機密情報が未承認のラップトップに残っている場合はどうすればよいですか?
不正なラップトップを使用して、誤ってトップシークレットレベルのデータを取得したことはありませんか?
システムをどのように隔離しましたか?ラップトップ全体を提出する必要がありましたか、それともHDDを破棄またはフォーマットできましたか?
NISPOMは、HDDの焼却または物理的破壊が必要であると述べていますが、私はこの種の状況を人々に体験させたかっただけです。
明確化:データはアンクラス(そのようにマークされている)としてリリースされ、その後、クラスデータが含まれていることが判明しました。その時点で、彼らは私たちにすべてを封鎖するように呼びかけました。
結論:
ラップトップが押収され、法医学の専門家がそれを調べた後、空きスペースが消去されると言われています。すべてがうまくいった場合、ラップトップとデータを数日で戻す必要があります。
以前は空軍基地でITを働いていましたが、実際にこのような事件がいくつか発生しました。
何よりもまず、事件の適切な当局に通知することを確認してください。彼らは彼らの現在のセキュリティポリシーに基づいてさらにあなたに指示することができます。
ラップトップへのアクセスを分離する必要があります。完全にシャットダウンし、BIOSを起動して、ネットワークデバイスを無効にします。ワイヤレススイッチがある場合は、それらがオフに設定されていることを確認します。
分類されたマテリアルと、システム上でのそのマテリアルが存在する可能性のある範囲の識別を必ず行ってください。そして、それを削除するための適切な手順を実行します。
次に、ハードドライブを最適化し、ハードドライブ上の既存のファイルをすべてドライブの前面にプッシュするユーティリティを見つけます。その後、ユーティリティを安全に実行して、残りのディスク領域を安全に消去できます。
これは、システムのクレンジングに使用される一般的な手法ですが、最初にインシデントを報告し、これらのアクションを実行する権限があることを確認しない限り、これを試みないでください。インシデントの種類が異なれば、対応も異なります。正しいアクションを実行できるように、問題を正しく特定することが不可欠です。上記の手順は、すべてのインシデントの解決策ではありません。それらは、単なる一般的な出発点にすぎません。
これは処理する必要があるインシデントであり、標準的な応答がドキュメントに詳細に記載されていないようです。
システムが誤動作していることを認識してください。意図したとおりに動作していません。
- システムを分離し(可能な場合はネットワークと物理設備を意味します)、データがシステムから送信されないようにします。個々のアセットにできる限り変更を加えないように注意してください。資産の状態を評価できるまで一定に保つ必要があります。
- データ漏洩の原因を特定します。
- システムのさらなる汚染を防ぐために、1つまたは複数のリークソースを分離します。繰り返しますが、現在の状態をできるだけ維持するようにしてください。これは、汚染源によって汚染された資産を特定するのに役立ちます。
- 汚染源によって汚染された可能性のあるすべての資産を特定します。
- 潜在的に汚染された資産を分離します。私はそれが反復的になっていることを知っていますが、各資産の状態をできるだけ保存します。これらの資産は、汚染の程度を評価するのに役立ちます。
- 汚染の可能性があるすべての資産を汚染レベルで処理します。この場合はTS。
- 残りの資産が汚染されていないことを確認します。
- 呼吸して、何か食べたり飲んだりして、短い休憩を取ってください。それは、残りの日/週/月が痛くなるからです。
- 汚染された資産の修復について話し合い、計画を立てます。ここで十分に計画することで、問題の範囲、影響を受けるユーザー、問題の予想期間を理解できます。
- 修復計画を実行し、定期的に進捗状況を報告します。
- 痛み
- 休暇
無許可のラップトップで誤ってトップシークレットレベルのデータを取得してしまったことはありませんか?
私はそうではありません。私は機密データの封じ込めと修復に携わってきました。
システムをどのように隔離しましたか?
私は一次汚染されたシステムに関与していません。二次システムのみに関与しています。
汚染が疑われるシステムの場合:
- 立ち入り禁止区域の看板がドアに掲示されています。
- ドアをロックした。
- ネットワーク通信を削除しました。
- システムをシャットダウンして、現在の状態を可能な限り維持します。
- 問題のデータの存在を確認するためにシステムを分析しました。
- 検出された場合は、システムを安全な場所に移動して消毒します。
ラップトップ全体を提出する必要がありましたか、それともHDDを破壊またはフォーマットできましたか?
関係する機関が取るべき行動を決定し、ポリシーと慣行は機関ごとに異なる場合があります。
私は個人的な経験はありませんが、TSが '公開された場合、このような資料は国家安全保障に「特別に重大な損害」を与える可能性があります。' アイテムのすべての物理的コンポーネントが期待されます以前はラップトップとして知られていましたが、粉砕、粉砕、溶融、溶解、押し出し、細断処理され、砲兵の射程のターゲットとして使用されます。
ラップトップ、ラップトップ上の他のソフトウェアとデータ、および他の隣接する価値のあるアイテムと比較した情報のリリースの結果は、データのリリースを防ぐことは完全な破壊のコストに値することを明らかにしますラップトップの。
情報がそのような高レベルのものである場合、分離とフォレンジックの部分が実行された後、組織が機能し、一体になったままになることは決してありません。必要に応じて、同じ高度な分類の下で使用目的で安全にワイプして再利用できますが、これも組織内にとどまります。ラップトップが引退の準備ができると、安全に拭き取られ、物理的に破壊されます。
そして、あなたの組織が実際に Top Secret 情報を扱っている場合、情報が最も評価され、優先順位が最も高くなります。その場合、ラップトップのコストは情報のコストと交換されません。
any管轄の2つの中心的な問題は、次のとおりです。
- 関係機関に通知する
- 資産を保護します(この場合はデータですnotラップトップ)
通知された本文は、デバイスをどうするかを正確に教えてくれるので、その時点から何をする必要があるかを考え出す必要はありませんが、環境によっては、受け取る前に一連のアクションを決定する必要がありますガイダンス。
TS情報を一般的に扱う組織の場合は、手順書が必要です-それに従ってください!
NSAのコンサルティングをしているときにも同様の問題がありました。彼らは私たちの専用ハードウェアで分析する必要があるいくつかの分類されたデータを持っていました。彼らはハードドライブとRAMの物理的な破壊を主張した。
RAMを物理的に破壊する必要があったのはなぜか困惑しています。ルールはデータを保存できるものなら何でもいいと言いましたが、CPUはデータを保存できます-キャッシュとレジスタがあります。データも保存しますRAM=はCPUと同じくらい揮発性です。
しかし、それがルールだったので、それを実行しました。
関連する質問は「データをサニタイズする方法」ではなく(DBANをクイックブートするとそれが可能になる)ではなく、「システムへの信頼を回復する方法でこの障害を修正する方法」であることを認識してください。そのため、手順は非常にばかげているように見えることがあります。特に、関連するデータによっては、システム自体に対する信頼がデータ自体よりも価値がある場合があります。
セキュリティ担当者に通知し、システムを分離します。自分で修正しようとしないでください。ドライブを拭いてもらいますが、より重要なことは、魔法の杖をシステムにかざして、すべてを現状に戻すことです。おそらく、式典はデータよりもさらに重要です。