Типы инцидентов
Помимо идентификации инцидента нужно определить область и воздействие проблемы. Важно корректно идентифицировать границы инцидента, для того чтобы эффективно его проанализировать и расставить приоритеты реагирования.
Для того чтобы идентифицировать область и воздействие надо определить набор критериев, которые соответствуют данному узлу и типу доступных соединений. Ниже представлены некоторые вопросы:
(1) |
Охватывает ли данный инцидент несколько узлов? |
(2) |
Инцидент затронул много ЭВМ вашего узла? |
(3) |
Вовлечена ли важная (чувствительная) информация? |
(4) |
Что является входной точкой атаки (сеть, телефонная линия, локальный терминал и т.д.)? |
(5) |
Вовлечена ли пресса? |
(6) |
Каков потенциальный ущерб инцидента? |
(7) |
Каково ожидаемое время улаживания инцидента? |
(8) |
Какие ресурсы нужны на ликвидацию инцидента? |
(9) |
Подразумевается ли привлечение юридической поддержки? |