¿Qué debo hacer cuando la información clasificada permanece en una computadora portátil no autorizada?

19

¿Alguna vez alguien ha tenido que lidiar con una computadora portátil no autorizada que obtiene datos de nivel Top Secret accidentalmente?

¿Cómo pusiste en cuarentena el sistema? ¿Se le pidió que entregara toda la computadora portátil o pudo destruir / formatear el disco duro?

NISPOM dice que se requiere la incineración o destrucción física de la unidad de disco duro, pero solo quería obtener las experiencias de las personas con este tipo de situación.

Aclaración: los datos nos fueron entregados como unclass (marcados como tales) y luego se encontró que los datos de clase estaban en ellos. En ese momento nos llamaron para bloquear todo.

Conclusion:

las computadoras portátiles fueron incautadas y se nos dice que el espacio libre se eliminará después de que un experto forense lo revise. Si todo sale bien, deberíamos recuperar nuestras computadoras portátiles y nuestros datos en unos días.

    
pregunta Crash893 11.08.2011 - 08:02
fuente

6 respuestas

11

Solía trabajar en TI en una Base de la Fuerza Aérea por un tiempo y en realidad tuvimos un par de incidentes como este.

En primer lugar, asegúrese de notificar a las autoridades apropiadas sobre el incidente. Ellos podrán instruirlo más en base a sus políticas de seguridad actuales.

  1. Es necesario aislar el acceso a la computadora portátil. Apágalo completamente, arrancar en el BIOS y deshabilitar los dispositivos de red. Si hay alguno interruptores inalámbricos, asegúrese de que estén desactivados.

  2. Asegúrese de que su propiedad identifique el material clasificado y la alcance de donde podría residir en su sistema. Y tomar la debida pasos para eliminarlo.

  3. Luego, desfragmenta el disco duro y encuentra una utilidad para empujar todas las archivos existentes en el disco duro al frente de la unidad. Entonces tú puede ejecutar una utilidad de forma segura para borrar de forma segura el espacio de disco restante.

Esa es una técnica común que se usa para limpiar un sistema, pero no intente esto sin primero informar el incidente y verificar que tiene permiso para realizar estas acciones. Diferentes tipos de incidentes requieren diferentes respuestas y es imperativo identificar el problema correctamente para que se puedan tomar las acciones correctas. Los pasos anteriores no son una solución para cada incidente. Son solo un buen punto de partida genérico.

    
respondido por el Trev 11.08.2011 - 17:33
fuente
12

Este es un incidente que debe manejar y supongo que no se ha detallado una respuesta estándar en su documentación.

Date cuenta de que tu sistema no funciona correctamente. No funciona de la forma en que estaba previsto.

  1. Aísle su sistema [es decir, su (s) red (es) y facilidad física si es posible] para evitar que los datos salgan de su sistema. Tenga cuidado de causar el menor cambio posible en los activos individuales. Desea que el estado de los activos permanezca constante hasta que pueda evaluarlos.
  2. Identifique la fuente o las fuentes de la fuga de datos.
  3. Aísle la fuente o las fuentes de fugas para evitar una mayor contaminación en su sistema. De nuevo, trata de preservar el estado actual tanto como sea posible. Esto le ayudará a identificar los activos contaminados por la fuente.
  4. Identifique todos los activos que pueden haber sido contaminados por la fuente o las fuentes.
  5. Aísle los activos potencialmente contaminados. Sé que se está volviendo repetitivo, pero preserva el estado de cada activo tanto como sea posible. Estos activos lo ayudarán a evaluar el alcance de la contaminación.
  6. Trate todos los activos potencialmente contaminados al nivel de la contaminación. En este caso, TS.
  7. Verifique que los activos restantes no estén contaminados.
  8. Respira, come o bebe algo, toma un breve descanso, porque el resto de tu día / semana / mes será doloroso.
  9. Discuta y planifique la remediación de activos contaminados. Planificar bien aquí le permitirá comprender el alcance del problema, a quiénes afecta y cuánto tiempo espera que se demande.
  10. Ejecute el plan de remediación e informe periódicamente sobre el progreso.
  11. dolor
  12. vacaciones

  

¿Alguna vez alguien ha tenido que lidiar con una computadora portátil no autorizada que obtiene datos de nivel Top Secret accidentalmente?

