План реагирования и восстановления систем после ликвидации кибератак снизит финансовые потери
Федеральная комиссия по регулированию в области энергетики США (Federal Energy Regulatory Commission, FERC) и корпорация North American Electricity Reliability Corporation (NERC) опубликовали доклад, в котором представлены лучшие практики в области реагирования и восстановления систем после ликвидации кибератак – Cyber Planning for Response and Recovery Study (CYPRES).
Почему это важно? Ни одна компания не может считать себя на 100% защищенной от киберинцидентов. Но размер урона от атаки прямо пропорционально зависит от времени простоя систем в результате нее. Поэтому наличие продуманного и отработанного плана восстановления прямым образом снижает финансовые потери.
Представленные процедуры и рекомендации собраны для электроэнергетических компаний, у которых есть операционные компоненты в цифровой среде (промышленные контроллеры, системы управления энергетическим оборудованием и т.п.), однако будут полезны любым другим компаниям, поддерживающим в актуальном состоянии свои планы реагирования на инциденты информационной безопасности и восстановления.
План реагирования и восстановления в основном составе должен определять:
-
Скоуп действий, включая какие активы и ресурсы охватываются документом и при каких условиях.
-
Классификацию событий и инцидентов информационной безопасности.
-
Роли и обязанности персонала, уровни полномочий для реагирования (например, полномочия на отключение оборудования).
-
Требования к отчетности и обмену информацией.
В план рекомендуется включать четыре основных этапа:
-
Подготовка (распределение ролей, тренировочные действия и т.д.).
-
Детектирование и анализ (параметры отклонения от нормального функционирования систем, дерево принятия решений и т.д.).
-
Сдерживание и устранение последствий (сбор улик, выявление и искоренение вредоносной активности и др.).
-
Действия после инцидента (включая обновление текущего плана по результатам отработки события).