گام 8: توجه ویژه ای به ارتباط با مدیران سیستم­ها داشته باشید

مدیران سیستم­ها افرادی هستند كه اغلب، در مورد امنیت كاربردی برای گروهی از سیستم­ها مسئول هستند. نبض سیستم­های كامپیوتری در دستان این افراد است. بارها مدیران سیستم آگاه بسیاری از رخدادها را با اخطار دادن در مورد اتفاقی كه به نظر عجیب می آید و با بازبینی فایل­های لاگ سیستم كشف كرده اند. از طرف دیگر، مدیران سیستم­ها پتانسیل ایجاد ضربه های سنگین در یك رخداد را دارا هستند. این افراد با حساب­های كاربری با اولویت بالا می­توانند به افراد نفوذگر هشدار دهند كه فعالیت آنها كشف شده است، شواهد را از بین ببرند یا حتی فایل­های سیستم را در اثر اشتباه پاك كنند.

فعالیت 8-1: مدیران سیستم­ها را درگیر كنید

مدیران سیستم­های بخش­های مختلف را برای مشاوره در مورد پروسه مدیریت رخداد دعوت كنید. این مجموعه، پرسپكتیو مورد نیاز برای حل مشكلات را به روش موثرتری فراهم می­كند.

فعالیت 8-2: آموزش پیش­گیرانه را هدایت كنید

كارگاه هایی را برای مدیران سیستم­ها در مورد بسته های نرم افزاری موجود برای تشخیص حملات و نظارت موثر بر سیستم­ها فراهم كنید. موثرترین اساتید معمولا كسانی هستند كه می­توانند تجارب دست اول در مدیریت رخدادها و در استفاده از ابزارها را شرح دهند. برای دریافت گواهی نامه امنیتی GIAC برای مدیران سیستم­ها و شبكه خود برنامه ریزی نمایید.

فعالیت 8-3: توانایی افراد در خواندن فایل­های لاگ را شناسایی كنید

نشانه های بسیاری از رخدادهای هرگز كشف نشده در داخل فایل­های لاگ قرار دارند. جمع آوری لاگ­های سیستم به تنهایی كافی نیست، بلكه مهم این است كه این لاگ­ها را بخوانید. ابزارهایی برای تحلیل آسانتر فایل­های لاگ و خودكار كردن این پروسه به كار بگیرید. اطمینان حاصل كنید كه سیاست شما برای نگهداری از لاگ­ها در موارد تحقیقات عمیقی كه در آن، لاگ­هایی از هفته ها و ماه­ها قبل مورد نیاز است مناسب است. آن دسته از مدیران سیستم­ها كه رخدادها را تشخیص می­دهند باید شناسایی شده و مورد تقدیر قرار گیرند.

فعالیت 8-4: پشتیبان گیری منظم از سیستم را ترویج كنید

نسخه های پشتیبان ناكافی علت بسیاری از فاجعه ها در بازیابی سیستم­ها پس از رخدادهای امنیتی هستند. پشتیبان­های به روز و پاك یا خارج از محل بسیار مهم هستند. مدیران سیستم­ها را تشویق كنید تا نسخه های پشتیبان خود را به روز نگه دارند و اطمینان حاصل كنند كه tape drive های آنها به درستی كار می­كنند. از سیستم­های حیاتی حداقل باید روزی یك بار نسخه پشتیبان تهیه شود. اطمینان حاصل كنید كه پشتیبان­های خارج از محل به موقع قابل بازیابی هستند. هر عضو از گروه مدیریت رخداد باید با نرم افزار پشتیبان گیری تجاری سازمان و نیز ابزارهای رایگانی مانند dd برای سیستم­های یونیكس و ntbackup برای سیستم­های ویندوز آشنا باشد.

فعالیت 8-5: اطمینان حاصل كنید كه عملیات رسیدگی (auditing) و لاگ گیری به خوبی انجام می­شود

اطمینان حاصل كنید كه رسیدگی و لاگ گیری پیش از وقوع یك رخداد به خوبی انجام می­شود. بعلاوه، اطمینان حاصل كنید كه ساعت­های سیستم­ها از یك منبع زمانی قابل اعتماد همزمان شده اند. این نكته این اطمینان را ایجاد می­كند كه فایل­های لاگ، زمان دقیق وقوع یك رخداد را نشان می­دهند. در هر زمان ممكن لاگ­ها را به سرورهای رزرو ارسال نمایید.

