• • شناسایی افراد مجرب برای پیوستن به گروه

نام و اطلاعات تماس افرادی را که به نظرتان میرسد یادداشت نمایید. با همکاران و مدیریت سازمان خود در مورد شکل دادن یک گروه مدیریت رخداد محلی صحبت کنید. گروهی انتخاب کنید که صرفا شامل مدیران سیستم ها با مسئولیتهای امنیتی نباشد. این گروه باید شامل مدیریت آموزش دیده و نمایندگانی از امنیت اطلاعات، مدیریت بحران، منابع انسانی و بخش حقوقی سازمان باشد تا بتوانند در مورد خاموش کردن یا نکردن سیستم های تجاری مرکزی برای نجات دادن سازمان از خطرهای بزرگتر و ضررهای بیشتر تصمیم گیری نمایند. متخصصان این زمینه ها را شناسایی کرده و اطلاعات تماس آنها را در یک فایل نگهداری کنید.

• • شناسایی افراد مناسب درروابط عمومی

گروه روابط عمومی مسئول پاسخگویی به سوالات عمومی در مورد فعالیتهای سازمانی است. زمانی که یک رخداد امنیتی رخ میدهد، این مسئولیت روابط عمومی نیز هست که اطلاعات مناسب را برای همگان منتشر نماید. گروه روابط عمومی شما همچنین میتواند یک پشتیبان ارزشمند برای مدیریت رخداد باشد. آنها معمولا دسترسی بسیار خوبی به مدیریت ارشد دارند و میتوانند در هماهنگی ارتباطات بین گروه و مدیران ارشد کمک کننده باشند.

• ایجاد یک طرح ارتباطی اورژانس

نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، کارهای بسیار مهمی هستند که پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای که در طول رخدادها ممکن است رخ دهند، ممکن است کانالهای ارتباطی طبیعی قطع گردند.

• • ایجاد یک لیست تماس تهیه کرده و روشهایی برای اطلاع رسانی سریع

از فرمهای ارتباطی برای ثبت شماره تلفنها و تماسها استفاده کنید. یک فرد جایگزین برای هریک از مدیران سیستم ها تعیین کرده و اطلاعات تماس هر مدیر سیستم و افراد شبکه را در اختیار داشته باشید. شماره محل کار، تلفن موبایل و منزل کارمندان و تلفنهای جایگزین برای زمانی که این افراد ممکن است در دسترس نباشند را برای مواقع ضروری ثبت کنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.

• • نگهداری نسخه پشتیبان لیست تماس و درخت تماس خارج از محل

نسخه هایی از لیست تماس و درخت تماس را خارج از محل نگهداری کنید و اطمینان حاصل کنید که اعضای گروه پاسخگویی به رخداد محل این اطلاعات را میدانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.

• ایجادیک نقطه تماس اولیه و یک مرکز ارتباطی

هماهنگی موثر نیاز به یک نقطه تماس واحد دارد. در غیر اینصورت کسی نمیداند که چه کسی مسئول است. این مرکز باید محلی با تعداد زیادی خط تلفن، صندوقهای پست صوتی و فکس باشد. برخی از این خطوط تلفن و فکس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفنهای سلولی و باتریهای یدکی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید کپیهایی از تمامی روالهای رخدادها و اطلاعات تماس نگهداری شود.

