Куда я попал?
Цель: тренировка службы информационной безопасности и персонала компании по реагированию на инциденты безопасности.
В карточке описана командная игра для специалистов по информационной безопасности. Классические киберучения с разбором кейсов дополняются игровой механикой.
В карточке описана командная игра для специалистов по информационной безопасности. Классические киберучения с разбором кейсов дополняются игровой механикой.
Правила
- 3-5 команд по 3-7 человек.
- 1-12 раундов (кейсов, инцидентов).
- У всех команд одинаковая легенда, но разные:
- Возможности (защитные меры)
- Обстоятельства (риски)
- Задача команды в каждом раунде:
Составить и презентовать план действий по реагированию - По завершении раунда:
- Команды голосуют за выступления друг друга (0-5 баллов)
- Команды передают по кругу 1 любую карточку риска
- Цель команды - набрать максимальное число баллов
Варианты усложнения и изменения игры:
- После определенного раунда можно объявить модернизацию системы защиты и заменить листы защитных мер.
Алгоритм проведения игры
- Подготовка
Команды придумывают себе названия и вписывают в карточку - Легенда
Ведущий озвучивает контекст организации, на примере которой будут проходить кейсы - Проектирование системы защиты
Команды выбирают наборы защитных мер на соответствующем бланке - Распределение обстоятельств
Ведущий раздает командам карточки рисков - Раунды
- Ведущий зачитывает кейс (инцидент)
- Команды в течение 5 минут обсуждают и готовят ТОП-5 действий по реагированию на инцидент
- Применение карточек рисков
Команды могут отменить карточку риска реализовав контрмеру и потратив баллы (указаны на карточке)
Если у команды есть карточка риска связанная с удалением защитной меры - нужно вычеркнуть 1 защитную меру из своей системы защиты - Каждая команда по очереди зачитывает свои ТОП-5 действий
Если в действиях используются средств защиты - они должны быть среди приобретенных на этапе 3 защитных мер.
Если на действия влияют карточки рисков команды то команда описывает их. - Каждая команда голосует за выступления других команд
- Команда передает 1 любую карточку риска в соседнюю команду по кругу
- Подведение итогов
Выигрывает команда набравшая наибольшее кол-во баллов. Суммируются голосования команд друг за друга и вычитаются баллы потраченные на отменение карточек рисков
Область действия: Вся организация
Классификация
Тип
Организационная
?
Удерживающая
?
Реализация
Вручную
Периодичность
Ежеквартально
Ответственный
Не определено
Инструменты
Не определено
Для просмотра файла необходимо авторизоваться!
Схема игры
Для просмотра файла необходимо авторизоваться!
Карточка риска
Для просмотра файла необходимо авторизоваться!
Правила игры
Для просмотра файла необходимо авторизоваться!
Материалы для игры
Для просмотра файла необходимо авторизоваться!
Карточки рисков
Для просмотра файла необходимо авторизоваться!
Карточка риска
Для просмотра файла необходимо авторизоваться!
Карточка риска
Исполнение требований
CIS Critical Security Controls v8 (The 18 CIS CSC):
17.4
17.4 Establish and Maintain an Incident Response Process
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
NIST Cybersecurity Framework (RU):
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.1
A.16.1.1 Обязанности и процедуры
Мера обеспечения информационной безопасности: Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности
Мера обеспечения информационной безопасности: Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1
CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
SWIFT Customer Security Controls Framework v2022:
7 - 7.1 Cyber Incident Response Planning
7.1 Cyber Incident Response Planning
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
NIST Cybersecurity Framework (EN):
RS.CO-1
RS.CO-1: Personnel know their roles and order of operations when a response is needed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Заметки
1Примеры кейсов (инцидентов) для киберучений