فعالیت 8-6: اطمینان حاصل كنید كه سیستم­ها دارای نرم افزار آنتی ویروس به روز هستند

نرم افزار آنتی ویروس می­تواند برای محافظت یك سیستم در برابر ویروس­ها، تروجان­ها، كرم­ها و سایر كدهای خرابكار مورد استفاده قرار گیرد. نرم افزار آنتی ویروس تنها زمانی موثر است كه توصیفات ویروس­ها در آن به طور مرتب به روز گردد. اغلب سایت­ها هر روز به روز می­شوند. بهتر است هر از گاهی آنتی ویروس خود را چك كنید تا اطمینان حاصل كنید كه درست كار می­كند. چرا كه كدهای خرابكار جدید سعی می­كنند آنتی ویروس و فایروال شخصی را از كار بیندازند.

فعالیت 8-7: با پیكربندی­های سرور و سیستم عامل­ها آشنا باشید

شما باید با پروسه های متعارف سیستم عامل مانند lsass.exe بر روی ویندوز NT/2000 و syslog بر روی یونیكس آشنا باشید. برای سیستم­های متصل به اینترنت، پروسه هایی را كه باید بر روی سیستم­ها اجرا گردند مستند نمایید. اگر قادر باشید پروسه های سیستمی عادی را تشخیص دهید، قادر خواهید بود به سرعت برنامه های غیرعادی را نیز شناسایی نمایید. این برنامه ها می­توانند تروجان یا درهای پشتی باشند كه توسط مهاجمان بر روی سیستم شما قرار می­گیرند. الگوریتم­های درهم سازی رمزنگاری مانند MD5 یا SHA-1 را اجرا كنید یا نرم افزارهایی مانند Tripwire را نصب نمایید تا تمامیت فایل­های سیستمی حیاتی را كنترل كنید.

فعالیت 8-8: تست نفوذ انجام دهید

یكی از بهترین راه­ها برای جلوگیری از رخدادها این است كه اطمینان حاصل كنید كه سیستم­های شما آسیب پذیر نیستند. تست­های نفوذ را مرتب انجام دهید تا مطمئن شوید كه سیستم­های شما به طور امن پیكربندی شده اند و اصلاحیه های آنها اعمال شده است. یك روش این است كه این تست را در سه مرحله انجام دهید: 1- شناسایی مودم­های بدون مجوز یا با مجوزی كه ضعیف پیكربندی شده اند. 2- تست خارجی برای اینكه یك فرد خارجی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. 3- تست داخلی برای اینكه یك فرد داخلی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. اگر منابع لازم برای انجام یك تست نفوذ خوب را در اختیار ندارید، حداقل یك اسكن كننده آسیب پذیری مانند nessus را اجرا كنید.

گام 9: ارتباطاتی را با آژانس­های حقوقی و سایر گروه­های پاسخگویی به رخدادهای كامپیوتری ایجاد كنید

اگر ارتباطات خود را از قبل سازماندهی نمایید، زمانی كه در وضعیت بحرانی به كمك احتیاج دارید این كار راحتتر انجام می­گیرد. ممكن است آژانس­های حقوقی متعددی مسئولیت­هایی برای مدیریت رخدادهای كامپیوتری داشته باشند كه با یكدیگر همپوشانی داشته باشند. مساله این است كه چگونه افرادی را پیدا كرده و با آنها تماس بگیریم كه در مورد رخدادهای كامپیوتری اطلاعات لازم را دارا هستند.

فعالیت 9-1: با قوانین كاربردی آشنا باشید

خود را با قوانین محلی مرتبط با جرایم كامپیوتری شامل قوانین مدیریت شواهد و تعقیب قانونی آشنا كنید. اگر قصد شما این است كه مجرم را مورد تعقیب قانونی قرار دهید، باید مفاهیم قانونی را درك نمایید.

