Ką tik pranešėte savo organizacijos paskirtam duomenų apsaugos pareigūnui apie galimą asmens duomenų saugos pažeidimą? Norite padėti jam kuo greičiau atlikti šio incidento tyrimą ir padėti savo organizacijai įvykdyti teisės aktų numatytus reikalavimus? Tuomet skaitykite šias rekomendacijas. Čia pateikiamas bendras veiksmų, kurių reikia imtis reaguojant į kibernetinio saugumo incidentą ir jį tiriant, vadovas. Veiksmai gali skirtis priklausomai nuo kiekvieno tyrimo, reikalavimų, veiklos srities ir kt. 

Kaip pradėti

Šioje gairėje paaiškinami pagrindiniai veiksmai, kurių reikia imtis iš organizacijos atstovų pusės, siekiant ištirti galimą duomenų saugumo incidentą. Šie veiksmai trumpai apibendrinti čia:

1. Nustatykite privatumo ir (arba) saugos pažeidimą
Kiekvienas tyrimas prasideda incidento aptikimu. Šiuo žingsniu siekiama nustatyti faktą, kad įvyko duomenų saugumo pažeidimas. Tai galite patvirtinti apžiūrėję duomenų pažeidimo požymius. 

Pasak JAV Kongreso Nacionalinio standartų ir technologijų instituto (NIST), yra dviejų tipų duomenų pažeidimo ženklai: pirmtakai ir rodikliai.

Pirmtakas yra ženklas, kad ateityje gali įvykti incidentas. Gali būti:

  • Žiniatinklio serverio žurnalai, nurodantys pažeidžiamumų organizacijos tinkle paiešką
  • Pažeidžiamumo, turinčio įtakos organizacijos tinklui, atradimas
  • Įsilaužėlių grupės pranešimas, kad jie ketina užpulti organizaciją
  • Duomenų apsaugos pareigūno ar išorinio auditoriaus, atlikusio asmens duomenų apsaugos auditą ar tyrimą pateiktos didelio reikšmingumo rekomendacijos (pavyzdžiui, audito metu nustatyti pažeidimai, klaidos, netikslumai yra sisteminiai ir jie iš esmės daro neigiamą įtaką audituojamo subjekto audituojamai veiklai).

Apskritai pirmtakai yra reti ir dažniausiai padeda organizacijoms išlikti budrioms.

Rodiklis yra tiesioginis ženklas, kad incidentas galėjo įvykti arba vyksta šiuo metu. Įprasti duomenų pažeidimo rodiklių pavyzdžiai:

  • Buferio perpildymo bandymai prieš duomenų bazės serverį
  • Keli nesėkmingi prisijungimo bandymai iš nepažįstamos nuotolinės sistemos
  • Atmesti el. laiškai su įtartinu turiniu

Štai keletas svarbių klausimų, kuriuos reikia užduoti sau, atsakyti į juos ir atsakymus pateikianti tyrimą atliekančiam duomenų apsaugos pareigūnui:

  • Kas turi įtakos pažeidimui? Įvertinimas gali apimti peržiūrą, ar pažeidimas paveikė asmenis ir organizacijas, paveiktų duomenų jautrumo lygį, kiek asmenų ir organizacijų paveikė ir ar kuris nors iš asmenų turi asmeninių aplinkybių, dėl kurių jie gali ypatinga žalos rizika.
  • Kokia buvo pažeidimo priežastis? Vertinant gali būti patikrinta, ar pažeidimas įvyko kaip tikslinės atakos dalis, ar dėl netyčinės priežiūros. Ar tai buvo vienkartinis incidentas, ar jis atskleidžia labiau sisteminį pažeidžiamumą? Kokių veiksmų buvo imtasi siekiant sustabdyti pažeidimą? Ar duomenys atkurti? Ar duomenys yra užšifruoti arba kitaip nėra lengvai pasiekiami?
  • Kokia numatoma žala nukentėjusiems asmenims / organizacijoms? Atliekant vertinimą gali būti peržiūrima, kaip galima panaudoti duomenis. Pavyzdžiui, ar jis gali būti naudojamas tapatybės vagystei, grėsmei fiziniam saugumui, finansiniams nuostoliams ar reputacijos sugadinimui? Kas gauna duomenis? Kokia yra tolimesnės prieigos, naudojimo ar atskleidimo, įskaitant žiniasklaidą ar internete, rizika?
2. Imkitės skubių reagavimo į incidentus veiksmų

Yra keletas skubių veiksmų, kurių turėtumėte imtis, kai aptinkamas duomenų pažeidimas. Pirmas dalykas, kurį turėtumėte padaryti po aptikimo, yra įrašyti aptikimo datą ir laiką, taip pat visą informaciją apie incidentą šiuo metu.

