Школа-интернат 26

[Вложение без текста]

знакомого человека, свяжитесь с ним другим способом (например, по телефону) и уточните, действительно ли он отправил это сообщение. Сообщите о подозрительном сообщении в службу информационной безопасности. Если сообщение пришло в виде официального уведомления мессенджера, проверьте активные сеансы (компьютеры, смартфоны и т. д.) и при необходимости закройте их. Настройте двухфакторную аутентификацию, если она не активирована.  5. ДЕЙСТВИЯ ОТВЕТСТВЕННОГО ЗА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ПРИ КОМПЬЮТЕРНОМ ИНЦИДЕНТЕ  ОСНОВНЫЕ ЭТАПЫ РЕАГИРОВАНИЯ: Обнаружение и подтверждение инцидента. Проанализируйте событие с помощью систем мониторинга (SIEM, антивирусные системы, журналы событий). Убедитесь, что это действительно инцидент, а не ложное срабатывание. Локализация инцидента. Отключите заражённый сегмент сети от остальной инфраструктуры, заблокируйте доступ к скомпрометированным ресурсам. Если это возможно, изолируйте инцидент в виртуальной среде для дальнейшего анализа. Выявление последствий. Определите, какие данные или системы были затронуты, оцените масштаб ущерба. Проверьте журналы доступа, проанализируйте изменения в конфигурациях. Ликвидация последствий. Удалите вредоносное ПО, восстановите повреждённые файлы из резервных копий, смените скомпрометированные пароли. При необходимости переустановите ПО или оборудование. Закрытие инцидента. Зафиксируйте все материалы, связанные с инцидентом (логи, скриншоты, отчёты). Удалите следы атаки, восстановите нормальную работу системы. Установление причин и условий возникновения инцидента. Проведите расследование, чтобы выявить слабые места в системе безопасности. Подготовьте рекомендации по предотвращению подобных инцидентов в будущем. Информирование. В зависимости от типа инцидента и законодательства может потребоваться уведомить регуляторные органы, партнёров или клиентов.  6. ДЕЙСТВИЯ СОТРУДНИКА ПРИ АТАКЕ ВРЕДОНОСНОГО ПО  ПРИЗНАКИ АТАКИ: замедление работы системы, зависания, неожиданные перезагрузки; появление незнакомых программ или изменений в настройках системы; сообщения о нехватке места на диске, хотя вы не сохраняли большие файлы; невозможность запустить антивирусное ПО.  ДЕЙСТВИЯ: Немедленно сообщите об инциденте в IT-отдел или службу информационной безопасности. Не пытайтесь самостоятельно удалить подозрительные файлы или программы — это может усугубить ситуацию. Отключите устройство от сети (если это возможно), чтобы ограничить распространение угрозы. Не используйте устройство до прибытия специалистов. Если возможно, зафиксируйте симптомы атаки (время появления проблем, названия подозрительных программ, сообщения об ошибках) и передайте эту информацию специалистам.  ВАЖНО: все действия должны выполняться в соответствии с утверждённым в организации планом реагирования на инциденты. Регулярное обучение сотрудников по вопросам информационной безопасности поможет быстрее распознавать угрозы и правильно реагировать на них.