فعالیت 9-2: انواع شرایطی را كه نهادهای اجرایی قانون درگیر خواهند شد شناسایی كنید

نهادهای اجرایی قانون پیش از هرچیز بر توقیف كردن و تعقیب كردن مجرمان تمركز دارند. آژانس­های حقوقی در این موارد كار می­كنند: خلافكاری، سرقت، جاسوسی، هرزنگاری كودكان و تهدیدات كامپیوتری. از طرف دیگر در شرایطی ممكن است كه این آژانس­ها قادر نباشند در پاسخگویی كمك نمایند. در صورتی كه شواهد حفظ نشوند یا اینكه مورد پیش آمده چندان ارزشمند به نظر نیاید، ممكن است آنها صرفا یك تحقیق سرسری انجام دهند.

فعالیت 9-3: پیش از وقوع یك رخداد با نهادهای محلی اجرایی قانون تماس بگیرید

اكنون زمان آن است كه ماموران جرایم كامپیوتری محلی خود را شناسایی كنید. آنها اغلب مایلند آموزش­هایی در مورد جرایم كامپیوتری به سازمان شما ارائه دهند و مدیریت شما را ملاقات نمایند. آنها همچنین می­توانند به شما برای تعیین ملزومات محلی و ملی برای مدیریت شواهد كمك كنند. تمامی اطلاعات تماس مربوط به این نهادها و اعضای آن شامل شماره های تلفن، آدرس­های ایمیل و سایر موارد مشابه را جمع آوری كنید. این اطلاعات تماس را در راهبردهای مدیریت رخداد سازمان خود یادداشت نمایید. ارتباطات از هر نوعی كه باشند، یك سرمایه به حساب می آیند. در یك رخداد این افراد می­توانند خود را به عنوان بهترین دوست سازمان شما به اثبات برسانند. برخی سایت­ها قویا پیشنهاد می­دهند كه یك فرد خاص به عنوان رابط حقوقی گروه انتخاب شود.

فعالیت 9-4: با یك گروه CIRT یا FIRST متصل شده یا چنین گروهی ایجاد كنید

اگر یك گروه پاسخگویی به رخدادهای كامپیوتری یا نهاد هماهنگ كننده برای سازمان­هایی مانند شما وجود دارد، اعضای آن را شناسایی كرده و مكانیزم­هایی برای كمك گرفتن از آنها در هنگام نیاز ایجاد كنید.

گام 5: امكانات گزارش دهی ساده فراهم كنید

زمانی كه كاربران نمی­دانند در صورت مشاهده یك رخداد امنیتی با چه كسی تماس گرفته یا چه بگویند، گزارش اطلاعات در مورد رخدادهای احتمالی را به تاخیر می اندازند. گزارش رخدادهای امنیتی كامپیوتری باید به اندازه گزارش یك واقعه آتش سوزی ساده باشد.

فعالیت 5-1: به كاربران آموزش دهید

زمانی كه كارمند جدیدی وارد سازمان می­شود، فرصت ایده آلی برای آگاهی دادن و راهنمایی وی در مورد روال­های مدیریت رخداد و پروسه گزارش دهی در سازمان است. البته حافظه افراد در طول زمان كمرنگ می­شود و به همین دلیل شما نباید روی معارفه اولیه كارمندان حساب چندانی باز كنید. اطلاع رسانی در مورد پاسخگویی رخداد در سازمان شما باید بخشی از آگاهی­ها و هشدارهای امنیتی سالانه شما باشد.

فعالیت 5-2: فهرستی از نشانه های یك رخداد را منتشر كنید

فهرستی از نشانه ها می­تواند به گروه شما و سایرین كمك كند كه یك رخداد را شناسایی نمایند. مثال­هایی از نشانه ها عبارتند از: فعالیت در حساب­های كاربری كه پیش از این بلا استفاده بوده اند، دسترسی­های غیر معمول خارج از محل، اسكریپت­های ریشه تخصیص id جدید، انتقال كلمات عبور در لاگ­های ftp و وب، از كار افتادن سیستم، پر شدن غیر عادی فایل سیستم­ها، نام­های فایل جدید یا نا آشنا و موارد غیر عادی مشابه. با مدیران سیستم­های سازمان خود برای تهیه فهرستی از نشانه هایی كه متناسب با سیستم عامل­های مورد استفاده در سازمان شما هستند همكاری نمایید.