No lo he hecho. He estado involucrado en la contención y la remediación de datos confidenciales.

  

¿Cómo pusiste en cuarentena el sistema?

No he estado involucrado con el sistema contaminado primario, solo sistemas secundarios.

Para sistemas sospechosos de contaminación:

  • Señal de aviso de área restringida publicada en la puerta.
  • Cerró la puerta.
  • Se eliminaron las comunicaciones de red.
  • Apague el sistema para conservar la mayor cantidad posible del estado actual.
  • Analizó el sistema para verificar la presencia de los datos en cuestión.
  • Si se detecta, movió el sistema a un área segura para el saneamiento.

  

¿Se le pidió que entregara toda la computadora portátil o pudo destruir / formatear el disco duro?

La agencia involucrada determinará la acción a tomar, y las políticas y prácticas pueden variar de una agencia a otra.

No tengo experiencia personal, pero dado que TS se describe como 'Tal material causaría "excepcionalmente daño grave "a la seguridad nacional si se pone a disposición del público". Esperaría que todos los componentes físicos del artículo anteriormente conocido como computadora portátil se aplasten, aplasten, derriten, disuelvan, extruyan, desmenuzen y utilicen como objetivo en Una gama de artillería.

La consecuencia de la publicación de la información en comparación con el valor de la computadora portátil, el otro software y los datos de la computadora portátil, y cualquier otro elemento de valor adyacente, deja en claro que prevenir el lanzamiento de la información vale la pena. De total destrucción de la laptop.

    
respondido por el this.josh 11.08.2011 - 19:26
fuente
6

Si la información es de ese nivel alto, después de que las partes de aislamiento y forenses se realizan, nunca deja a la organización funcional y en una sola pieza. Puede limpiarlo y reutilizarlo de forma segura con el propósito de usarlo bajo la misma clasificación alta, si es necesario, pero nuevamente, se mantiene dentro de la organización. Cuando la computadora portátil está lista para su retiro, se elimina de forma segura y se destruye físicamente.

Y si su organización realmente está tratando con Top Secret , entonces la información es lo que es Valorado más y es de máxima prioridad. En ese caso, el costo de una computadora portátil no se negocia por el costo de la información.

    
respondido por el pootzko 12.08.2011 - 11:26
fuente
4

Los dos problemas centrales en cualquier jurisdicción deben ser:

  • notificar al organismo pertinente
  • proteja el activo (en este caso son los datos, no la computadora portátil)

El organismo notificado le dirá exactamente qué hacer con el dispositivo, por lo que no debería tener que averiguar qué debe hacer a partir de ese momento, pero dependiendo de su entorno, deberá decidir el curso de acción antes de recibir orientación.

Si usted es una organización que generalmente maneja información de TS, debe tener un documento de procedimientos, ¡sígalo!

    
respondido por el Rory Alsop 12.08.2011 - 14:53
fuente
4

Tuve un problema similar cuando estaba consultando para la NSA. Tenían algunos datos clasificados que necesitaban ser analizados en nuestro hardware especializado. Insistieron en la destrucción física del disco duro y la memoria RAM.

Todavía estoy un poco desconcertado por la destrucción física de la memoria RAM. Dijeron que la regla era cualquier cosa que pueda almacenar datos. Pero la CPU puede almacenar datos: tiene cachés y registros que también almacenan datos. Y la memoria RAM es tan volátil como la CPU.

Pero esa era la regla, así que eso es lo que hicimos.

    
respondido por el David Schwartz 30.08.2011 - 16:55
fuente
1

Tenga en cuenta que la pregunta relevante no es "cómo saneamos los datos" (un inicio rápido a DBAN lo haría) sino "cómo remediamos esta falla de manera que restablezca la confianza en el sistema". Es por eso que los procedimientos a veces parecen tan estúpidos: especialmente dependiendo de los datos involucrados, la confianza en el sistema puede ser más valiosa que los datos en sí.

Notifique a su oficial de seguridad y aísle el sistema. No intente remediación usted mismo. Deje que limpien el disco, pero lo que es más importante, que agiten su varita mágica sobre el sistema y devuelvan todo a su estado actual. Lo más probable es que la ceremonia sea aún más importante que los datos.

    
respondido por el Reid Rankin 13.11.2015 - 03:06
fuente

Lea otras preguntas en las etiquetas