关于应急响应,在CISP或者相关的培训中,我们也都学习到了一些相关知识,比如事件的分类分级,应急响应的6个步骤等,也提到了制订应急响应计划的重要性,但很多人问我,应该如何去制作自己单位的应急响应计划呢?今天我们来聊聊这个话题。
前面关于如何创建应急响应预案的介绍我就不多说了,放一张脑图,大家自己参考相关教材自行学习。
下面以我公司为某单位制定的应急响应预案为例为大家说一下应急响应预案的具体格式,仅供大家参考。
我们重点讲预案文本的编制内容,一般来说,应急响应预案应包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个基本要素,下面分别进行简要阐述。
第一章 总则
预案总则提供了编制应急预案的背景和相关信息,使应急响应预案更容易理解、实施和维护。总则包括编制目的、编制依据、适用范围、工作原则等。
1、编制目的
简要介绍制定网络安全应急响应预案的原因和目标,预案为使用者简要回答“为什么”需要该安全应急预案。
2、编制依据
说明编制网络安全响应预案的依据。供参考的依据包括(但不限于)国家有关网络安全应急响应的法律、法规、规章以及行业规定、技术规范、标准等,预案告知使用者本预案“凭什么”这么制定的问题。
常见的法律依据如网络安全法、数据安全法。国家标准如GB/T20985-2017《信息技术 安全技术 信息安全事件管理》、GB/T 20986《信息安全技术 信息安全事件分类分级指南》、GB/T 20988《信息系统灾难恢复规范》,GB∕T 39725-2020《健康医疗数据安全指南》等,以及行业的相关标准,如银监会发的《银行业重要信息系统突发事件应急管理规范》《银行业信息系统灾难恢复管理规范》,保监会发的《保险业信息系统灾难恢复管理指引》工信部《重要信息系统灾难恢复指南》工业和信息化部《关于印发公共互联网网络安全突发事件应急预案》等。
3、适用范围
说明预案的作用范围,解决哪些问题,不解决哪些问题。预案告知使用者预案中“有什么”。不属于该预案所罗列的其他安全问题,不在解决范围之内。
4、工作原则
确定应急响应预案组织和实施原则。阐述应对安全事件的准则。预案告知使用者在执行安全应急预案时“如何做”的原则
5、分类分级
可参照GB/T 20986《信息安全技术 信息安全事件分类分级指南》结合本单位业务的实际情况,对可能发生的安全事件进行分类分级。这是以后出现安全事件后进行响应的标准。
(1)事件分类:根据网络系统安全突发事件的发生过程、性质和特征,网络系统安全事件可以分三类,即自然灾害、事故灾难和人为破坏引起的安全事件。
自然灾害是指地震、台风、雷电、火灾、洪水等。
事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击等事件。
(2)、事件分级
根据安全事件的可控性、严重程度和影响范围,将网络与信息安全突发公共事件分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
(1)Ⅰ级(特别重大):网络系统故障造成客户业务大规模瘫痪,核心数据被破坏或数据大规模泄露造成特别严重损害、超出控制的安全事件。
(2)Ⅱ级(重大):网络系统故障造成客户单位网络大规模瘫痪,核心数据被破坏或数据泄露造成严重损害,影响程度较大的安全事件。
(3)Ⅲ级(较大):网络系统故障造成部分网络和应用瘫痪,非核心数据被破坏,造成一定损害,仅对部分用户和应用造成影响的安全事件。
(4)Ⅳ级(一般):网络系统故障造成单一应用瘫痪,造成个别部门受影响,只影响单一应用的安全事件。
第二章 组织机构
网络安全应急响应是日常工作的有机组成部分,在此应结合本单位日常机构明确安全事件应急指挥机构、工作机构,明确各部门、处(科)室在安全事件预警和应急处置中的职责与分工。在包括CISP在内的一些安全教材中,我们会看到这个图,列了几个常见的小组,比如领导小组、专家小组、实施小组、保障小组、日常运行小组。在实际工作中,根据实际情况设置,并不一定都要设置这些小组。比如我的这个预案中,就只设置了领导小组,运维小组和专家小组。
根据企业实际情况,一些工作人员可负责多种职责,一些职位可由多人担任。 此处要注意要考虑人员冗余,每部分的负责人要有AB角,而且这两个人不能面临同样的风险,比如外出出差或者培训,不能同时都走了,至少要有一个人在。再比如如果单位在东边,这两个人住的地方不能都在西边,万一出事可能两个人都无法赶到现场等。也可以在此处创建呼叫树,并创建联系人通讯方式。
由于网络安全应急响应是和突发安全事件所造成的灾难“争时间、抢速度”,所以可聘任权威技术机构的专家协助应急响应工作,也可委托具有相应资质的专业技术服务机构承担应急响应的部分或主体工作.
