Perform necessary activities after the incident. The severity of the incident and the organisation’s expertise and capacity will determine which activities are required and whether they should be conducted by internal or external personnel. It could involve:
• Investigation to determine the root cause of the incident, including:
o Type of malware
o Threat actor
o Attack vector
o Tools
o How the sequence of events unfolded, and how the threat actor behaved.
• Preparing a summary that the management can understand and act on.
• Communication with relevant parties, including sector-specific computer emergency response teams
and/or NSM NCSC.
Organisaatiolla on määritellyt menettelyt, joiden avulla se viestii relevanteille viranomaisille ja osapuolille häiriön sattuessa. Näitä osapuolia ovat esimerkiksi alakohtaiset tietokonehätätilanteiden torjuntaryhmät ja NSM NCSC.
Häiriön jälkeen haitalliselle koodille, tai muille häiriön jäänteille on suoritettava rikostekninen tutkinta. Turvallisesti tehty tutkinta suljetussa ympäristössä voi aukaista häiriön syitä, tavoitteita ja toteutustapoja. Tämä auttaa organisaatiota korjaamaan mahdolliset aukot turvallisuudessa, varautumaan samankaltaisiin häiriöihin ja tunnistamaan tai profiloimaan mahdollisen hyökkääjän.
Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.
Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
