3.7 Определите действия, предпринимаемые при подозрении на несанкционированную задачу

Разделы 2.4 и 2.5 рассмотрели порядок действий, которые должна предпринять организация при подозрении на проникновение в АС. ПРД должны определить общий подход при рассмотрении проблем такого рода.

Должны быть описаны процедуры решения проблем такого рода. Кто должен решить, какие действия следует предпринять? Нужно ли привлекать органы внутренних дел? Должна ли ваша организация взаимодействовать с другими организациями при попытке проследить за злоумышленником? Ответы на эти вопросы и вопросы из раздела 2.4 должны быть частью процедур улаживания инцидентов.

Если вы решили проследить за злоумышленником или отключить его от АС, вы должны иметь наготове средства и процедуры, которые вы будете использовать. Лучше всего разработать и средства, и процедуры до того, как они понадобятся вам. Не ждите, пока злоумышленник появится в вашей АС, чтобы начать решать проблему, как проследить за злоумышленником; это потребует от вас много времени, если он опытен.