信息安全应急响应程序
1。概述
信息安全事件的发生比以往更频繁。betway苹果阿克伦大学的必须采取适当措施的事件信息安全事件的影响降到最低,这一事件的范围。
2。目的
本程序概述了信息安全事件相关的升级过程UA信息。UA信息安全服务团队必须立即通知的信息安全事件。
3所示。范围
本程序适用于任何系统,服务,设备,过程,或媒体用来访问,存储,或者在电子传输机构数据,音响,或物理格式。本程序适用于个人拥有的系统、设备和媒体;大学拥有系统、服务、设备和媒体;和第三方服务提供商。
4所示。定义
- 信息安全事件- - - - - -任何企图或实际的未经授权的访问、使用、披露、修改或破坏信息包括,但不限于,干扰信息技术gy操作和违反了校规,其政策和标准,和适用的法律法规。
- 信息安全事件的例子包括,但事实并非如此局限于:
- 计算机系统漏洞
- 盗窃或损失系统、设备或媒体
- 未经授权的访问或使用、系统软件或数据
- 未经授权的更改系统,软件,或数据
- 网站上乱涂
- 拒绝服务攻击
- 模拟系统或人
- 干扰IT资源的用途
- 妥协的用户帐户
- 信息安全事件的例子包括,但事实并非如此局限于:
- 事件反应小组- - - - - -个人负责调查数据泄露和其他信息安全事件。这些人可能包括,但不限于UA我信息年代安全年代以空UA总法律顾问办公室,和地方、州和联邦执法机构。
- 事件处理程序- - -信息安全服务工作人员分配通过这一事件反应小组领导effo事件响应rt。
- 机构数据——收集的任何信息或数据,分析,或发布的任何美国阿克伦大学的使命(s)的支持。betway苹果
- 保护机构数据- - - - - -任何信息归类为更多的限制艾德比公共使用由数据所有者或指定的数据管家(s),根据其数据分类标准。
5。报告
- 它是重要的实际或涉嫌信息安全事件报告尽可能早限制恢复的损失和成本。
- To报告n实际或涉嫌信息安全事件,帐目ct:
- E邮件:security@www.jamsic.com
- 电话:(330)972 - 6888
- 重要的是:如果事件造成立即的危险,联系UAPD (330) 972 - 2911
- 在形成报告,包括:
- 你的联系信息包括的名字、部门电子邮件地址如果打电话,和电话号码
- 的描述信息安全问题
- 的日期和时间的问题是第一次注意到(如果可能的话)
- 任何其他已知的资源的影响
- 在任何情况下,不要试图自己调查这一事件。
- 保存一个纽约的证据你可以和打扰尽可能少。
6。响应
- 事件响应团队将fo立即确定一个事件处理程序r可疑的信息安全事件。
- 的事件反应的努力由六个阶段:
1。容器
2。数据收集/恢复
3所示。分析
4所示。通知
5。报告
6。数据保留
- 阶段1:控制
- 只要有可能,事件处理程序将执行网络隔离的时候报道/疑似事件和/或指示系统管理员拔掉网线的疑似机器。
- 事件处理程序将隔离可能破坏主机(s)的控制并及时联系系统管理员或系统所有者创建一个包含事件的计划。注意,事件处理程序可能检疫/通知其他主机根据可疑行为有待验证。在这种情况下,系统停机时间的影响非常高,事件处理程序将与系统管理员来确定安全帐户特权和消除他们的访问级别。
- 所有用户权限后立即将暂停原始UID决定直到未来的风险是不存在的。
- 一旦验证一个威胁,事件处理程序会通知CIO和继续修复优先级2(数据收集/复苏),通过所有剩余的优先级顺序进行。
- 一旦裁定不存在威胁,事件处理程序将恢复用户特权和继续修复优先级5(报告)并通过所有剩余的优先级顺序进行。
- 第二阶段:数据收集/复苏
- 事件处理程序将收集的数据UA系统管理员或第三方服务提供商来快速评估事件的范围,包括:
- 破坏系统的初步名单和/或服务
- 初步的存储媒体列表可能包含证据和/或破坏数据
- 初步事件最初时间表基于现有证据
- 检查日志应该开始
- 模式的数据恢复,如果需要,应开始接受检查的范围事件后实现的目标是回到部门生产力以最小的数据丢失
- 数据恢复应该开始威胁一旦隔离和视为威胁
- 事件处理程序将收集的数据UA系统管理员或第三方服务提供商来快速评估事件的范围,包括:
- 第三阶段:分析
- 事件处理程序将建立是否有合理的相信一个攻击者成功访问保护机构Dat一个。
- 事件处理程序将生成一个事件时间表和确定的影响和/或行动各方确认的细节妥协。在可能的情况下,一个完整的备份或系统映像analysi可能是必要的年代。
- 事件处理程序会l协调沟通利益相关者之间的包括数据所有者、数据管理、数据托管人和任何相关的合规官员。
- 阶段4:通知
- 事件处理程序会通知事件反应小组,CISO、首席信息官、数据拥有者,在适当的时候事件的记者,下面信息:
- 破坏系统的完整列表和/或服务和相关的uid
- 存储介质,可能包含证据的完整列表和/或破坏数据
- 事件时间表最初基于现有证据
- 所有的结果分析
- 在这种情况下,恶意怀疑和/或机构数据保护公布,指令的CIO, UAPD和总法律顾问办公室通知。
- 事件处理程序会通知事件反应小组,CISO、首席信息官、数据拥有者,在适当的时候事件的记者,下面信息:
- 第五阶段:报告
- 事件处理程序将起草分析后的最终事件报告和通知优先完成并提交信息安全进行讨论。初步报告应该尽可能避免因为工作的结论可以通过调查的大幅改变。
- 技术人员参与控制,数据收集/恢复,或分析可以为他们的参与提供事件报告包含在最后的事件报告,但通常应该通过这个阶段来解决技术问题。
- 对于涉及支付卡数据的关键事件,PCI合规经理将收到报告的一个副本和适当的实体将会通知如果持卡人数据未经授权访问。PCI合规经理将负责所有与支付卡品牌和通信将负责协调活动由支付卡授权品牌的事件。
- 对涉及HIPAA相关的关键事件数据,隐私官员将收到报告的一个副本。隐私官员将遵循notif HIPAA违反通知规则要求应适当的政党。
- 对关键事件涉及FERPA和/或其他保护机构Data,报告将包括每个不允许使用的例子。在适当的情况下,考虑到分析,CIO将获得批准的总法律顾问办公室的报告。
- 信息安全服务将安排一个会议提供最终报告系统管理员,系统所有者,以及负责任的官员。
- 信息安全服务将确保调查的最终报告包括细节和中长期建议改善组织的安全状况和限制在未来发生类似事件的风险。
- 它是数据和/或应用程序所有者的责任违约通知当不存在建立监管通知要求。
- 第六阶段:数据保留
- 信息安全将最终报告存档,以防将来所需的参考;报告必须保留十二(12)个月。
- 事件记录事件处理程序应该保留的十二(12)个月从报告的日期。
- 原始事件数据事件处理程序应该保留的三十(30)天的日期报告。这包括磁盘——图像,过滤netflow内容、原始file-timelines和其他数据收集,但认为不相关的调查。
7所示。相关文档
大学规则3359 - 11 - 10.3:信息安全政策和系统完整性
大学规则3359 - 11 - 10.6:社会安全号码使用政策
大学规则3359 - 11 - 10.8:身份盗窃检测、预防和缓解政策
大学规则3359-11-19:政策和程序发布,选择健康信息的隐私和安全