第三章安全事件监测与预警
在本环节,主要的工作是出现安全事件后,及时向领导小组报告,领导小组根据事件具体情况确定响应级别,并进行信息通报和上报。主要工作如下:
1、事件通告
网络安全维护服务小组应按照“早发现、早报告、早处置”的原则,加强对网络安全事件的有关信息的收集、分析判断和持续监测。
事件通告部分又包括信息通报、信息上报和信息披露3个部分。
(1)信息通报
信息通报是“横向通报”,包括组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在网络安全事件发生后迅速通知应急响应日常运行小组,并根据评估结果迅速通知所有相关人员,从而快速有序地启动和实施应急响应预案。组织外信息通报的目的是将相关信息及时通报给收到负面影响的外部机构,以获得适当的应急响应支持。这里要注意,对外信息通报要谨慎,应符合组织对外信息发布的有关规定,避免出现由于轻率的信息发布而带来的不必要的“心理恐慌”。
初次报告不超过2个小时,重大或特大的网络安全事件实行实时、动态进程报告和日报告制度。
报告的主要容包括:
1、事件的时间、地点;
2、事件的报告人;
3、事件的现象及初步判断;
4、事件的原因;
5、事件的影响范围;
6、事件的性质;
7、事件的发展趋势;
8、采取的措施等。
(2)信息上报
信息上报是“纵向通报”。网络安全事件发生后,应该按照相关规定和要求,及时将情况上报给上级主管或者监管单位和部门,需要上报的网络安全事件一般属于二级或二级以上的安全事件。
对需要向相关应用单位发布预警的网络安全事件,由网络安全应急领导小组根据其可能造成的危害程度、紧急程度和发展态势及时发布预警信息;
预警信息应包括:
1、事件的类别;
2、可能涉及的范围;
3、可能危害程度;
4、可能延续时间;
5、提醒事宜;
6、应采取的措施等。
(3)信息披露
信息发布的目的是避免网络安全事件影响被误传或讹传,及时掌握和引导公众舆论,同时规范组织内部人员的信息披露,保证信息发布口径的一致性。
2、事件定级
对于突发网络安全事件进行分类和分级是进行应急响应的必然选择。确定网络安全事件发生后对系统损坏性质和损坏程度的评估,是启动和实施应急响应预案的前提。因此,在事件发生后,应急响应领导小组应根据应急响应日常运行小组或专家组的评价建议,确定事件级别。(评估办法此处略)
一般来说, “四级事件”属于日常运行维护服务范畴,基本无需启动应急措施。“三级事件”虽然仍由日常运行维护人员处理,但需要应急响应有关人员告知。“二级事件”和“一级事件”属于应急响应事件,必须全面启动网络安全应急响应预案。
第四章 应急响应
应急响应预案的启动(激活)代表“作战命令”的正式下达,组织的信息系统甚至整个组织就从“平时运行维护状态”转入了“战时应急状态”。
4.1 先期处置
当发生网络安全事件时,网络安全维护服务小组应做好先期应急处置工作,针对可能发生的停机、数据丢失、数据篡改等情况,从操作措施、现场保护、事件控制等方面明确先期处置措施。同时向网络安全应急领导小组通报;
当领导小组接受到事件发生或可能发生的信息后,应加强与维护服务队伍及相关应用单位的联系,根据事件发展态势,视情况决定赴现场指导,支持维护服务队伍做好应急处置工作。
4.2 应急指挥
本预案启动后,网络安全应急领导小组应迅速启动指挥系统,相关部门按照本预案确定的有关职责立即开展工作;要抓紧收集相关信息,掌握现场处置工作状态,分析事件发展态势,研究提出处置方案,调集和配置应急处置所需的人、财、物等资源,统一指挥应急处置工作;需要成立现场指挥部的,应立即在现场开设指挥部,现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
4.3应急支援
本预案启动后,网络安全现场维护小组应根据事态的发展和处置工作需要,及时联系专家小组和应急支援单位,调动必要的物资、设备,支援应急工作。
4.4应急处理
本预案启动后,网络安全现场维护分队应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况报送网络安全应急领导小组。
应急响应启动令一旦下达,就应该立即采取相关措施抑制和清除网络安全事件影响,避免造成更大的损失。
4.5应急结束
网络安全事件得到处置后,得到有效控制,事态下降到一定程度或基本得到解决,网络安全现场维护小组应及时将情况上报到网络安全应急领导小组并提出应急结束的建议,经网络安全应急领导小组批准后结束应急。
第五章 后期处置
5.1善后处理
在应急处置结束后,网络安全现场维护分队应迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施,并将善后处置的有关情况通报网络安全应急领导小组。