فعالیت 5-3: از وب استفاده كنید

یك صفحه وب رخداد اینترانتی ایجاد كرده و به كاربران كمك كنید كه گروه مدیریت رخداد كامپیوتری شما را پیدا كنند. هر دپارتمانی باید یك كپی از این اطلاعات را در صورتی كه شبكه یا وب سرور از كار افتاده باشد در اختیار داشته باشد. شما همچنین می­توانید از صفحه وب برای آگاه نگاه داشتن سازمان خود از تغییرات استفاده نمایید.

فعالیت 5-4: گزارش دهی از طریق ایمیل یا تلفن را تبلیغ كنید

یك ایمیل ساده مانند incident@(yourorganization).org ایجاد كنید تا كاربران از طریق آن اقدام به گزارش كردن رخدادها نمایند. همچنین تخصیص خطوط تلفنی برای گزارش كردن رخدادهای امنیتی به صورت ناشناس و رایگان بسیار كمك كننده است.

فعالیت 5-5: به گزارش دهندگان پاداش بدهید

یك سازمان كارمندانی را كه رخدادها یا وقایع مشكوك را شناسایی كرده اند با یك جایزه مورد تقدیر قرار می­دهد. سازمان دیگری تصویر كارمندان هوشیار را با توضیح كوتاهی در مورد نحوه شناسایی رخداد توسط آنها و كمكی كه به سازمان كرده اند منتشر می­كند. به هر حال كارمندانی كه رخدادها را گزارش می­كنند باید مورد قدردانی قرار گیرند.

فعالیت 5-6: اطلاعات مدیریت را به صورت مداوم به روز نمایید

مدیریت را در مورد تهدیدات، هزینه رخدادها، ملزومات امنیتی و اطلاعات مشابه دیگر مطلع و آگاه نگاه دارید.

فعالیت 5-7: پارامترها و ملزومات رخداد را مشخص كنید

ملزوماتی را كه پیش از اعلام وقوع رخداد به مدیریت ارشد یا آژانس­های قانونی خارج از سازمان مورد نیاز است مشخص كنید. اطمینان حاصل كنید كه هر تماسی از این نوع مورد قبول مدیریت و اداره روابط عمومی قرار خواهد گرفت.

فعالیت 5-8: فرم­های گزارش دهی برای رخدادها را ایجاد و نگهداری نمایید

فرم­هایی برای ثبت اطلاعات رخدادها آماده كنید. استفاده از فرم­های از پیش آماده شده این اطمینان را ایجاد می­كند كه رخدادها به طور كامل و با اطلاعات دقیق ثبت شده اند.

گام 6: به اعضای گروه آموزش دهید

كارمندان ناآگاه و آموزش ندیده می­توانند در هنگام وقوع یك رخداد، دردسرهای بزرگی ایجاد كنند. پاسخگویی به یك رخداد می­تواند فشار زیادی بر روی گروه پاسخگویی وارد آورد. یك گروه آموزش دیده می­تواند كمك كند كه جریانات بسیار آرامتر پیش بروند.

فعالیت 6-1: نشستی برای برنامه ریزی و آموزش سناریوها تنظیم كنید

نشستی برای گروه مدیریت رخداد فراهم كنید تا در مورد چگونگی مدیریت سناریوهای اساسی بحث كنند. مثال­ها می­تواند شامل یك اپیدمی ویروسی، تلاش­های ناموفق برای نفوذ به كامپیوتر، نفوذهای موفق به كامپیوترها یا كشف حجم قابل توجهی از تصاویر غیر اخلاقی كودكان بر روی یك كامپیوتر شركت باشد. در مورد نحوه مدیریت این رخدادها تصمیم گیری كنید. مشخص كنید كه آیا منابع خارج از سازمان باید درگیر موضوع گردند یا خیر. سناریوهای ساختگی را با درس­هایی كه از آنها می­توان گرفت پی­گیری نمایید. سناریوهای مثالی و پاسخ آنها را در برنامه رسمی پاسخگویی رخداد سازمان خود درج كنید.

