[port139:00986] Re: CSIRT 組織図

[hamamoto <r00t@xxxxxxxxxxx>]

はまもとです。

> いはらです。

ども。

> hamamoto さんは書きました:
> >さらに組織が大きくなると、リスク管理担当(危機管理担当)あたりがいて、
> >インシデントのレベル分け判断をするくらいかなぁ。
> 
> ここが悩んでるところなんですが、リスクの重要度(危険度)については
> 事前に定義できると思うんですが、インシデントの報告に対してどのタ
> イミングで誰が重要度を判断するかってどうすべきなんでしょ？

これは悩みどころですね。

> インシデントの内容を確認
> ↓
> インシデントの重要度を判断
> 
> という流れが普通ですかね？

普通だと思います。

> 例えば Web サーバのコンテンツが改ざんされたいたらケーブルを抜くと
> かの一時対応を行う必要がある気がするんですが、その判断はどうして
> おくべきなのかなぁと・・・
> インシデント内容を確認する段階で、事前に定義したリスクに応じて上位
> の判断を仰がずに一時対応を行えるように決めておけばいいのかしら...

そういう判断については、「権限の委譲をあらかじめ行っておく」という形で
クリアできると思います。ただし明文化が必須ですね。

> >あと、蛇足として入れるなら、営業担当(お客様対応)とか、監査部門(再発
> >防止策)等ですかね。
> お、営業ですな、入れておこう。連絡担当の配下かな・・・。

お、入れられてしまった。

> 再発防止策の検討って CSIRT の役割として定義するべきなんですかね？
> #広義には含めるべきなんでしょうけど、作業的に分けた方がいいような...

すんません。ポリシーの人の視点で見ているので、Plan→Do→Checkで
ぐるぐるまわすところから、再発防止という感じになっています。
フェーズとして、分けてしまっても問題はないと思います。

+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------