RS.AN-03 RS.AN-06 RS.AN-07 RS.AN-08
Incidentų analizė (AN)
Tyrimai atliekami siekiant užtikrinti veiksmingą reagavimą ir pagalbą teismo ekspertizės ir atkūrimo veiksmams
RS.AN-03
Atliekama analizė siekiant nustatyti, kas vyko incidento metu ir pagrindinę incidento priežastį
Nuoroda į originalą
- Nustatykite chronologinę incidento įvykių seką ir visus susijusius sistemos išteklius bei aktyvus;
- Bandykite nustatyti, kokie pažeidžiammuai, grėsmės ir užpuolikai buvo tiesiogiai ar netiesiogiai susiję su incidentu;
- Išanalizuokite incidentą, kad rastumėte pagrindines, sistemines priežastis;
- Patikrinkite kibernetinės apgaulės technologijas, siekiant surinkti papildomos informacijos apie užpuolikų elgseną.
RS.AN-06
Tyrimo metu atliekami veiksmai registruojami, o įrašų vientisumas ir kilmė išsaugomi
Nuoroda į originalą
- Reikalaukite, kad kiekvienas incidentų valdytojas ir kiti asmenys atliekantys reagavimo į incidentus užduotis (pvz., sistemos administratoriai, kibernetinio saugumo inžinieriai), užregistruotų savo veiksmus ir užtikrintų, kad įrašai būtų nepakeičiami;
- Reikalaukite, kad incidento vadovas išsamiai dokumentuotų incidentą ir būtų atsakingas už dokumentacijos bei visų pateikiamos informacijos šaltinių vientisumo išsaugojimą.
RS.AN-07
Surenkami incidento duomenys ir metaduomenys, išsaugomas jų vientisumas ir kilmė
Nuoroda į originalą
- Surinkite, išlaikykite ir užtikrinkite visų susijusių incidento duomenų ir metaduomenų vientisumą (pvz., duomenų šaltinis, surinkimo data/laikas), remdamiesi įrodymų išsaugojimo ir grandinės priežiūros procedūromis.
REAGUOTIRS.AN-08
Įvertinamas ir patvirtinamas incidento mastas
Nuoroda į originalą
- Peržiūrėkite kitus galimus incidento taikinius dėl pažeidimo požymių ir išlikimo įrodymų;
- Paleiskite automatinius įrankius taikiniuose ieškančius pažeidimo požymių ir išlikimo įrodymų.