فعالیت 6-2: ابزارها و تكنیك­های آموزش را فراهم كنید

آموزش­هایی برای اعضای گروه پاسخگویی به رخداد در مورد استفاده از ابزارها و تكنیك­ها برای تهیه پشتیبان، جمع آوری شواهد و تحلیل فراهم كنید. یك CD یا فلاپی با ابزارهای جرم شناسی ایجاد نمایید. در صورتی كه قصد دارید از نتایج این ابزارها به عنوان شاهد قانونی استفاده كنید، بهتر است گروه حقوقی نیز این ابزارها را بازبینی نمایند. اطمینان حاصل كنید كه اعضای گروه به خوبی توجیه شده اند كه هرگز برنامه ها را مستقیما بر روی یك میزبان كه مورد سوء استفاده قرار گرفته است اجرا نكنند. اطمینان حاصل كنید كه ابزارهای انتخابی شما برای تحلیل جرم شناسی مورد قبول هستند و شواهد موجود بر روی سیستم هدف را تغییر نمی­دهند.

فعالیت 6-3: درایوهای پرظرفیت تهیه كنید

از آنجاییكه تهیه و نگهداری نسخه های پشتیبان یكی از مهمترین وظایف شماست، خود را با دیسك­های پر ظرفیت، دفترچه راهنمای نحوه استفاده از آنها، و انواع كابل­ها و ترمیناتورها مجهز كنید. استفاده از این ابزارها را پیش از اینكه در شرایط بحران به آنها نیاز پیدا كنید تمرین نمایید.

فعالیت 6-4: بازی­های جنگی ایجاد كنید

نشست­هایی برای شبیه سازی یك رخداد برای مدیران سیستم و اعضای گروه مدیریت رخداد اجرا كنید كه در آنها، برخی از اعضا به عنوان مهاجم و سایرین به عنوان مدافعان اعمال نقش نمایند. این بازی­های جنگی را صرفا به پرسنل ارشد محدود نكنید. برنامه پاسخگویی رخداد خود را طوری به روز نمایید كه شامل تمامی مسائل مطرح شده در آموزش­ها و تمرینات باشد.

گام 7: راهكارهایی را برای همكاری­های درون سازمانی ایجاد نمایید

زمانی كه یك رخداد اتفاق می افتد، معمولا كمبودی به لحاظ تعداد افرادی كه تمایل به كمك كردن دارند مشاهده نمی­شود. اما اگر نقش­های سازمانی و تعامل میان آنها به خوبی تعریف نشده باشند، برخی از این افراد می­توانند باعث وخیم­تر شدن اوضاع گردند.

فعالیت 7-1: مدیریت محلی در مورد رخدادهای كوچك را تقویت كنید

كاربران و مدیران سیستم­های محلی باید قادر باشند رخدادهای كوچك مانند آلودگی­های ویروسی را مدیریت نمایند. سیاست رخداد سازمان باید تعیین كند كه كاربران و مدیران سیستم­ها كدام رخدادها را به تنهایی می­توانند مدیریت نمایند و كدام رخدادها را باید گزارش كنند.

فعالیت 7-2: همكاری نزدیكی با help desk ها داشته باشید

نخستین نشانه وقوع یك مشكل می­تواند كاربری باشد كه به یك help desk (واحد پشتیبانی) گزارش می­دهد. help desk ها می­توانند اولین خط دفاعی برای رخدادهای كوچكی مانند آلودگی­های ویروسی كه چند سیستم را درگیر كرده است باشند. بسیاری از help desk ها ساعت سرویس دهی طولانی داشته و برخی حتی شبانه روزی هستند. Help desk را به بخشی از گروه مدیریت رخداد تبدیل كنید و به عنوان نقطه تماس برای گزارش رخدادها از آن استفاده نمایید.

Help desk ها همچنین یك هدف اولیه برای حملات مهندسی اجتماعی هستند. یك حمله بسیار ساده مهندسی اجتماعی تلفنی است كه می­گوید: «من برای تحویل یك گزارش مهم به مدیر عجله دارم و متاسفانه كلمه عبور خود را فراموش كرده ام. ممكن است یك كلمه عبور جدید به من بدهید؟» اگر كارمندان help desk بخشی از پروسه مدیریت رخداد شما باشند، از انواع حملاتی كه بر علیه سازمان شما انجام می­شود آگاه هستند و احتمال آسیب پذیری آنها در برابر حملات مهندسی اجتماعی كمتر خواهد بود. بعلاوه در بسیاری از سازمان­ها كارمندان help desk بر مدیریت شبكه و كنسول­های نفوذ نظارت می­كنند و در نتیجه در مورد مشاهده، گزارش دادن و احتمالا پاسخگویی به رخدادها آموزش­های اولیه دیده اند. در نهایت اگر كاربر یكی از سیستم­ها مشكلی را مشاهده كند و تشخیص ندهد كه مربوط به یك سوء استفاده امنیتی است یا خیر، احتمالا مشكل را به help desk گزارش خواهد داد.

