资讯安全事件应变程序 

1. 概述

信息安全事件的发生比以往任何时候都更加频繁。阿克伦大学必须在发生信息安全事件时采取适当的步骤,以尽量减少事件的影响和范围。

2. 目的

此程序概述了与UA信息相关的信息安全事件的升级过程。任何信息安全事件必须立即通知UA信息安全服务团队。

3. 范围

本程序适用于用于以电子、声音或物理格式访问、存储或传输机构数据的任何系统、服务、设备、过程或媒体。本程序适用于个人拥有的系统、设备和媒体;大学拥有的系统、服务、设备和媒体;以及第三方服务提供商。

4. 定义

  • 资讯保安事件 - - - - - - 任何企图或实际未经授权的访问、使用、披露、修改或破坏 信息 包括但不限于: 干扰 信息技术gy操作  违反校规 ITS政策和标准; 以及适用的法律法规。 
    • 信息安全事故的例子包括,但不是 局限于 
      • 电脑系统入侵 
      • 被盗或遗失 系统、设备或媒体 
      • 未经授权的对系统、软件或数据的访问或使用 
      • 对系统、软件或数据进行未经授权的更改 
      • 网站上乱涂 
      • 拒绝服务攻击 
      • 系统或人员的模拟 
      • 干扰对IT资源的预期使用 
      • 受损的用户帐户 
  • 事件应变小组 - - - - - - 负责调查的个人 数据泄露和其他信息安全事件。这些人 可以 包括 但不限于UA 信息 年代安全 年代以空、UA总法律顾问办公室、  地方,州和联邦执法部门 机构 
  • 事件处理程序 - - - 指定的资讯保安服务职员 由事件响应小组负责 领导事件响应工作rt。 
  • 机构数据 -阿克伦大学任何部门为支持其使命而收集、分析或发布的任何信息或数据。 
  • 受保护的机构资料 - - - - - - 任何归类为更限制的信息艾德 非公共用途  数据所有者,或根据ITS指定的数据管理员 数据分类标准。 

5. 报告

  • 它是 重要的是,实际或可疑的信息安全事件应尽早报告 以限制损失和恢复成本。 
  • TO报告N实际的或怀疑的 信息安全事件,控制ct 
    • E邮件 security@uakron.edu 
    • 电话:(330)972-6888 
    • 重要: 如果事故造成直接危险, 联系UAPD,电话:(330)972-2911 
  • 报告中应包括的资料: 
    • 你的 联系信息包括 名字如果打电话的话,请填写电子邮件地址和电话号码 
    •  资讯保安问题 
    • 第一次发现问题的日期和时间(如果可能的话) 
    • 受影响的任何其他已知资源 
  • 在任何情况下,都不要试图独自调查事件。   
  • 保存一个我的证据你可以随意干扰 尽可能少。  

