЭЦП

Не забудьте подтвердить получение информации


Последовательность действий

1. Получение информации

2. Расшифрование информации и проверка ЭЦП

При необходимости

3. Отправка подтверждения

4. Классификация информации

5. Приоритезация информации

6. Определение отношения с текущими или прошлыми событиями

7. Переход к другой функции CSIRT


Успех/неуспех инцидента

Если вас просто сканируют, то стоит ли фиксировать это как инцидент?

Если ваш сотрудник сообщил вам о подозрительном звонке, в котором неустановленное лицо пыталось узнать телефоне или о реквизитах доступа, то стоит ли инициировать расследование?

Как минимум, поблагодарите за бдительность

Если ваш антивирус отразил вредоносную программу, то это инцидент или нет?

«Неудачным» инцидентам обычно внимания не уделяется, т.к. «злоумышленник не достиг своей цели»

А может это только подготовка к массированной или точечной атаке?


Аналогия: успех/неуспех инцидента

Ваш автомобиль пытались вскрыть, но неудачно…

Оставите ли вы это без внимания или, как минимум, задумаетесь о защите автомобиля?

А если неудачных попыток было больше одной?


Время работы

66% CSIRT функционируют только в рабочее время

Если CSIRT централизованная, то она должна учитывать разные часовые пояса, в которых находятся дочерние предприятия и офисы

34% CSIRT функционируют и за пределами рабочего времени

24% CSIRT предлагают режим 24х7х365


Откуда обычно приходит сигнал тревоги?

Электронная почта – 93%

Телефон – 79%

Отчеты системы обнаружения атак – 69%

Неожиданно (на улице) – 41%

Форма отчета об инциденте – 17%

Web-сайт – 38%


Трекинг коммуникаций

Используйте трекинг всех коммуникаций

Это облегчает отслеживание всей информации

Для разных типов коммуникаций используйте разные префиксы

Например, CSIRT#, VU#, INFO# для разных функций

Уникальная нумерация

Она не должна повторяться даже по прошествии времени

Например, в DFN-CERT за 4 года работы было использовано только 600 номеров из диапазона от 1 до 65535

Например, CERT/CC использует ДСЧ для генерации номеров

Например, в AusCERT использовалась схема YYMMDDHHMMпо дате «открытия инцидента» (не раскройте чужие секреты)

Уникальными должны быть номера при общении с иными CSIRT


Жизненный цикл трекингового номера

Обычно трекинговый номер присваивается информации и не меняется до завершения процесса обработки

Но бывают исключения из правил

Информация неправильно категоризирована

Например, событие не новое, а связано с уже известными

Информация неправильно помечена

Например, информация пришла с неправильным номером

Событие открыто повторно

Поступила новая информация к закрытому событию

Событие объединяется

Поступила новая информация, позволяющая объединить его


Формы отчетности

Заранее подготовленные формы отчетности облегчают работу CSIRT

В ряде случаев стоит предусмотреть возможность свободного описания инцидента

Они должны максимально четкими, понятными, сжатыми и доступными для всех клиентов

Обычно в формы включают следующие данные

Контактная информация

Имена и адреса узлов, участвующих в инциденте

Природа активности

Описание активности и сопутствующей информации (часовые пояса, журналы регистрации. артефакты…)

Сопутствующие трекинговые номера


Пример содержания отчета об инциденте

Дата и время отчета

Время начала и длительность инцидента

Включая часовой пояс (временную зону)

Имя атакованной системы

Местоположение атакованной системы

Тип атакованной системы

ОС и IP-адрес атакованной системы

Контактная информация персоны, зафиксировавшей инцидент

Контактная информация специалиста по ИБ

Описание и возможные последствия инцидента


Пример содержания отчета об инциденте (продолжение)


Пример содержания отчета об инциденте (окончание)


Об отчетности

Форма отчета может быть представлена как в виде отдельного документа/файла, так и в виде Web-формы на портале службы ИБ/ИТ

В зависимости от реализации внутренних процессов CSIRT данная форма может быть расширена и внутренними полями, необходимыми для работы CSIRT

Трекинговый номер

Ущерб от инцидента

Меры по борьбе с инцидентом

Финальные рекомендации


Дополнительные формы отчетов


Как фиксируются инциденты?