Tada asmuo, aptikęs pažeidimą, turi nedelsdamas pranešti apie tai atsakingiems organizacijoje, įskaitant duomenų apsaugos pareigūną. Prieiga prie pažeistos informacijos taip pat turėtų būti apribota, kad būtų sustabdytas tolesnis nutekėjusių duomenų plitimas.

Apskritai galite laikytis šio bendro kontrolinio sąrašo:

Pirmųjų 24 valandų atsakymo kontrolinis sąrašas:

  1. Įrašykite duomenų pažeidimo aptikimo laiką ir datą
  2. Praneškite atsako komandai, įskaitant duomenų apsaugos pareigūną. Noriu pranešti apie galimą duomenų saugumo pažeidimą
  3. Išskirkite duomenų pažeidimo vietą
  4. Sustabdykite papildomą duomenų praradimą
  5. Surinkite visus galimus duomenis apie duomenų pažeidimą
  6. Apklauskite žmones, kurie atrado duomenų pažeidimą, gaukite jų rašytinius paaiškinimus (tarnybinius pranešimus)
  7. Dokumentuokite incidentą ir visą medžiagą pateikite duomenų apsaugos pareigūnui, kad jis parengtų išvadą
  8. Gaukite iš duomenų apsaugos pareigūno pažeidimo tyrimo išvadą su atliktu rizikos vertinimu
  9. Jei duomenų apsaugos pareigūnas nurodė, praneškite teisėsaugai ir reguliavimo institucijoms
  10. Jei duomenų apsaugos pareigūnas nurodė, praneškite nukentėjusiems duomenų subjektams.
3. Surinkite įrodymus
Visų įrodymų, susijusių su duomenų pažeidimu, rinkimas ir patikrinimas yra kitas žingsnis atsižvelgiant į geriausią reagavimo į duomenų pažeidimą praktiką. Įsitikinkite, kad renkate duomenis iš visų savo kibernetinio saugumo įrankių, serverių ir tinklo įrenginių ir renkate informaciją iš savo darbuotojų pokalbių metu bei gaudami jų rašytinius paaiškinimus (tarnybinius pranešimus).

Visų pirma, veikite greitai ir surinkite kuo daugiau informacijos apie duomenų pažeidimą. Kuo geriau suprasite situaciją, tuo didesnės jūsų galimybės sumažinti pasekmes.

Duomenų, kuriuos turėtumėte rinkti, sąrašas apima:

  1. Data ir laikas, kai buvo aptiktas duomenų pažeidimas
  2. Atsako duomenų saugumo pažeidimą pradžios data ir laikas
  3. Kas aptiko pažeidimą, kas apie tai pranešė ir kas dar žino apie tai
  4. Kas buvo peržiūrėta, pakeista ar pavogta ir kaip
  5. Visų su įvykiu susijusių įvykių aprašymas
  6. Informacija apie visus su pažeidimu susijusius kontaktus
  7. Įvykio paveiktų sistemų identifikavimas
  8. Informacija apie incidento padarytos žalos mastą ir rūšį

Kai organizacija sužino apie galimą pažeidimą, suprantama, kad norima nedelsiant jį ištaisyti. Tačiau nesiimdami reikiamų veiksmų ir neįtraukdami reikiamų žmonių, galite netyčia sunaikinti vertingus ekspertizės duomenis, kuriuos tyrėjai naudoja siekdami nustatyti, kaip ir kada įvyko pažeidimas, ir pateikti rekomendacijas, kaip tinkamai apsaugoti tinklą nuo dabartinės atakos ar panašių išpuolių ateityje.

