Cyber Security Incident Management Plan
For limited, major or critical non-emergency cyber security incidents
1. Xülasə
1.1 Planın xülasəsi
Kiber təhlükəsizlik hadisələri viktoriyalılara ciddi təhdid yaradır. Onlar əvvəllər olduğundan daha tez-tez baş verir və daha mürəkkəb olur. Viktoriya Hökuməti viktoriyalıları qorumaq üçün plan hazırlamalıdır. Planlaşdırma, kiber təhlükəsizlik insidentlərindən əvvəl, hadisə zamanı və sonra baş verənləri əhatə etməlidir.
Bu sənəd Kiber Təhlükəsizlik İnsident İdarəetmə Planıdır (CSIMP və ya “bu Plan”). Bu, bir insidentin bütün mərhələlərində departamentləri və dövlət qurumlarını dəstəkləyir.
Bunun əhatə dairəsi bütövlükdə Viktoriya Dövlət Hökumətidir (WoVG).
Bu, WoVG cavabı tələb edən 3 növ insidenti əhatə edir. Bunlara məhdud, əsas və kritik kiber təhlükəsizlik insidentləri daxildir.
Ayrı bir plan isə kibertəhlükəsizlik fövqəladə hallarını əhatə edir. Bu, Dövlət Fövqəladə İdarəetmə Planının KiberTəhlükəsizlik Alt-Planıdır (“Alt-Plan”).
CSIMP, hər bir departamentin və dövlət qurumunun rollarını müəyyən edir.
Hər bir departament və dövlət qurumu, insidentə necə cavab verəcəyinə cavabdehdir. Onların hər birinin öz daxili planı var. CSIMP bu daxili planlarla yanaşı işləyir.
1.2 İnsident mərhələlərinin xülasəsi
1.2.1 Azaltma (Mitigation)
Azaltma – insidentlərin təsirini dayandırmaq və ya azaltmaq üçün görülən tədbirlərdir. Azaltma tədbirləri, insidentin bütün mərhələlərində vacibdir.
Bu Planda, azaltma aşağıdakıları əhatə edir: → sistemlərin və xidmətlərin yaxşılaşdırılması → potensial təhdidlər haqqında məlumatın yığılması, təhlili və paylaşılması → sənaye və icma üçün doğru zamanda düzgün məsləhətin təqdim edilməsi
1.2.2 Hazırlıq (Preparedness)
Hazırlıq – insident baş verməmişdən əvvəl görülən tədbirlərdir. Bu, departamentin və ya dövlət qurumunun insidentə və onun mümkün təsirlərinə hazır olmasına imkan yaradır.
Bu Planda hazırlıq aşağıdakıları əhatə edir: → sistemlərdə potensial zəifliklərin müəyyənləşdirilməsi → daxili planların güncəllənməsi → mümkün kompromislərə qarşı monitorinq aparmaq
1.2.3 Cavab (Response)
Cavab – insident zamanı onun və təsirlərinin aradan qaldırılması üçün görülən tədbirlərdir.
Bu Planda cavab aşağıdakıları əhatə edir: → insidenti baş verdiyi anda anlamaq → insidenti mövcud və gözlənilən təsirlərinə əsasən təsnif etmək → doğru məlumatı düzgün şəxslərə ən qısa zamanda çatdırmaq → insidentin səbəbini lokallaşdırmaq və aradan qaldırmaq → cavab fəaliyyətlərini departamentlər və dövlət qurumları üzrə yönləndirmək → nəzarət qrupundan WoVG üzrə mərkəzləşdirilmiş strateji məsləhət təqdim etmək → bir məkanı nəzarət mərkəzi kimi aktivləşdirmək → milli kiber təhlükəsizlik insidenti zamanı Viktoriya dövlətinin rolunu idarə etmək → eyni vaxtda bir neçə insident baş verdikdə resursları prioritetləşdirmək → lazım olduqda müxtəlif resursları cəlb etmək → media vasitəsilə informasiya vermək və xəbərdarlıqları paylaşmaq → insidentdən sonra yarana biləcək nəticələri qiymətləndirmək və idarə etmək → insident zamanı və sonra yardım təmin etmək
1.2.4 Geri qaytarma (Recovery)
Geri qaytarma – insident baş verdikdən sonra onun təsirlərini aradan qaldırmaq üçün görülən tədbirlərdir.
Bu Planda bərpa aşağıdakıları əhatə edir: → sistemləri və prosesləri normal fəaliyyətə qaytarmaq → insident artıq WoVG cavabına ehtiyac duymadıqda necə irəliləməyə qərar vermək
1.2.5 Dərslər və qiymətləndirmə
İnsidentdən sonra nəyin yaxşı işlədiyini və nəyin təkmilləşdirilməsinə ehtiyac olduğunu müəyyənləşdirmək vacibdir.
2. Kibertəhlükəsizlik insidentlərinin müəyyənləşdirilməsi və təsnifləşdirilməsi
2.1 “Kibertəhlükəsizlik insidenti”nin müəyyənləşdirilməsi
Avstraliya Hökumətləri üçün Kiber İnsidentlərin İdarəetmə Tənzimləmələri (CIMA) kiber təhlükəsizlik insidentini belə müəyyənləşdirir: “Şəbəkənin və ya sistemin konfidensiallıq (confidentiality), tamlıq (integrity) və əlçatanlığına (availability) və ya onun saxladığı, işlədiyi və ya ötürdüyü məlumata təsir göstərən arzuolunmaz və ya gözlənilməz hadisələrin (event) (tək və ya ardıcıl) baş verməsi.”
