Este es un incidente que debe manejar y supongo que no se ha detallado una respuesta estándar en su documentación.
Date cuenta de que tu sistema no funciona correctamente. No funciona de la forma en que estaba previsto.
- Aísle su sistema [es decir, su (s) red (es) y facilidad física si es posible] para evitar que los datos salgan de su sistema. Tenga cuidado de causar el menor cambio posible en los activos individuales. Desea que el estado de los activos permanezca constante hasta que pueda evaluarlos.
- Identifique la fuente o las fuentes de la fuga de datos.
- Aísle la fuente o las fuentes de fugas para evitar una mayor contaminación en su sistema. De nuevo, trata de preservar el estado actual tanto como sea posible. Esto le ayudará a identificar los activos contaminados por la fuente.
- Identifique todos los activos que pueden haber sido contaminados por la fuente o las fuentes.
- Aísle los activos potencialmente contaminados. Sé que se está volviendo repetitivo, pero preserva el estado de cada activo tanto como sea posible. Estos activos lo ayudarán a evaluar el alcance de la contaminación.
-
Trate todos los activos potencialmente contaminados al nivel de la contaminación. En este caso, TS.
- Verifique que los activos restantes no estén contaminados.
- Respira, come o bebe algo, toma un breve descanso, porque el resto de tu día / semana / mes será doloroso.
- Discuta y planifique la remediación de activos contaminados. Planificar bien aquí le permitirá comprender el alcance del problema, a quiénes afecta y cuánto tiempo espera que se demande.
- Ejecute el plan de remediación e informe periódicamente sobre el progreso.
- dolor
- vacaciones
¿Alguna vez alguien ha tenido que lidiar con una computadora portátil no autorizada que obtiene datos de nivel Top Secret accidentalmente?
No lo he hecho. He estado involucrado en la contención y la remediación de datos confidenciales.
¿Cómo pusiste en cuarentena el sistema?
No he estado involucrado con el sistema contaminado primario, solo sistemas secundarios.
Para sistemas sospechosos de contaminación:
- Señal de aviso de área restringida publicada en la puerta.
- Cerró la puerta.
- Se eliminaron las comunicaciones de red.
- Apague el sistema para conservar la mayor cantidad posible del estado actual.
- Analizó el sistema para verificar la presencia de los datos en cuestión.
- Si se detecta, movió el sistema a un área segura para el saneamiento.
¿Se le pidió que entregara toda la computadora portátil o pudo destruir / formatear el disco duro?
La agencia involucrada determinará la acción a tomar, y las políticas y prácticas pueden variar de una agencia a otra.
No tengo experiencia personal, pero dado que TS se describe como 'Tal material causaría "excepcionalmente daño grave "a la seguridad nacional si se pone a disposición del público". Esperaría que todos los componentes físicos del artículo anteriormente conocido como computadora portátil se aplasten, aplasten, derriten, disuelvan, extruyan, desmenuzen y utilicen como objetivo en Una gama de artillería.
La consecuencia de la publicación de la información en comparación con el valor de la computadora portátil, el otro software y los datos de la computadora portátil, y cualquier otro elemento de valor adyacente, deja en claro que prevenir el lanzamiento de la información vale la pena. De total destrucción de la laptop.