Kai pastebėsite pažeidimą, atminkite:

  • Nepanikuokite
  • Neleiskite panikai priversti jus imtis skubotų veiksmų
  • Nevalykite ir iš naujo neįdiekite savo sistemų (dar)
  • Laikykitės savo reagavimo į incidentą plano
4. Ištirkite duomenų pažeidimą
Surinkę kuo daugiau informacijos apie įvykį, turite ją išanalizuoti, ištirti. Šiuo žingsniu siekiama nustatyti įvykio aplinkybes, pažeidimo mastą ir paveiktas šalis, apie kurias turite pranešti. Tyrimą paprastai atlieka duomenų apsaugos pareigūnas ir tai įformina savo išvada.

Jums gali tekti atsakyti į keletą klausimų, kurie dar labiau padės atlikti tyrimą:

  • Ar buvo aptiktas įtartinas srautas?
  • Ar užpuolikas turėjo privilegijuotą prieigą prie duomenų?
  • Kiek laiko buvo pažeisti duomenys?
  • Ar duomenų pažeidime dalyvavo žmonės ar speciali programinė įranga?
  • Ar duomenų pažeidimas buvo tyčinis ir ar buvo įsibrovėlių?

Atidžiai išanalizavę informaciją apie duomenų pažeidimą, galite padaryti tam tikras išvadas apie pažeidimo šaltinį, kad jį veiksmingai sustabdytumėte. Be to, ruošdamiesi 5 veiksmui galite surinkti paveiktų arba galimai paveiktų šalių sąrašą.

5. Praneškite susijusioms šalims
Gavę duomenų apsaugos pareigūno parengtą išvadą, joje rasite išvados rezultatus, tarp jų "2.13. Ar reikalinga pranešti VDAI?, "2.14. Ar reikalinga pranešti duomenų subjektui?"? Vadovaukitės šiomis išvadomis.


Paprastai reikalinga pranešti visoms paveiktoms organizacijoms ir asmenims, taip pat teisėsaugai, jei pažeidimas buvo pakankamai reikšmingas. Savalaikis informavimas yra labai svarbi duomenų saugumo pažeidimo tyrimo procedūra, nes tai leis asmenims imtis priemonių, kad apsaugotų prarastus duomenis, pavyzdžiui, pakeistų slaptažodžius arba bent jau būtų atsargūs, jei sukčiai pasinaudotų duomenų pažeidimu. Taip pat atminkite, kad yra privalomi pranešimo terminai, kurių būtina laikytis.

Sąrašas asmenų, kuriems turi būti pranešta, skirsis priklausomai nuo pažeistų duomenų tipo ir gali apimti:

  • Darbuotojai
  • Klientai
  • Investuotojai
  • Verslo partneriai
  • Reguliatoriai
  • Ir kiti
Ypatingą dėmesį atkreipkite į įspėjimo terminus. Jie priklauso nuo taisyklių ir standartų, kurių turite laikytis, ir nuo paveiktų duomenų tipo (asmens duomenys, finansiniai duomenys ir kt.). Laiku nepranešus reguliavimo institucijoms, gali grėsti atsakomybė ir didelės baudos. Plačiau galite skaityti čia: Noriu pranešti apie galimą duomenų saugumo pažeidimą
6. Imkitės izoliavimo, likvidavimo ir atkūrimo priemonių
Gavę duomenų apsaugos pareigūno parengtą išvadą, joje rasite išvados rekomendacijas, tarp jų "3.02. Pasiūlymai dėl organizacinių ir techninių apsaugos priemonių, kurios padėtų pašalinti arba kiek įmanoma sumažinti neigiamus padarinius duomenų subjektų teisėms ir laisvėms", 3.03. Pasiūlymai dėl prevencijos priemonių, padėsiančių ateityje išvengti tokių pačių ar panašių asmens duomenų saugumo pažeidimų. Vadovaukitės jomis.

Kitas žingsnis – sušvelninti ir ištaisyti pažeidimo padarinius. Pažiūrėkime, kaip kiekviena iš šių priemonių gali padėti veiksmingai sušvelninti duomenų pažeidimo pasekmes.