5.2调查评估及经验教训总结
在应急处置工作结束后,应急领导小组应立即组织有关人员和专家组成事件调查组,在现场维护小组的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告并存档,并根据奖惩制度的有关规定,对有关责任人员做出处理。
具体工作如下。
1)分析和总结事件发生原因。
2)分析和总结事件现象。
3)评估系统的损害程度。
4)评估事件导致的损失。
5)分析和总结应急处置记录。
6)评审应急响应措施的效果和效率,并提出改进建议。
7)评审应急响应预案的效果和效率,并提出改进建议。
8)根据奖惩制度的有关规定,对有关责任人员做出处理。
第六章 保障措施
“兵马未动,粮草先行”。应急响应预案作为一个组织的“战时方案”,后勤保障是取胜的前提条件。人员保障、物质保障和技术保障这3个大的方面是应急预案必须包括的内容。
(一)人力保障
在整个网络安全的应急响应过程当中,人员保障是最重要的,任何与应急响应有关的工作都需要根据角色分工。包括技术人员和管理人员。应建全网络安全应急处置通讯录,确保能及时与各维护单位和相关专家进行联系,保障应急维护工作的顺利进行。网络安全现场维护小组应做好自身的建设并时刻做好应急维护的准备工作,保持通讯顺畅,一旦发生安全事件立即投入应急处置工作。
(二)物质保障
应急响应物质保障包括财力保障、交通运输保障、治安维护和通信保障等部分。网络系统应事先预留相应的资源到单位重要业务系统的应急设备和设施,建立网络系统硬件、软件、应急救援设备等应急物资库,在发生安全事件时,由领导小组负责统一调用。同时要保证所需网络安全事件应急响应资金。这部分内容既包括应急设备采购、组织内部人员所需的必要费用,也包括应急响应设备采购、组织内部人员所需的必要费用,也包括应急响应外协单位的服务费用。
(三)技术保障
技术保障是网络安全事件应急响应的必备手段,由应急响应技术保障小组统一负责,它包括应急响应技术服务与日常技术保障两部分。应急响应时要使用的工具如抓包工具、分析工具等要准备好放置在工具包内,出现问题随时可用。重要信息系统和数据均应建立备份和相关工作机制,保证重要数据和业务系统在受到破坏后,可紧急恢复。
第七章 监督管理
(一)宣传教育
领导小组应协调现场维护小组及相关维护单位、专家配合做好网络安全等方面的知识培训,提高各应用单位操作人员的防护意识及技能,并充分利用各种传播媒介及有效的形式,加强网络安全事件应急和处置的相关容的宣传。
(二)演练
建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
(三)责任与奖惩
各相关维护和使用单位要认真贯彻落实预案的各项要求与任务,建立监督检查和奖惩机制。应急领导小组将不定期进行检查,对各项制度、计划、方案、人员、物资等进行实地验证,并以演练的评定结果作为是否有效落实预案的依据。对未有效落实预案各项规定的单位和部门进行通报批评,责令限期改正。
第八章附件
网络安全应急响应预案的附件提供了预案主体不包含的关键细节,内容应根据系统和预案的需求确定。常见的网络安全应急响应预案附件包括以下几种。
1、具体的组织体系结构及人员职责说明。
2、应急响应预案各个小组成员的联络清单。
3、供应商联络清单,包括离站存储和备用站点的外部联系点。
4、系统恢复或处理的标准操作规程和检查列表。
5、支持系统运行所需的硬件、软件、固件和其他资源的设备和系统需求清单,每个条目应包含详细内容,包括型号或版本号、规格说明和数量等。
6、供应商服务协议、与其他机构互惠协议、谅解备忘录和其他关键记录。
7、场所紧急预案、运行连续性预案的描述和说明。
8、在预案制订前进行BIA,包含关于系统各部分相互关系、风险、优先级别等。
9、应急响应预案文档的保存和分发方法。
10、IT标准操作规程。
最后再说一下封面。
一般来说,封面上要体现文件编号、版本号、密级、发布时间、实施时间、编制人、审核人等信息。
编号一般包括文件类别-部门-文件名-日期等。比如ISMS表明是属于信息安全管理体系中的文件,PROC表示是流程性文件,后面是所属部门运维部,文件名应急响应,时间是202101。
文件版本号标识方法:V<x>.<y>。x为1-9,y为0-9。
文件密级:文件密级分为机密、内部公开、公开三个等级
文件密级由文件发放的批准者决定。
好了,关于如何编制应急响应预案的介绍就到这里,具体各单位如何制定,要结合自己单位的实际情况,本文给的只是一个范例,并非标准文档,仅供大家参考,也欢迎大家讨论。
本文参考了CISP\CISAW相关教材及部分网络文章,一并表示感谢。
via:大兵说安全 https://mp.weixin.qq.com/s/d5HhxiFfIpfDCf7PUQH4Zw