Informationssikkerhed Incident Response Plan Procedure

 

Formål

Denne plan guider, hvordan man reagerer på informationssikkerhedshændelser på Hudson County Community College (HCCC). Planen identificerer roller og ansvar for HCCC-hændelsesresponsteamet og de skridt, der skal tages i tilfælde af en hændelse. Information Security Incident Response Plan (ISIRP) har til formål at minimere virkningen af ​​en hændelse, bevare beviser til efterforskningsformål og genoprette normal drift så hurtigt som muligt.

Definitioner

Incident: En hændelse, der resulterer i tab af fortrolighed, integritet eller tilgængelighed af information eller informationssystemer.

Respons: De handlinger, der træffes for at afbøde virkningen af ​​en hændelse og gendanne de berørte systemer og data til deres normale tilstand.

Incident Response Team (IRT): Incident Response Team (IRT) er ansvarlig for implementering af ISIRP. IRT består af repræsentanter fra relevante afdelinger, herunder men ikke begrænset til informationsteknologitjenester (ITS), økonomi (risikostyring), juridisk rådgiver, HR og kommunikation. IRT er ansvarlig for at koordinere reaktionen på en hændelse og sikre, at alle nødvendige ressourcer er tilgængelige.

Roller og ansvar

IRT er ansvarlig for følgende:

  • At reagere på hændelser og afbøde deres indvirkning.
  • Undersøgelse af hændelser og fastlæggelse af deres årsag.
  • Gendannelse af systemer og data, der er blevet påvirket af en hændelse.
  • Kommunikation med interessenter om hændelser.
  • Logning og rapportering af hændelser.

Rapportering af hændelser

Alle formodede eller bekræftede informationssikkerhedshændelser skal straks rapporteres til ITS. ITS vil derefter vurdere hændelsen og afgøre, om det er en sikkerhedshændelse. ITS vil eskalere hændelsen til IRT, hvis det er en sikkerhedshændelse.

Reaktionstrin

Hændelseskategorisering:

IRT vil kategorisere hændelsen baseret på dens alvor og virkning. Kategorierne er som følger:

Kategori 1: Mindre hændelse - Ingen væsentlig indvirkning på kollegiet eller dets drift.
Kategori 2: Moderat hændelse - Begrænset indvirkning på kollegiet eller dets drift.
Kategori 3: Større hændelse - Betydelig indvirkning på kollegiet eller dets drift.
Kategori 4: Kritisk hændelse - Alvorlig indvirkning på kollegiet eller dets drift.

Hændelsesvar efter kategori:

IRT vil følge nedenstående trin for at reagere på en hændelse:
Kategori 1: Der kræves ikke noget formelt svar.
Kategori 2: IRT vil undersøge hændelsen og træffe passende foranstaltninger for at begrænse og afbøde hændelsen.
Kategori 3: IRT vil koordinere med relevante afdelinger og eksterne ressourcer, såsom retshåndhævelses- og cybersikkerhedseksperter, for at undersøge hændelsen og træffe passende foranstaltninger for at begrænse og afbøde hændelsen.
Kategori 4: IRT vil implementere HCCC Emergency Management Plan, som skitserer de trin, der skal følges under en betydelig krise.

ISIRP-trin til IRT at følge

IRT vil følge disse trin i tilfælde af en hændelse:

  1. Reager på hændelsesrapporten.
  2. Afbød virkningen af ​​hændelsen.
  3. Kategoriser effekterne på ovenstående skala.
  4. Undersøg hændelsen.
  5. Bestem årsagen til hændelsen.
  6. Gendan systemer og data, der er blevet påvirket af hændelsen.
  7. Kommuniker med interessenter om hændelsen.
  8. Log og rapporter hændelsen.

Værktøjer og ressourcer

IRT vil bruge følgende værktøjer og ressourcer til at reagere på hændelser:

  • Sikkerhedssoftware: Sophos, Crowdstrike
  • Datasikkerhedskopiering og -gendannelsessystemer: Cohesity, Arcserve, OneDrive
  • Kommunikationskanaler: E-mail, tekst, sociale medier
  • Tredjeparts cybersikkerhedseksperter: NJ Edge, CyberSecOp, Cybersecurity Insurance konsulenter

Test og træning

IRT vil teste og træne regelmæssigt i de procedurer og værktøjer, der er på plads.

Kommunikationsplan

IRT vil kommunikere med følgende interessenter i tilfælde af en hændelse:

  • Studerende
  • Fakultet
  • Personale
  • Medier
  • Retshåndhævelse
  • Tilsynsmyndigheder

Metrics og rapportering

IRT vil dokumentere alle aspekter af hændelsen, herunder, men ikke begrænset til, hændelsens type, alvor, påvirkning, respons og løsning. Dokumentation vil blive opbevaret sikkert og kun tilgængeligt for autoriseret personale.

IRT vil indsamle og analysere følgende metrics relateret til hændelser:

  • Antal hændelser
  • Udgifter til hændelser
  • Tid til at komme sig over hændelser

Associate Vice President for Technology og CIO vil rapportere om disse målinger til HCCC Board of Trustees.

Gennemgå og opdater

AVP CIO vil gennemgå ISIRP årligt og opdatere det for at afspejle det skiftende sikkerhedslandskab og HCCC's skiftende behov.

Godkendt af kabinettet: maj 2023
Relateret bestyrelsespolitik: Informationsteknologitjenester

Vend tilbage til Policies and Procedures