Sulaikymo priemonės

Šių priemonių tikslas yra ne tik izoliuoti pažeistus kompiuterius ir serverius, bet ir užkirsti kelią įrodymų, galinčių padėti ištirti incidentą, sunaikinimui.

Atlikite išsamią duomenų pažeidimo izoliavimo operaciją ir išsaugokite visus įrodymus, būkite atsargūs, kad jų nesunaikintumėte. Pavyzdžiui, jei duomenų pažeidimą sukelia kenkėjiška programa, ji gali nesukurti failų diske, bet gali visiškai atsidurti RAM, nes tokiu būdu sunkiau aptikti. Todėl nepriimtina išjungti kompiuterį, nes bus prarasta visa RAM esanti informacija.

Taip pat stebėkite užpuoliko veiklą ir nustatykite, ar tyrimo metu nenuteka kokių nors duomenų.

Štai galimos priemonės, kurių galite imtis siekdami izoliuoti:

  1. Atsijunkite nuo interneto ištraukdami tinklo kabelį nuo ugniasienės / maršruto parinktuvo, kad sustabdytumėte duomenų nutekėjimą.
  2. Dokumentuokite visą įvykį. Įrašykite, kaip sužinojote apie įtariamą pažeidimą, datą ir laiką, kaip jums buvo pranešta, kaip jums buvo pranešta, kas jums buvo pasakyta pranešime, visus veiksmus, kurių ėmėtės nuo dabar iki incidento pabaigos, datą ir laiką, kai atjungėte sistemas. kortelės duomenų aplinka iš interneto, išjungta nuotolinė prieiga, pakeisti kredencialai/slaptažodžiai ir visi kiti sistemos sugriežtinimo ar ištaisymo veiksmai.
  3. Išjunkite (neištrinkite) nuotolinės prieigos galimybę ir belaidžio ryšio prieigos taškus. Pakeiskite visus paskyros slaptažodžius ir išjunkite (neištrinkite) nekritines paskyras. Dokumentuokite senus slaptažodžius, kad galėtumėte vėliau analizuoti.
  4. Pakeiskite prieigos valdymo kredencialus (naudotojų vardus ir slaptažodžius) ir įdiekite labai sudėtingus slaptažodžius: 10 ir daugiau simbolių, įskaitant didžiąsias ir mažąsias raides, skaičius ir specialiuosius simbolius. (Venkite slaptažodžių, kuriuos galima rasti bet kuriame žodyne, net jei vietoj raidžių simbolių keičiate specialiuosius simbolius.)
  5. Jei apdorojate mokėjimus, mokėjimo proceso metu atskirkite visus techninės įrangos įrenginius nuo kitų verslui svarbių įrenginių. Perkelkite šiuos įrenginius į atskirą tinklo potinklį ir laikykite juos įjungtus, kad išsaugotumėte nepastovius duomenis.
  6. Užuot ištrynę (pašalinę) antivirusinio skaitytuvo aptiktą kenkėjišką programą, palikite karantiną, kad būtų galima atlikti tolesnę analizę ir įrodymus.
  7. Išsaugokite ugniasienės nustatymus, užkardos žurnalus, sistemos žurnalus ir saugos žurnalus (jei reikia, padarykite ekrano kopijas).
  8. Apribokite interneto srautą tik verslui svarbiais serveriais ir prievadais, esančiais ne bet kurioje (-ose) mokėjimų apdorojimo aplinkoje (-ose). Jei turite iš naujo prisijungti prie interneto prieš atvykstant tyrėjui, pašalinkite kredito kortelių apdorojimo aplinką (-as) iš visų įrenginių, kuriuose turi būti interneto ryšys, ir apdorokite kredito korteles per telefono ryšį, atskirus terminalus, gautus iš prekybininko banko, kol pasikonsultuosite. su savo teismo medicinos tyrėju.
  9. Jei reikia, susisiekite su prekybininko (angl. merchant) apdorojimo banku (jei dar to nepadarėte) ir praneškite, kas atsitiko.