СУБД – 76%

Remedy HelpDesk и Action Request System

MS SQL, Oracle, MS Access, Lotus Notes

Бумажные отчеты – 10%

СУБД и бумажные отчеты – 28%

Кастомизированные СУБД – 45%

Специализированное ПО – 28%

Request Tracker for Incident Response (RTIR) у JANET

Vorfallsbearbeitungssystem у DFN-CERT

CERIAS Incident Response Database

Freeman Incident Tracking System от University of Chicago


ПО для трекинга инцидентов

Модификация первичной категории инцидента

Доступ ко всем связанным e-mail

Реагирование на запрос по e-mail

Связывание действий с инцидентом

Поиск, сортировка, корреляция по различным полям

Генерация отчетов и статистики

Анализ загрузки технических экспертов

Открытие/закрытие/эскалация/смена статуса отчета

Система напоминаний


Звонят! Кто это? Вы уверены?

Вам может звонить как атакуемый, так и атакующий, желающий узнать, что вы знаете об инциденте и на какой стадии расследования он находится

Общие правила

Источник сообщения вам известен и зарегистрирован?

Информация поступает через стандартный канал?

Есть что-то странное в поступившей информации?

Не уверены? Проверьте еще раз!

Для электронной почты

Адрес e-mail вам известен?

ЭЦП под сообщением корректна?

Заголовок электронной почты корректен?

Домен отправителя доверенный? (через senderbase.org)


Звонят! Кто это? Вы уверены? (окончание)

Вам может звонить как атакуемый, так и атакующий, желающий узнать, что вы знаете об инциденте и на какой стадии расследования он находится

Для Web-формы

Проверьте сертификат браузера при подключении по HTTPS

IP-адрес доверенный (через senderbase.org)

При подозрениях не кликайте на ссылках и не скачивайте ПО

Для телефонного звонка

Вы узнали звонящего по имени или голосу?

Уточните информацию, которую звонящий должен знать

Перезвоните по телефону, связанному с данным контактом

При подозрении говорите только о публично доступной информации


Функция «Обработка»


Функция «Обработка»

Функция «Обработка» обеспечивает поддержку и руководство в отношении подозрительных или подтвержденных инцидентов, угроз и атак

Включает в себя различные мероприятия и операции

Рассмотрение отчетов от внешних контактов и внутренних клиентов позволяет понять, что произошло

Анализ включает в себя обзор доказательств и артефактов, чтобы определить, кто вовлечен в инцидент / с кем нужно контактировать, или какая помощь запрошена / нужна

Определение необходимых мер реагирования

Уведомление пострадавших и(или) связь с автором отчета


Жизненный цикл обработки инцидента

До получения необходимой информации или результата определенных действий инцидент может находиться в состоянии «ожидание»


Взгляд сверху

Прежде чем заниматься глубоким анализом необходимо составить для себя картину с «высоты птичьего полета»

Тенденции

Статистика

Тематические исследования

Позволяет лучше разбираться в будущих инцидентах и выявить накопленный опыт

Неплохой рекомендацией будет создание баз знаний

Получить сложно из-за разрозненности информации

Необходимы регулярные встречи членов команды


Анализ

От качества проведенного анализа зависит эффективность CSIRT

Первичный анализ проводится на этапе категоризации

Пример: приемное отделение в больнице (или скорая помощь) осуществляет первичный осмотр, а последующий анализ (ЭКГ, анализ крови и т.п.) осуществляется специалистами соответствующих отделений

2 типа анализа - анализ взаимоотношений между инцидентами и

Анализ непосредственно инцидента

Анализ артефактов (может быть отдельным сервисом)

Анализ окружения, в котором произошел инцидент и т.п.


Глубина анализа

Фактор глубины анализа Комментарии

Миссия команды и ее

технические возможности

Вы занимаетесь защитой или только

координацией? Если у вас нет технических

возможностей, то и глубина анализа будет

небольшой.

Приоритет инцидента При нехватке ресурсов анализу подлежат

только высокоприоритетные инциденты.

Шанс повторения Ждете повторения? Подготовьтесь к нему,

проведя глубокий анализ инцидента.

Возможность

идентификации новой

активности

Если вы столкнулись с чем-то новым, то

изучите это.

Поддержка от клиентов Если клиент только просигналил о

подозрительной активности, но не смог

дать детали, то и глубокого анализа не

получится.


Если ресурсов не хватает?

