Tuesday, July 6, 2010

Security Incident Report

Hi All,
According to a lot of information security standards you must write a special report in case security incident occurs.
Having well-designed template for this purpose will save your time and simplify process of security event registration.
For this purpose I propose you two self-made templates: in English and Russian:

English version

Security incident Report#04.01.08_email

Detected.
1.st time detected 05.12.2007
2.nd time detected 04.01.2008

Description:
Internal email message in foreign e-mail box.

Result of investigation:

This situation occurs when user choose account ……

Scope of vulnerability:
All Corporate e-document flow solutions based on Lotus.

Security risk: Low
Desc: foreign user can obtain only notification without any confidential information

Way to fix.
1. way - block all e-emails from local user going
Responsible: It could be done by system administrator by IT department.
Current status: Not done. Reason: Possible problem with e-mail system stability.

2. way - change all E-document flow notification mechanism.
Responsible: IT department.
Current status. Not done. Reason: Impossible according to built-in e-document flow mechanism..

Investigation process:
1st
2nd
3d

Signatures:

Head of it-security group ___________ Smith J.
It-security group investigator ___________ McDonald D.
Head of IT _________ Watson H.

Russian version:

Security incident Report #28.05.08_Taburetka


Обнаружено.
27 мая 2008 года

Краткое описание:
Попытки рассылки спама.

Результаты расследования:
Наличие широкого спектра активного шпионского и вредоносного ПО на рабочей станции сотрудника
Высокая вероятность заражения серверного сегмента

Потенциально уязвимые системы:
Система Табуретка

Уровень рисков безопасности: Высокий
Описание: существует высокая вероятность того, что произошло заражение серверного сегмента системы Табуретка.
Это может привести как к некорректной работе системы так и к утечке конфиденциальных данных.
Также риску заражения подвергнуты другие ИС компании.

Возможные методы локализации и устранения.
Регулярное обновление и проведение полного сканирования с помощью антивирусного ПО всех рабочих станций сотрудников

Сканирование на наличие шпионского и вредоносного ПО серверного сегмента системы Табуретка.
Риск – серьезное падение производительности в момент сканирования.

Установка серверного антивирусного ПО и обновлений на сервера.

Пересмотр в сторону уменьшения доступов и полномочий сотрудников на системе Табуретка и других ИС.

Ход расследования:

1.
2.
3.

Руководитель Группы IT безопасности ___________ Петро З.Е.

специалист Группы IT безопасности ___________ Ветров Э.М

Администратор системы Табуретка _________ Иванов Г.П.


Stay secured!