6. 响应

  • 事件响应小组将立即确定事件处理程序R疑似信息安全事件。 
  •  事件响应工作 是由 六个阶段

1. 控制2。数据收集/恢复分析4。通知5。报告6。数据保留

  • 第一阶段:遏制 
    • 只要有可能,事件处理程序将在报告/怀疑事件发生时执行网络隔离,并/或指示系统管理员拔掉可疑计算机的网线。 
    • 事件处理程序将在包含事件时隔离可能受到损害的主机,并立即联系系统管理员或系统所有者,以创建包含事件的计划。请注意,事件处理程序可能会根据待验证的可疑行为隔离/通知其他主机。在系统停机影响非常大的情况下,事件处理程序将与系统管理员一起确定帐户特权级别并安全地消除其访问。
    • 在确定原始UID之后,所有用户特权将立即暂停,直到不存在未来的风险。 
    • 一旦威胁得到验证,事件处理程序将通知CIO并继续修复优先级2(数据收集/恢复),并依次处理所有剩余的优先级。 
    • 一旦判定威胁不存在,事件处理程序将恢复用户特权并继续修复优先级5(报告),并依次处理所有剩余的优先级 
  • 阶段2:数据收集/恢复 
    • 事件处理程序将从 UA 系统管理员  第三方 服务提供商  快速评估事件的范围,包括: 
      • 受损系统的初步列表 和/或服务  
      • 可能包含证据和/或受损数据的存储介质的初步列表 
      • 初步 事件 时间表基于最初可获得的证据 
      • 应该开始检查日志了 
      • 数据恢复模式(如有需要)应在了解事件的范围后开始进行检查,目标是在尽量减少数据损失的情况下恢复部门的生产力 
      • 一旦威胁被隔离并被认为没有威胁,就应该开始数据恢复 
  • 阶段3:分析 
    • 事件处理程序将确定是否有合理的信念 一个 成功访问攻击者 受保护的机构资料一个。 
    • 事件处理程序将 生成事件时间线并确定 影响 和/或行动 各方确定妥协的细节。在可能的情况下,可能需要一个完整的备份或系统映像进行分析年代。 
    • 事件处理程序将l 协调沟通 利益相关者之间的 包括数据所有者、数据管理员、数据 保管人,以及任何相关的合规官员。 
  • 第四阶段:通知 
    • 事件处理程序将通知 事故应变小组, CISO、CIO、数据所有者,并在适当的时候 事故报告,下面是 信息 
      • 受损系统的完整列表 和/或 服务 和相关的uid 
      • 可能包含证据和/或受损数据的存储介质的完整列表 
      • 事件时间表 基于最初可获得的证据 
      • 所有的分析结果 
      • 在怀疑有恶意和/或受保护的机构数据 公布, 根据首席信息官的指示,UAPD和总法律顾问办公室将 通知 
  • 第五阶段:报告 
    • 事件处理程序将在分析和通知优先级完成后起草最终事件报告,并将其提交给信息安全部门进行讨论。初步报告应尽可能避免,因为工作结论可能在调查过程中发生重大变化。 
    • 参与围堵、数据收集/恢复或分析的技术人员可以提供事件报告,以便将其参与的事件报告包含在最终的事件报告中,但通常技术问题应在此阶段解决。 
    • 对于涉及支付卡数据的关键事件,PCI合规经理将收到一份报告副本,并通知相应的实体 如果 持卡人资料在未经授权的情况下被访问。PCI合规经理将负责与支付卡品牌之间的所有沟通,并负责协调支付卡品牌授权的与事件相关的活动。 
    • 对于涉及HIPAA相关的重大事件 数据, 私隐专员  收到报告的副本. 隐私官员将按照HIPAA违规通知规则的要求进行通知与事件的适当当事人联系。 
    • 对于涉及FERPA和/或其他 受保护机构D此外,报告将包括每种不允许使用的例子。考虑到分析结果,如果合适的话,首席信息官将获得总法律顾问办公室对报告的签字。
    • 信息安全 服务 将安排一次会议,向系统管理员、系统所有者以及负责官员提交最终报告。 
    • 信息安全 服务 将确保最终报告包括调查的细节和中期和长期建议,以改善组织的安全态势,并限制未来发生类似事件的风险。 
    • 当不存在既定的监管通知要求时,数据和/或应用程序所有者有责任进行违规通知。 
  • 阶段6:数据保留 
    • 信息安全部将最终报告存档,以备将来需要时参考;报告必须保留十二(12)个月。 
    • 事件记录应由事件处理人员自报告发布之日起保留十二(12)个月。
    • 原始事件数据应由事件处理人员保留三十(30)天,从报告发布之日起算。这包括未过滤的磁盘映像 netflow-内容、原始文件时间线和其他被认为与调查无关的收集数据。 

 7. 相关文档

大学规则3359-11-08:学生记录的政策和程序

大学规则3359-11-10:可接受使用政策

大学规则3359-11-10.3:信息安全和系统完整性政策

大学规则3359-11-10.4:客户信息安全政策

大学规则3359-11-10.6:社会安全号码使用政策

大学规则3359-11-10.8:身份盗窃检测、预防和缓解策略

大学规则3359-11-19:选定健康信息发布、隐私和安全的政策和程序

ITS:数据分类标准

ITS:安全访问和数据存储标准

联络资讯保安      联系IT服务台