IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

3.6 Incidenthantering

Frågan är inte om, utan när, man blir drabbad. Men förbereder man sig genom att ta fram riktlinjer för incidenthantering, tillgång till programverktyg och har rutiner har man bättre möjlighet att klara av situationen.

När man blir drabbad är det viktigt att man behåller lugnet och analyserar och försöker förstå vad som har inträffat. Till en början måste man vara säker på att det är en riktig incident och inte några förändringar i systemet som inte dokumenterats.

Om man har kommit fram till att man har drabbats av en incident skall man kontakta någon som är kunning i incidenthantering och inte göra något på eget bevåg. Det innebär att du skall informera ansvariga och låta dessa fatta beslut på det underlag du presenterar.

Se till att alla händelser noggrant dokumenteras och att allt skrivs ner i kronologisk ordning. Var försiktig med datorbaserad kommunikation när en incident har inträffat speciellt innan man har sett vidden av incidenten. En inkräktare kan lätt med olika verktyg avlyssna e-post och annan kommunikation mellan datorer.

Vid en incident är det viktigt att man har en fungerande backup av datorn för att kunna återställa systemet och för att kunna leta efter modifierade filer för att kunna dokumentera och rekonstruera vad som har hänt. Backuper utgör ett värdefullt utredningsmaterial och kan också vara viktigt som bevismaterial.

Erfarenheter från händelsen bör analyseras för att se om det kan leda till att nya rutiner utarbetas så att liknande händelser i framtiden kan hanteras på ett effektivt sätt.

Läs mera under avsnittet om Forensics i IT-säkerhetshandboken.


IT-säkerhetshandboken
http://www.susec.sunet.se