گام 4: یك طرح ارتباطی اورژانس ایجاد كنید

نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، كارهای بسیار مهمی هستند كه پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای كه در طول رخدادها ممكن است رخ دهند، ممكن است كانال­های ارتباطی طبیعی قطع گردند.

فعالیت 4-1: یك لیست تماس تهیه كرده و روش­هایی برای اطلاع رسانی سریع به افراد ایجاد كنید

از فرم­های ارتباطی برای ثبت شماره تلفن­ها و تماس­ها استفاده كنید. یك فرد جایگزین برای هریك از مدیران سیستم­ها تعیین كرده و اطلاعات تماس هر مدیر سیستم و افراد شبكه را در اختیار داشته باشید. شماره محل كار، تلفن موبایل و منزل كارمندان و تلفن­های جایگزین برای زمانی كه این افراد ممكن است در دسترس نباشند را برای مواقع ضروری ثبت كنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.

فعالیت 4-2: یك درخت تماس برای هشدار در مورد رخداد تهیه كنید

پس از اینكه یك رخداد شناسایی شده و گروه مدیریت رخداد در محل، به محل وقوع رخداد اعزام شد، یك درخت تماس می­تواند برای برای تماس گرفتن با بسیاری از افراد در سازمان شما مورد استفاده قرار گیرد. یك درخت تماس به شما اجازه می­دهد كه با یك بخش از سازمان تماس گرفته و از این طریق تماس­هایی را با سایر افراد كلیدی آن بخش برقرار كنید. شما همچنین می­توانید این درخت را در برنامه خروج از بحران سازمان خود تعریف كنید. چارت سازمانی شما بهترین نقطه شروع برای ایجاد این درخت است. درخت تماس و لیست تماس را حداقل هر سال یك بار تست كنید.

نكته: راهنمایی برای استفاده از درخت تماس باید از طرف گروه تصمیم و دستور ارائه گردد.

فعالیت 4-3: نسخه پشتیبان لیست تماس و درخت تماس را خارج از محل نگهداری كنید

كپی­هایی از لیست تماس و درخت تماس را خارج از محل نگهداری كنید و اطمینان حاصل كنید كه اعضای گروه پاسخگویی به رخداد محل این اطلاعات را می­دانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.

فعالیت 4-4: اطمینان حاصل كنید كه كلمات عبور و كلیدهای رمزنگاری به روز و در دسترس هستند

هر چقدر لیست تماس شما مناسب باشد، باز هم ممكن است برخی مدیران سیستم­ها در هنگام یك رخداد حیاتی در دسترس نباشند. اطمینان حاصل كنید كه كلمات عبور مورد استفاده برای دسترسی به root یا دسترسی مدیریتی به هر سیستم و نیز LAN داخل سازمان، بر روی یك كاغذ ثبت شده و در پاكت­های مهر و موم شده و امضا شده كوچك و برچسب گذاری شده، قرار گرفته است. این پاكت­ها باید طوری مهر و موم و امضا شوند كه در صورت باز شدن توسط دیگران، كاملا مشخص باشد. همچنین این پاكت­ها باید در محلی امن نگهداری شوند كه توسط گروه مدیریت قابل دسترسی باشند. روال­هایی ایجاد كنید تا اطمینان حاصل نمایید كه این كلمات عبور به روز هستند. همین پروسه برای ذخیره كلیدهای رمزگذاری برای اطلاعات حساس نیز مفید است. اطمینان حاصل كنید كه روال­های شما شامل تمهیداتی برای تشخیص افرادی كه در طول یك وضعیت اورژانسی نیاز به یك كلمه عبور یا كلید رمزنگاری دارند، می­باشد. زمانی كه این دسترسی دیگر لازم نیست، مطمئن شوید كه كلمات عبور تغییر كرده اند و كلیدهای جدید جایگزین شده اند.