Анализ логов

Учитывайте, что почти каждая система генерит свой собственный лог

Анализ артефактов

Вредоносного ПО, файловой системы и программного окружения

Обеспечение рекомендаций по борьбе с инцидентами или предоставление средств борьбы (например, патчей)

Активное разрешение проблемы

Анализ (аудит) безопасности узлов

Анализ исходного кода


«Нехорошие» признаки

Неоднократные повторы однотипных негативных событий

Выход из строя на долгое время информационной системы

Возникновение негативного события в важные моменты

Сдача годового отчета, электронные торги

Рост сетевой активности в нерабочее время

Предложение помощи от третьего лица одновременно с обнаружением негативного события


Почему в Интернете сложно найти злоумышленника?

Интернет не был разработан для отслеживания пользователей

Адрес источника в IP-пакете может быть легко подменен

Современные угрозы давно превысили параметры, заложенные при создании Интернет

Экспертиза среднестатистического администратора продолжает падать

Атаки часто пересекают границы государств и юрисдикций

При существующих объемах трафика нельзя его долго хранить для будущих расследований


Почему в Интернете сложно найти злоумышленника? (окончание)

Туннелирование и анонимизация скрывает злоумышленника

Проксирование позволяет выдать себя за другого пользователя

Динамическая адресация

Отсутствие адекватных механизмов защиты для современного Интернета


Отслеживание: основные положения

Если префикс источника не фальшивый:

Таблица маршрутизации

Реестр Интернет-маршрутизации (IRR) — whois

Непосредственный выход на сеть

Если префикс источника фальшивый:

Отследите маршрут потока пакетов по сети

Найдите входящее соединение

Следующий оператор связи должен продолжать поиск


Отслеживание по подмененным адресам IPv4

Методы поиска следов:

Примените временные ACL с протоколированием записей и изучите журнал (Log) (подобно классификации)

Запросите таблицу потоков NetFlow’s

Show ip cache-flow при использовании NetFlow

Команда IP source tracker

Метод поиска следов по обратному распространению

Отслеживание с использованием телеметрии NetFlow


Документирование инцидента

Информация для контроля Комментарии

Локальный номер инцидента

Глобальный номер

инцидента

Ключевые слова и категория Информация, помогающая установить

связь с другими инцидентами

Контактная информация Контакты всех лиц, задействованных в

инциденте

Политика Какие нормативы регулируют данный

инцидент

Приоритет Приоритет может поменяться в рамках

жизненного цикла инцидента

Другие материалы Местоположение материалов, связанных

с инцидентом


Документирование инцидента (окончание)

Информация для контроля Комментарии

История инцидента Хроника всех коммуникаций по данному

инциденту (e-mail, телефон, факсы…)

Статус Список прошедших и будущих действий,

каждое из которых связано с конкретным

членом CSIRT

Действия

Координатор

Показатели качества

Текстовое описание Свободное описание информации, не

попавшей в предыдущие поля


Функция «Уведомления»


Функция «Уведомление»

Функция «Уведомление» обеспечивает создание информации для клиентов о текущих угрозах и шагах, предпринимаемых для борьбы с ними, а также о тенденциях в области ИБ

Может быть представлена и как отдельная служба CSIRT


Формы уведомлений

Heads-up

Краткое сообщение, когда дополнительной информации нет

Alert

Краткосрочное сообщение об атаке, уязвимостей, проникновении

Advisory

Среднесрочное или долгосрочное описание проблемы с кратким описанием путей решения

FYI

Облегченная версия advisory


Формы уведомлений

Руководство

Пошаговая процедура действий, устраняющих проблему

Техническая процедура

Руководство с большим количеством технических деталей


Каналы распространения

Чувствительность информации

Защищенный канал или нет для данной информации?

Аудитория для анонса

Этот канал подходит для данной информации?

Скорость

Этот канал обеспечивает быструю доставку информации?

Цена

Ожидаемые результаты распространения информации стоят усилий (деньги, время, люди)?


Функция «Обратная связь»


Функция «Обратная связь»

Функция «Обратная связь» напрямую не связана с конкретными инцидентами

Обычно предоставляется

По явному запросу (например, от СМИ)

На регулярной основе (например, в годовых отчетах)

По собственной инициативе (например, с целью повышения осведомленности СМИ)

Часто представляется также в форме FAQ или является интерфейсом для взаимодействия со СМИ


Разбор последствий

Разбор последствий - анализ события

Шаг, который часто забывают

Что работало? Что не работало? Что можно улучшить?

Что может быть сделано для защиты от повторения подобных происшествий?

Что вы можете сделать, чтобы в будущем отражение атаки прошло более быстро и менее болезненно?

Пример

Была ли DDоS-атака, с которой Вы только что справились, действительно реальной угрозой?

Или это было прикрытие для чего-то другого, что только что случилось?