• شناسایی رخداد

شناسایی یعنی تصمیم گیری در مورد اینکه آیا واقعا یک رخداد امنیتی اتفاق افتاده است یا خیر، و اینکه اگر رخدادی اتفاق افتاده است، طبیعت آن رخداد چیست. به طور طبیعی مرحله شناسایی پس از اینکه یک نفر متوجه یک وقوع امر غیر عادی در یک سیستم یا یک شبکه میشود آغاز میگردد. این مرحله همچینن شامل اطلاع رسانی و درخواست کمک از افرادی که میتوانند مساله را درک کرده و آن را حل نمایند نیز میگردد. تشخیص این مساله که هر امر غیر عادی در شبکه یا سیستم یک رخداد امنیتی محسوب نمیشود مهم است. در اغلب موارد مردم سریعا نتیجه گیری میکنند که پشت هر مشکلی یک دشمن قرار گرفته است.[۱۱]
خلاصه فصل دوم
دراین فصل با مروری بر انواع تیمهای پاسخگویی به رخدادهای امنیتی و ساختار سازمانی و نقاط ضعف و قوت آنها به تشریح نحوه ارائه خدمات تیمهای پاسخگویی به رخدادهای امنیتی پرداخته شده و نیازمندیهای استقرار یک تیم پاسخگویی به رخدادهای امنیتی در جدولی گرداوری و به نمایش در آمده است.
فصل سوم: بررسی کارهای پیشین
در اواخر دهه ۱۹۸۰ میلادی ، زمانی که آژانس پروژه های تحقیقاتی پیشرفته دفاعی کشور ایلات متحده امریکا مرکز هماهنگی گروه پاسخگویی به رایانه را در موسسه مهندسی نرم افزا ر( SEI) دانشگاه Carnegie Mellon ایجاد نمود،نیاز برای ایجاد انجمنی از گروه های پاسخگویی به رخدادهای امنیتی رایانه ای (CSIRT) کاملا احساس گردید. با انتشار گستردهی کرم موریس در سال ۱۹۸۸، انگیزه اصلی برای ایجاد اولین گروه واکنش رخداد امنیت ایجاد شد. نحوه مقابله با این کرم نشان داد که مراکز دانشگاهی به شکل بهتری قادر به تحلیل موفقیتآمیز رخدادهای رایانهای هستند. به دنبال آن طراحی برای توسعه یک مرکز مقابله با رخدادهای دنیای اینترنت تحت عنوان ” گروه واکنش گویی به رخدادهای اضطراری رایانه ای” (CERT) ارائه شد و انستیتوی مهندسی نرمافزار دانشگاه Carnegie Mellon به عنوان میزبان این مرکز جدید انتخاب شد. پس از مدتی CERT به یک سرویس تجاری این دانشگاه تبدیل شد و نام آن به مرکز هماهنگی واکنشگویی به رخدادهای غیرمترقبه رایانهای (CERT/CC) تغییر یافت. از آن سال تاکنون، متناسب با نیازمندیهای مختلف، مراکز واکنش رخداد زیادی در نقاط مختلف دنیا راهاندازی شدهاند و به تدریج دامنه فعالیت و محدوده خدماترسانی آنها افزایش یافته است. [۳]
۳-۱-بررسی کارهای مربوط به تشکیل گروه های پاسخ به رخدادهای امنیتی مالی
در حال حاضر تعدادگروههای پاسخگویی به رخدادهای امنیتی رو به افزایش می باشد و نیاز به پاسخگویی به رخدادهای امنتی در امور مالی و بانکداری از حساس ترین و مهمترین زمینه های فعالیت این گروه ها است. بر این اساس بسیاری از بانک ها و موسسات مالی اقدام به تشکیل و ره اندازی مرکز پاسخگویی به رخدادهای امنیتی مالی جهت حفظ ایمین و امنیت فعالیتهای خود نموده اند. که از این جمله می توان به تیم پاسخگویی به حوادث مالی برزیل (CSIRT Banco Real) و یا تیم پاسخگویی به رخدادهای آلمان (COMCERT-commerzbank) و یا بانک ملی استرالیا (NABITSAR) اشاره نمود.
در ادامه جهت آشنایی وبررسی کارهای پیشین انجام شده در زمینه تیم های پاسخگویی به رخدادهای امنیتی مالی به بررسی تعدادی از این تیمها پرداخته می شود:

• آژانس امنیت مالی کشور کره KFCERT

این موسسه به طور عمده حفظ ایمنی تراکنش های مالی انجام شده توسط مشتریان و موسسات مالی کره ای را مهتمرین ماموریت و هدف خود می داند. این آژانس در راستای برنامه های جامع دولت در حوزه مالی تاسیس گردیده و در تقویت تراکنش های الکترونیکی مالی به فعالیت می پردازد. ساختار این موسسه به طور کلی پس از هیات مدیره و مدیرعامل شامل چهر گروه کلی مدیریت احراز هویت و گروه فناوری اطلاعات و گروه روابط عمومی و گروه مدیریت تجاری می باشد. از مهترین اقدامات این موسسه می توان به ایجاد یک پروسه برای انجام اصولی عملیات رشد و توسعه و همچنین ایجاد سیستمهاو مقیاسهایی برای بررسی تخلفات موجود در تراکنشهای الکترونیکی مالی به شرح ذیل را نام برد.

• • طراحی و پیاده سازی مقیاس های اولیه برای بررسی تخلفات موجود در تراکنشهای مالی