فعالیت 4-5: یك نقطه تماس اولیه و یك مركز ارتباطی ایجاد كنید

هماهنگی موثر نیاز به یك نقطه تماس واحد (POC) دارد. در غیر اینصورت كسی نمی­داند كه چه كسی مسئول است. برای رخدادهای بزرگتر، این فرد باید مدیر یك گروه Command Post باشد كه یك مركز ارتباط و پاسخگویی ایجاد می­كند. این مركز باید محلی با تعداد زیادی خط تلفن، صندوق­های پست صوتی و فكس باشد. برخی از این خطوط تلفن و فكس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفن­های سلولی و باتری­های یدكی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید كپی­هایی از تمامی روال­های رخدادها و اطلاعات تماس نگهداری شود.

فعالیت 4-6: (در محل­های بسیار حیاتی) ارتباطات امن ایجاد كنید

در رخدادهای بزرگ، ممكن است كه هم سیستم­های كامپیوتری و هم مركز تلفن سازمان شما مورد نفوذ قرار گیرند. در حقیقت در تعداد زیادی از رخدادها، فرد مجرم یك كارمند یا پیمانكار سازمان شماست و در موقعیتی قرار گرفته است كه می­تواند به خوبی ارتباطات شما را كنترل نماید. در چنین وضعیتی تلفن­ها و سیستم­های فكس رمزگذاری شده، ممكن است تنها راه برای نگهداری ارتباطات گروه بدون اطلاع مهاجم باشد. ابزارهای در دسترس شامل PGP، صفحات وب امن و گروه­های خبری امن برای تمامی ارتباطات گروه به گروه هستند.

فعالیت 4-7: برنامه هایی برای تخصیص منابع لازم برای گروه­ها ایجاد كنید

هر دو گروه باید روال­هایی برای سفارش غذا، محل استقرار، نرم افزارها و سایر منابع مورد نیاز در طول یك رخداد داشته باشند. گروه پاسخگویی در محل باید به نرم افزار و سخت افزار پشتیبان، دیسكت­های راه اندازی برای سیستم عامل­های معمول، فلاپی­های خالی و پرینترهای قابل جابجایی دسترسی داشته باشند.

گام 4: یك طرح ارتباطی اورژانس ایجاد كنید

نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، كارهای بسیار مهمی هستند كه پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای كه در طول رخدادها ممكن است رخ دهند، ممكن است كانال­های ارتباطی طبیعی قطع گردند.

فعالیت 4-1: یك لیست تماس تهیه كرده و روش­هایی برای اطلاع رسانی سریع به افراد ایجاد كنید

از فرم­های ارتباطی برای ثبت شماره تلفن­ها و تماس­ها استفاده كنید. یك فرد جایگزین برای هریك از مدیران سیستم­ها تعیین كرده و اطلاعات تماس هر مدیر سیستم و افراد شبكه را در اختیار داشته باشید. شماره محل كار، تلفن موبایل و منزل كارمندان و تلفن­های جایگزین برای زمانی كه این افراد ممكن است در دسترس نباشند را برای مواقع ضروری ثبت كنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.

فعالیت 4-2: یك درخت تماس برای هشدار در مورد رخداد تهیه كنید

پس از اینكه یك رخداد شناسایی شده و گروه مدیریت رخداد در محل، به محل وقوع رخداد اعزام شد، یك درخت تماس می­تواند برای برای تماس گرفتن با بسیاری از افراد در سازمان شما مورد استفاده قرار گیرد. یك درخت تماس به شما اجازه می­دهد كه با یك بخش از سازمان تماس گرفته و از این طریق تماس­هایی را با سایر افراد كلیدی آن بخش برقرار كنید. شما همچنین می­توانید این درخت را در برنامه خروج از بحران سازمان خود تعریف كنید. چارت سازمانی شما بهترین نقطه شروع برای ایجاد این درخت است. درخت تماس و لیست تماس را حداقل هر سال یك بار تست كنید.