Appendix B kiber təhlükəsizlik pozuntusunun və ya nəticəsinin ümumi mənbələrini genişləndirir. Bunlara aşağıdakılar daxildir: → ransomware (fidyə yazılımı) → malware (zərərli yazılım) yoluxmaları → DoS və DDoS hücumları → fişinq və sosial mühəndislik → veri pozuntusu (data breach)
2.2 Kiber təhlükəsizlik insidentlərinin təsnifləşdirilməsi
Cədvəl 1 müxtəlif kiber təhlükəsizlik hadisələrini, insidentlərini və fövqəladə halları və onların necə təsnifləşdirildiyini göstərir.
Hər bir səviyyə üçün bildiriş tələblərinin xülasəsi burada təqdim olunur. Məhdud, əsas və kritik insidentlər üçün tam bildiriş tələbləri isə “Bildiriş” bölməsində göstərilmişdir.
Bu WoVG kibertəhlükəsizlik kateqoriyaları, Viktoriya İnformasiya Komissarının (OVIC) təşkilati səviyyədəki Biznes Təsir Səviyyələri (Appendix C-yə bax) ilə uyğunlaşdırılmış vəziyyətdə hazırlanmışdır.
Cədvəl 1: WoVG kibertəhlükəsizlik kateqoriyaları
1
Hadisə (Event)
Bu, sistemlərə, xidmətlərə və ya məlumatlara təsir göstərməyən, lakin kibertəhlükəsizliklə bağlı şübhəli və ya təsdiqlənməmiş kompromisdir (məsələn, zərərli skan fəaliyyətləri). Alternativ olaraq, bu, heç bir dövlət qurumuna və ya agentliyə təsir etməyən təsdiqlənmiş kibertəhlükəsizlik insidenti və ya təhdid ola bilər.
Departament və ya dövlət qurumunun daxili kibertəhlükəsizlik insidentinə cavab planı, daxildə icra olunur.
WoVG planı yoxdur.
CIRS-ə (Cyber Incident Response Service) bildiriş tələb olunmur.
2
Kiçik (Minor)
Bu, uğurlu kibertəhlükəsizlik kompromisidir. Təsir potensialı var və ya kiçik təsir göstərir (xidmətlərə, məlumatlara, aktivlərə, nüfuza və ya münasibətlərə). Bunun əlamətləri: → departament və ya dövlət qurumunun normal cavab imkanları çərçivəsində daxili prosedurların istifadəsi → insidentin başqa qurum və ya agentliyə yayılmayacağına dair fərziyyə
Departament və ya dövlət qurumunun daxili kibertəhlükəsizlik insidentinə cavab planı, daxildə icra olunur.
WoVG planı yoxdur.
Kəşfiyyatı məlumatlandırmaq üçün Victoria Hökumətinin Kibertəhlükəsizlik Portalı vasitəsilə 72 saat ərzində DGS-nin Kiber İnsidentlərə Cavab Xidmətinə (CIRS) bildiriş göndərilməlidir.
3
Məhdud (Limited)
Bu, uğurlu kibertəhlükəsizlik kompromisidir. Məhdud təsir potensialı var və ya artıq xidmətlərə, məlumatlara, aktivlərə, nüfuza, münasibətlərə və/və ya ictimaiyyətə məhdud təsir göstərir. Mümkün nəticələr: → bir şöbənin və ya dövlət qurumunun sistemlərinin, xidmətlərinin və ya verilərinin konfidensiallığını, tamlığını və əlçatanlığını qoruma bacarığına birbaşa və dolayı təsirlər → gözlənilən xidmət səviyyələrini qarşılamaq üçün fəaliyyətlərin yenidən prioritetləşdirilməsini və ya resursların yenidən düzəldilməsini tələb edən fəaliyyətlərdə kəsinti olması → kritik biznes əməliyyatlarına və digər sistemlərə təsirlər → başqa qurum və agentliklərə yayılma potensialı → Dövlət səviyyəsində tələb olunan cavab: 1. monitorinq və təhlil; 2. kompromis göstəricilərinin, təsirin azaldılması üzrə məsləhətlərin və seçimlərin paylaşılması → Commonwealth-led insidenti zamanı WoVG müdaxiləsinə koordinasiyalı dəstək ehtiyacı: Alternativ olaraq, bu hallarda kibertəhlükəsizlik təhdidini ifadə edə bilər: → kiberhücum üçün cəlbedici hədəf ola biləcək əsas planlaşdırılan hadisə → artan monitorinq və təhlili təmin edən kibertəhlükəsizlik təhdidini müəyyən edən informasiya və ya kəşfiyyat.
Departament və ya dövlət qurumunun daxili kibertəhlükəsizlik insidentinə cavab planı, daxildə icra olunur.
Bu Plan (üstünlük təşkil edir), CIRS meneceri və ya Victorian Government Baş Kibertəhlükəsizlik Mütəxəssisi (CISO) tərəfindən icra olunur.
Bildiriş göndərilir: 72 saat ərzində CIRS-ə (Victorian Government Cyber Security Portal və ya 1300 278 842 nömrəsi ilə, əgər iş saatlarından kənardadırsa). Həmçinin digər maraqlı tərəflərə – bildiriş bölməsində göstərildiyi kimi.
Last updated