5.3 Возможные типы уведомлений
Когда вы получили подтверждение того, что на самом деле
произошел инцидент, нужно уведомить соответствующий персонал. Кто
и как уведомляется, очень важно для сохранения контроля над
событиями как с технической, так и с эмоциональной точки зрения.
5.3.1 Четкость
Прежде всего, любое уведомление либо местного, либо
удаленного персонала должно быть четким. Это требует, чтобы любое
заявление (будь то электронное письмо, телефонный звонок или
факс) содержали бы информацию об инциденте, которая была бы
ясной, краткой и квалифицированной. Когда вы сообщаете другому
человеку, что просите его помочь вам справиться с проблемой, вы
только запутываете дело. Если существует разделение труда,
полезно дать информацию каждому отделу, где можно получить
интересующую их информацию. Это не только позволит избежать
дублирования работы, но также поможет людям, работающим над этой
проблемой знать, где можно получить информацию, которая поможет
решить их часть проблемы.
5.3.2 Конкретность
Другим важным аспектом является то, что взаимодействие,
связанное с инцидентом, должно быть конкретным. Попытки скрыть
некоторые аспекты инцидента при помощи ложной или неполной
информации могут не только помешать успешному разрешению
проблемы, но и ухудшить ситуацию. Это особенно верно, когда об
инциденте узнала пресса. Когда инцидент настолько серьезен, что
привлек внимание прессы, весьма вероятно, что любая ложная
информация, которую вы сообщите, не будет подтверждена другими
источниками. Это плохо отразится на организации и может привести
к напряженности в отношениях между организацией и прессой.
5.3.3 Выбор языка
Правильный выбор языка, используемого при уведомлении людей
об инциденте, может оказать большое влияние на то, как будет
воспринята информация. Если вы используете эмоциональные слова,
то люди будут ожидать разрушений и негативных последствий в
результате инцидента. Важно оставаться спокойным как при
написании сообщений, так и при разговорах с людьми.
Другой вопрос, связанный с выбором языка, - это уведомление
нетехнического персонала. Важно точно описать инцидент, не делая
при этом никаких тревожных сообщений. Хотя описать инцидент
неспециалистам более сложно, часто это более важно. Нетехническое
описание может потребоваться для верхнего звена управления,
прессы, или правоохранительных органов. Важность этих сообщений
не может быть недооценена, так как правильное описание поможет
грамотно уладить инцидент и избежать больших разрушений.
5.3.4 Уведомление людей
Наконец, возникает вопрос, кого следует уведомить во время
инцидента и после него. Существует несколько классов людей,
которых следует не забывать при таких уведомлениях. Это
технический персонал, администрация, правоохранительные органы,
производители. Эта информация важна для координаторских пунктов,
так как люди, работающие там, отвечают за доведение ее до всех
остальных (смотри раздел 5.3.6 для более подробной информации).
Список людей в каждой из этих категорий поможет сохранить время
для людей, работающих на координаторских пунктах, во время
инцидента. Гораздо труднее определить соответствующих людей во
время инцидента, когда возникает неразбериха.
Помимо людей, ответственных за улаживание части инцидента,
другие организации также могут быть затронуты этим инцидентом
(или просто подвергаться риску). Более широкому кругу
пользователей также будет полезно узнать об инциденте. Часто
самым разумным является публикация сообщения об инциденте после
его улаживания, предназначенная пользователям.
5.3.5 Связь с прессой - пресс-релизы
Одним из самых важных вопросов, которые нужно решить,
является когда, кто, и как должен известить публику через прессу.
При решении этой проблемы следует учитывать много факторов.
Во-первых, если в организации есть отдел связей с прессой, то
важно использовать его как посредника. Этот отдел умеет
составлять отчеты для прессы, и поможет быть уверенным в том, что
авторитет организации защищен в ходе инцидента и после него (по
возможности). Отдел связей с прессой имеет то достоинство, что вы
может давать ему всю информацию, а он будет буфером между
постоянным вниманием прессы и необходимостью удерживать контроль
за инцидентом.
Если же такого отдела нет, нужно крайне осторожно давать
информацию прессе. Если эта информация критическая, то лучше дать
прессе только минимальную или обзорную информацию. Вполне
возможно, что любая информация, предоставленная прессе, будет
быстро получена виновником инцидента. Но все-таки предоставление
прессе ложной информации более опасно, чем критической
информации.
Хотя трудно заранее определить, насколько детальную
информацию следует сообщить прессе, нужно помнить о следующих
рекомендациях:
- Держите в тайне технические детали инцидента. Детальная
информация об инциденте может привести к возникновению новых
инцидентов или даже не позволить прибегнуть к помощи закона после
улаживания инцидента.
- Держите свои предположения при себе и не сообщайте их
прессе. Предположения о том, кто виновник инцидента, или каковы
его мотивы, скорее всего неправильны и могут привести к
предвзятому мнению об инциденте.
- Сотрудничайте с правоохранительными органами для того,
чтобы быть уверенным, что улики в надежных руках. Если
предполагается судебный процесс, то удостоверьтесь, что собранные
улики неизвестны прессе.
- Не пытайтесь давать интервью прессе до того, как вы к нему
подготовитесь.
- Не позволяйте прессе переключать свое внимание с улаживания
инцидента на другие вопросы. Всегда помните, что важнее всего
успешно уладить инцидент.
5.3.6 Кого следует привлечь?
При выработке ПРД организации по улаживанию инцидентов может
оказаться желательным создание группы улаживания инцидентов
(ГУИ), ответственной за улаживание инцидентов с компьютерной
защитой в организации.
Назад | Содержание | Вперед