ДЛЯ ВАС ПЕДАГОГИ! РЕКОМЕНДАЦИИ СОТРУДНИКАМ... При обнаружении признаков взлома служебной почты, фишинговой рассылки или других инцидентов важно действовать оперативно и в соответствии с утверждённым в организации планом реагирования. Ниже приведены  РЕКОМЕНДАЦИИ  для каждого из случаев...  1. ПРИЗНАКИ ВЗЛОМА СЛУЖЕБНОЙ ЭЛЕКТРОННОЙ ПОЧТЫ И ДЕЙСТВИЯ ПРИ ИХ ОБНАРУЖЕНИИ  ПРИЗНАКИ ВЗЛОМА: несанкционированный доступ к аккаунту (входы с незнакомых устройств или локаций); изменение настроек безопасности (смена пароля без Вашего участия, перенаправление писем, модификация автоответчиков и подписей); отправка писем от Вашего имени, которые вы не создавали.  ДЕЙСТВИЯ:  Немедленно уведомите IT-отдел или службу информационной безопасности. Опишите обнаруженные признаки, укажите время подозрительной активности и сообщите о предпринятых действиях (если они были).  Смените пароль на надёжный, включающий цифры, символы и разный регистр. Если злоумышленники уже изменили пароль, используйте стандартные методы восстановления доступа (СМС, резервная почта, Госуслуги или обращение в поддержку).  Включите двухфакторную аутентификацию (если она не активирована). Это добавит дополнительный уровень защиты. Завершите активные сеансы на всех устройствах, если это возможно в вашем почтовом сервисе.  Проведите проверку устройств на наличие вредоносного ПО с помощью надёжного антивирусного ПО. Уведомите контакты (коллег, партнёров), чтобы они были осторожны с подозрительными письмами от вашего имени. Проверьте настройки восстановления доступа (резервный email, телефон) и убедитесь, что они актуальны.  2. ДЕЙСТВИЯ ПРИ ФИШИНГОВОЙ РАССЫЛКЕ НА ЭЛЕКТРОННУЮ ПОЧТУ  ПРИЗНАКИ ФИШИНГА: подозрительные отправители, срочные запросы, безадресные приветствия; неожиданные вложения и просьбы предоставить конфиденциальную информацию; орфографические и грамматические ошибки; несоответствие адресов отправителей (например, «» вместо «»); ссылки, ведущие на поддельные ресурсы, особенно короткие ссылки или ссылки, заменённые на слова.  ДЕЙСТВИЯ: Не переходите по ссылкам и не открывайте вложения из подозрительных писем. Не вводите личные или корпоративные данные на сайтах, куда ведут ссылки из таких писем. Проверьте адрес отправителя: сравните его с известным вам форматом корпоративной почты. Ошибки в домене или названии компании — повод насторожиться. Если письмо содержит срочный запрос (например, на перевод денег), не выполняйте его без дополнительной проверки. Свяжитесь с предполагаемым отправителем по другому каналу связи (телефону, через корпоративный мессенджер) и уточните подлинность запроса. Сообщите о подозрительном письме в IT-отдел или службу информационной безопасности. Многие почтовые сервисы имеют опции информирования, помогающие бороться с фишингом.  3. ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПРИЗНАКОВ ИНСАЙДЕРСКОЙ УГРОЗЫ  ПРИЗНАКИ ИНСАЙДЕРСКОЙ УГРОЗЫ: несанкционированный доступ к конфиденциальным данным; необычные запросы на доступ к информации, не связанной с рабочими обязанностями; попытки выгрузить большие объёмы данных; обсуждение конфиденциальной информации в неподходящих каналах связи.  ДЕЙСТВИЯ Немедленно сообщите о подозрительной активности в службу информационной безопасности или руководству. Не пытайтесь самостоятельно расследовать ситуацию или обсуждать её с другими сотрудниками — это может усугубить проблему. Если Вы заметили, что коллега пытается получить доступ к данным, которые ему не положены, зафиксируйте детали (дата, время, действия сотрудника) и передайте информацию специалистам.  4. ПОЛУЧЕНО ПОДОЗРИТЕЛЬНОЕ СООБЩЕНИЕ ЧЕРЕЗ МЕССЕНДЖЕР  ПРИЗНАКИ ПОДОЗРИТЕЛЬНОГО СООБЩЕНИЯ: сообщение от незнакомого номера с просьбой предоставить личные или корпоративные данные; ссылки на подозрительные сайты или вложения с исполняемыми файлами; сообщения, маскирующиеся под официальные уведомления мессенджера.  ДЕЙСТВИЯ: Не переходите по ссылкам и не открывайте вложения. Не предоставляйте конфиденциальную информацию в ответ на такое сообщение. Если сообщение пришло от

[Вложение без текста]

[Вложение без текста]

[Вложение без текста]

[Вложение без текста]

[Вложение без текста]

[Вложение без текста]

[Вложение без текста]