نكته: راهنمایی برای استفاده از درخت تماس باید از طرف گروه تصمیم و دستور ارائه گردد.

فعالیت 4-3: نسخه پشتیبان لیست تماس و درخت تماس را خارج از محل نگهداری كنید

كپی­هایی از لیست تماس و درخت تماس را خارج از محل نگهداری كنید و اطمینان حاصل كنید كه اعضای گروه پاسخگویی به رخداد محل این اطلاعات را می­دانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.

فعالیت 4-4: اطمینان حاصل كنید كه كلمات عبور و كلیدهای رمزنگاری به روز و در دسترس هستند

هر چقدر لیست تماس شما مناسب باشد، باز هم ممكن است برخی مدیران سیستم­ها در هنگام یك رخداد حیاتی در دسترس نباشند. اطمینان حاصل كنید كه كلمات عبور مورد استفاده برای دسترسی به root یا دسترسی مدیریتی به هر سیستم و نیز LAN داخل سازمان، بر روی یك كاغذ ثبت شده و در پاكت­های مهر و موم شده و امضا شده كوچك و برچسب گذاری شده، قرار گرفته است. این پاكت­ها باید طوری مهر و موم و امضا شوند كه در صورت باز شدن توسط دیگران، كاملا مشخص باشد. همچنین این پاكت­ها باید در محلی امن نگهداری شوند كه توسط گروه مدیریت قابل دسترسی باشند. روال­هایی ایجاد كنید تا اطمینان حاصل نمایید كه این كلمات عبور به روز هستند. همین پروسه برای ذخیره كلیدهای رمزگذاری برای اطلاعات حساس نیز مفید است. اطمینان حاصل كنید كه روال­های شما شامل تمهیداتی برای تشخیص افرادی كه در طول یك وضعیت اورژانسی نیاز به یك كلمه عبور یا كلید رمزنگاری دارند، می­باشد. زمانی كه این دسترسی دیگر لازم نیست، مطمئن شوید كه كلمات عبور تغییر كرده اند و كلیدهای جدید جایگزین شده اند.

فعالیت 4-5: یك نقطه تماس اولیه و یك مركز ارتباطی ایجاد كنید

هماهنگی موثر نیاز به یك نقطه تماس واحد (POC) دارد. در غیر اینصورت كسی نمی­داند كه چه كسی مسئول است. برای رخدادهای بزرگتر، این فرد باید مدیر یك گروه Command Post باشد كه یك مركز ارتباط و پاسخگویی ایجاد می­كند. این مركز باید محلی با تعداد زیادی خط تلفن، صندوق­های پست صوتی و فكس باشد. برخی از این خطوط تلفن و فكس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفن­های سلولی و باتری­های یدكی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید كپی­هایی از تمامی روال­های رخدادها و اطلاعات تماس نگهداری شود.

فعالیت 4-6: (در محل­های بسیار حیاتی) ارتباطات امن ایجاد كنید

در رخدادهای بزرگ، ممكن است كه هم سیستم­های كامپیوتری و هم مركز تلفن سازمان شما مورد نفوذ قرار گیرند. در حقیقت در تعداد زیادی از رخدادها، فرد مجرم یك كارمند یا پیمانكار سازمان شماست و در موقعیتی قرار گرفته است كه می­تواند به خوبی ارتباطات شما را كنترل نماید. در چنین وضعیتی تلفن­ها و سیستم­های فكس رمزگذاری شده، ممكن است تنها راه برای نگهداری ارتباطات گروه بدون اطلاع مهاجم باشد. ابزارهای در دسترس شامل PGP، صفحات وب امن و گروه­های خبری امن برای تمامی ارتباطات گروه به گروه هستند.

فعالیت 4-7: برنامه هایی برای تخصیص منابع لازم برای گروه­ها ایجاد كنید

هر دو گروه باید روال­هایی برای سفارش غذا، محل استقرار، نرم افزارها و سایر منابع مورد نیاز در طول یك رخداد داشته باشند. گروه پاسخگویی در محل باید به نرم افزار و سخت افزار پشتیبان، دیسكت­های راه اندازی برای سیستم عامل­های معمول، فلاپی­های خالی و پرینترهای قابل جابجایی دسترسی داشته باشند.