Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Проведение киберучений в игровой форме

Цель: тренировка службы информационной безопасности и персонала компании по реагированию на инциденты безопасности.

В карточке описана командная игра для специалистов по информационной безопасности. Классические киберучения с разбором кейсов дополняются игровой механикой.

Правила

  • 3-5 команд по 3-7 человек. 
  • 1-12 раундов (кейсов, инцидентов).
  • У всех команд одинаковая легенда, но разные: 
    • Возможности (защитные меры)
    • Обстоятельства (риски)
  • Задача команды в каждом раунде: 
     Составить и презентовать план действий по реагированию 
  • По завершении раунда: 
    •  Команды голосуют за выступления друг друга (0-5 баллов) 
    •  Команды передают по кругу 1 любую карточку риска 
  •  Цель команды - набрать максимальное число баллов
Варианты усложнения и изменения игры:
  • После определенного раунда можно объявить модернизацию системы защиты и заменить листы защитных мер. 
Алгоритм проведения игры
  1. Подготовка
    Команды придумывают себе названия и вписывают в карточку
  2. Легенда
    Ведущий озвучивает контекст организации, на примере которой будут проходить кейсы
  3. Проектирование системы защиты
    Команды выбирают наборы защитных мер на соответствующем бланке
  4. Распределение обстоятельств
    Ведущий раздает командам карточки рисков
  5. Раунды
    1. Ведущий зачитывает кейс (инцидент)
    2. Команды в течение 5 минут обсуждают и готовят ТОП-5 действий по реагированию на инцидент
    3. Применение карточек рисков
      Команды могут отменить карточку риска реализовав контрмеру и потратив баллы (указаны на карточке)
      Если у команды есть карточка риска связанная с удалением защитной меры - нужно вычеркнуть 1 защитную меру из своей системы защиты
    4. Каждая команда по очереди зачитывает свои ТОП-5 действий
      Если в действиях используются средств защиты - они должны быть среди приобретенных на этапе 3 защитных мер.
      Если на действия влияют карточки рисков команды то команда описывает их.
    5. Каждая команда голосует за выступления других команд
    6. Команда передает 1 любую карточку риска в соседнюю команду по кругу
  6. Подведение итогов
    Выигрывает команда набравшая наибольшее кол-во баллов. Суммируются голосования команд друг за друга и вычитаются баллы потраченные на отменение карточек рисков
Область действия: Вся организация
Классификация
Тип
Организационная ?
Удерживающая ?
Реализация
Вручную
Периодичность
Ежеквартально
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!

Схема игры

Для просмотра файла необходимо авторизоваться!

Карточка риска

Для просмотра файла необходимо авторизоваться!

Карточка риска

Для просмотра файла необходимо авторизоваться!

Карточка риска

Исполнение требований

CIS Critical Security Controls v8 (The 18 CIS CSC):
17.4
17.4 Establish and Maintain an Incident Response Process
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
NIST Cybersecurity Framework (RU):
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.1
A.16.1.1 Обязанности и процедуры 
Мера обеспечения информационной безопасности: Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1 CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
SWIFT Customer Security Controls Framework v2022:
7 - 7.1 Cyber Incident Response Planning
7.1 Cyber Incident Response Planning
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
NIST Cybersecurity Framework (EN):
RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях

Заметки

1
11 месяцев назад

Примеры кейсов (инцидентов) для киберучений

  • Утром в понедельник вы обнаружили что к вашему публичному терминальному серверу на Windows 2008 получил доступ злоумышленник. Все выходные хакер использовал ваш сервер как площадку для проведения незаконных финансовых операций (переводы денег с украденных карт и интернет-кошельков). Прямо сейчас - ничего не происходит. Через этот сервер ваши работники получают удаленный доступ в компанию. Ваши действия?
  • Работник офиса, подписывая обходной при увольнении, сказал, что потерял носитель (флешку), который использовал для хранения конфиденциальной информации и не может ее найти. Вам стало известно, что вчера он скопировал на носитель 5 GB данных со своего рабочего ПК (есть только инсайд от коллеги, который это видел).
  • В разгар рабочего дня от СЗИ пришел алерт, что из-под учетной записи генерального директора было скопировано более 30 гб данных на съемный носитель. Прежде таких объемов генеральный директор не копировал. Среди документов, скорее всего, есть коммерческая тайна.