PENGENALAN
Pelan tindakan insiden menerangkan gambaran apakah maksud insiden dan garis
panduan tindakan yang akan diambil. Dokumen pelan tindakan insiden membincangkan
bagaimana maklumat disalurkan kepada personal terlibat, penilaian terhadap insiden,
mengurangkan kerosakan dan strategi tindakbalas, dokumentasi, dan menyimpan bukti.
OBJEKTIF
Pelan ini dibangunkan bagi melindungi sumber organisasi dari sebarang pencerobohan.
DEFINASI
Insiden adalah salah satu atau lebih perkara yang tersenarai dibawah berlaku:
1. Kehilangan data.
2. Kerosakan data.
3. Kehilangan aset ICT.
4. Kerosakan aset ICT.
5. Service yang disekat.
6. Salah guna service, maklumat atau aset.
7. Sistem dijangkiti virus atau sebarang ancaman.
8. Percubaan untuk membuat capaian yang tidak dibenarkan.
9. Perubahan yang tidak dibenarkan
PERANCANGAN INSIDEN
1. Persediaan Insiden.
1.1. Polisi dan prosedur.
a) Polisi Keselamatan Komputer. Ini melibatkan banyak polisi,
termasuk polisi password, Polisi Keselamatan Aset, Polisi
Pengesanan Pencerobohan dan Polisi Capaian Data.
b) Polisi Tindakbalas Insiden.
c) Prosedur backup dan restore.
1.2. Perlaksanaan polisi dengan penggunaan Firewall, Intrusion Detection
System (IDS), atau peralatan lain.
1.3. Pemberitahuan berkenaan capaian tanpa kebenaran pada pintu masuk
sistem.
1.4. Menyediakan garispanduan tindakbalas dengan mengambil kira semua
kemungkinan.
1.5. Melatih pengguna mengenai keselamatan ICT. Melatih kakaitangan ICT
kaedah menangani insiden.
1.6. Menyediakan Help desk.
1.7. Mengujiguna prosedur dan polisi.
2. Penemuan. Sumber penemuan boleh di perolehi daripada sesiapa yang menemui
ada sesuatu yang mencurigakan berlaku kepada peralatan komputer.
2.1. Help Desk.
2.2. IDS.
2.3. Administrator.
2.4. Rakan niaga.
2.5. Kumpulan Pemantau.
2.6. Pengurus.
2.7. Pasukan keselamatan.
2.8. Sumber luar.
3. Pemberitahuan. Prosedur perhubungan kecemasan adalah bagi menyediakan
maklumat perhubungan apabila berlakau insiden.
4. Analisa dan Penilaian. Banyak faktor boleh dipertimbangkan termasuk:
4.1. Adakah insiden benar atau palsu?
4.2. Adakah insiden masih berlaku?
4.3. Apakah data yang terancam dan tahap kritikalnya?
4.4. Apakah kesan kepada organisasi?
4.5. Apakah sistem yang menjadi sasaran penceroboh?
4.6. Adakah insiden berlaku di dalam LAN?
5. Strategi tindakbalas. Mengenalpasti strategi tindakbalas.
5.1. Adakah perlu tindakbalas segera?
5.2. Adakah insiden boleh diselesaikan dengan kadar segera?
6. Sekatan. Tindakan yang boleh menghentikan serangan selanjutnya dengan
mengambil tindakan berikut:
6.1. Putuskan sambungan sistem yang dijangkiti.
6.2. Tukar password.
6.3. Tutup port yang tidak digunakan.
7. Pencegahan.
7.1. Kenalpasti bagaimana serangan berlaku. Kenalpasti punca serangan
samada serangan dilakukan dari:
a) emel.