Как общаться с внешним миром?


О чем стоит подумать при общении с внешним миром?

Сообщать об инциденте или нет?

Кому сообщать?

Кто должен сообщать?

Что и в каком объеме сообщать?

Какова процедура взаимодействия с прессой?


Почему это важно

Ущерб от инцидента обычно распадается на 3 основные составляющие

Финансовый урон

Уголовное или административное преследование

Удар по репутации и доверию


Хороший пример: SANS

Сайт института SANS был взломан в середине 2001 года

Для компании, занимающейся безопасностью, хуже ситуации не придумаешь

Грамотная работа с прессой позволила минимизировать ущерб


Плохой пример: ChoicePoint

Падение курса

акций

ChoicePoint – Зима 2004/2005

Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.

Воздействие на бизнес

Администрация штата Нью-Йорка отказалась от контрактас ChoicePoint на сумму 800миллионов долларов


Когда не надо сообщать

Небольшая малоизвестная компания

Ущерб не коснулся клиентов и иных третьих лиц

Вы на 100% уверены, что об этом никто не узнает

Когда у вас нет доказательств


Сообщать или нет?

В ряде стран это является требованием законодательства

США

Россия – 152-ФЗ

Высока вероятность, что об этом все равно станет известно из других источников

Хакерские сайты

Информационные агентства

Собственные сотрудники


К чему это ведет?

Пользователей не вынуждают додумывать «что», «когда», «как» и т.д.

Среди пользователей есть и акционеры

Пресса благосклонно относится к признанию своих ошибок

При правильно построенном процессе

Может привести к росту лояльности клиентов

Они видят, что их не обманывают


Кому сообщать?

Акционеры

Сотрудники

Клиенты

Регулирующие и правоохранительные органы

Разным аудиториям нужно предоставить разный объем информации


Члены CIRT / SIRT / CSIRT

Ядро CSIRT

Департамент ИТ

Отдел информационной безопасности

Служба безопасности

Юридический департамент

Вспомогательные службы

Public Information Officer / PR


Кто взаимодействует с внешним миром

Только не CSIRT

Служба безопасности – только с регулирующими органами

Юридический департамент –опосредованно с прессой

Причины

CSIRT и так занята основной работой

Необходимо умение общаться с неквалифицированной аудиторией


Public Information Officer / PR

Единая точка контакта с прессой

Получение совета у юридического департамента перед любым интервью или публикацией пресс-релиза

Получение разрешения у CSIRT на то, что пресс-релиз или интервью не содержат информации, которая может помешать расследованию

Сообщение всем сотрудникам, что все контакты по поводу инцидента должны вестись только через PIO / PR


Юридический департамент

Выступление в качестве спикера или интервьюируемого

Проверка любого пресс-релиза перед передачей в прессу


Что обычно спрашивают?

Что произошло?

Каков ущерб/результат?

Что было причиной?

Это может повториться?

Что надо сделать (что вы сделаете), чтобы избежать этого впредь?


Как готовиться к интервью?

Узнайте как можно раньше об интервью

Определитесь с основными тезисами

Поставьте себя на место интервьюера,предугадайте «сложные» вопросы и подготовьте на них ответы


Как проводить интервью?

Установите взаимопонимание с интервьюером

Обеспечьте простые объяснения сложных технических подробностей

Ведите интервьюера к поставленной вами цели и не давайте вести себя


Как проводить интервью? (продолжение)

Старайтесь уйти от темы виноватого или будьте скупы в ответе на такие вопросы

Обещайте все исправить в кратчайшие сроки

И не удивляйтесь, если в обещанное время вам позвонят и спросят: «Ну как?»



Используйте предложения, короткие «как выстрел»

Не знаете что-то, так и скажите и пообещайте найти ответ

И не забудьте найти его

Не запугивайте и не угрожайте



Устраните весь негатив

А еще лучше превратите его в позитив

Будьте дипломатичны и всегда говорите правду

Оденьтесь соответственно


Как проводить интервью? (окончание)

Избегайте психологического дискомфорта – не виляйте взглядом, не сутультесь…

Обязательно попросите прислать готовый материал для просмотра

Не забывайте, что вы интервьюируемый – вы можете прекратить интервью в любое время


Пресс-релиз Microsoft


Пресс-релиз «Северной Казны»


Пресс-релиз Cisco Systems


Пресс-релиз Лаборатории Касперского


Пресс-релиз ChoicePoint

Incident management (part 4)

Self Improvement

Transcript of Incident management (part 4)