Naikinimo priemonės

Be to, svarbu pašalinti visas priežastis, dėl kurių buvo pažeisti duomenys. Pavyzdžiui, jei pažeidimas įvyko dėl viešai neatskleistos grėsmės, saugos specialistai turėtų išjungti visas paskyras, iš kurių nutekėjo informacija. Jei grėsmė buvo išorinė, pvz., kenkėjiška programa, gali prireikti išvalyti paveiktą sistemą ir pataisyti išnaudotus pažeidžiamumus.

Atkūrimo priemonės

Po sėkmingo likvidavimo žingsnio organizacija turi grįžti prie įprastos veiklos. Tai apima paveiktų sistemų grąžinimą į visiškai veikiančią būseną, pataisų įdiegimą, slaptažodžių keitimą ir kt.

Saugos specialistai turėtų atidžiai stebėti tinklą, atkurtus kompiuterius ir serverius, kad įsitikintų, jog grėsmė buvo visiškai pašalinta.

7. Atlikite pagrindinės priežasties analizę

Kai atliksite pagrindinius veiksmus, kad išvengtumėte duomenų pažeidimo, laikas išanalizuoti incidentą ir jo pasekmes bei imtis veiksmų, kad ateityje nekiltų panašių problemų. Kiekvienas duomenų pažeidimas vėliau turėtų būti nuodugniai patikrintas. Kiekvieno audito specifika priklauso nuo paties duomenų saugumo pažeidimo ir jo priežasčių. 

Apskritai auditas gali apimti:

  1. Organizacijos kibernetinio saugumo sistemų peržiūra
  2. Duomenų pažeidimo priežasčių analizė
  3. BDAR taikymo peržiūra
  4. Organizacinių ir techninių duomenų saugumo priemonių auditas.
  5. Sukurti planą, kaip išvengti panašių incidentų ateityje
  6. Politikos ir procedūrų peržiūra, kad būtų atsižvelgta į duomenų pažeidimo pamokas
  7. Pagerinti darbuotojų informuotumą apie kibernetinį saugumą

"5 Kodėl ir 5 Kaip" praktika gali padėti jums nuolat tobulėti bet kurioje organizacijoje. "5 Kodėl" metodas – tai paprasčiausiai pakankamai kartų užduoti klausimą „Kodėl“, kol įveiksite visus problemos simptomus ir nustatysite pagrindinę priežastį. Tada "5 būdai" naudojami norint nustatyti pagrindinį arba nuolatinį problemos „pagrindinės priežasties (-ių)“ sprendimą. Kreipkitės į Jūsų organizacijos paskirtą duomenų apsaugos pareigūną, jeigu reikia pagalbos.

Grėsmės

Ypatingą dėmesį atkreipkite į įspėjimo terminus. Jie priklauso nuo taisyklių ir standartų, kurių turite laikytis, ir nuo paveiktų duomenų tipo (asmens duomenys, finansiniai duomenys ir kt.). Laiku nepranešus reguliavimo institucijoms, gali grėsti atsakomybė ir didelės baudos.

Jūsų Organizacijos reagavimo į informacijos saugos pažeidimus ir asmens duomenų apsaugos pažeidimų tvarkos aprašas gali numatyti ir kitus veiksmus. Todėl pirmiausiai vadovaukitės savo Organizacijos teisės aktu. 

Dokumentai

Jeigu sužinojote, kad informacija/duomenys galėjo būti pažeisti, labai svarbu apie tai kuo greičiau pranešti Organizacijai. Tai turėtumėte padaryti naudodami pranešimo apie duomenų saugumo pažeidimus formą. Taip pat turėtumėte pranešti savo tiesioginiam vadovui ir duomenų apsaugos pareigūnui.

Duomenų saugumo pranešimo forma

Nuorodos

Susisiekime

card-img
Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
DAi.lt
Paskutinį kartą atnaujinta:   Šiuo informuojame, kad Jūsų organizacija paskyrė duomenų apsaugos pareigūną (DAP), vadovaudamas
CPO
card-img
Susisiekti su duomenų apsaugos pareigūnu
DAi.lt
Čia rasite bendrąją informaciją, kada ir kaip susisiekti su duomenų apsaugos pareigūnu.Pagalbos valandos "Gyvai" ir el. paštu
CPO



Daugiau apie paslaugą

Papildoma informacija

Kur šis puslapis paminėtas

Panašūs straipsniai

Kur eiti toliau