हादसा और लीक प्रतिक्रिया

1) उद्देश्य, सिद्धांत और क्षेत्र

लक्ष्य: क्षति और कानूनी जोखिमों को कम करना, सुरक्षा/अनुपालन की घटनाओं के मामले में संचालन की निरंतरता और कार्रवाई की उत्पादकता सुनिश्चित करना।

सिद्धांत: "जल्दी से सटीक रूप से पुष्टि करें - पारदर्शी रूप से दस्तावेज़ - कानूनी रूप से सूचित करें पुनरावृत्ति को रोकें।"

कवरेज: साइबर घटनाएं (डीडीओएस, एटीओ, हैक, कमजोरियां), पीआईआई/भुगतान डेटा लीक, एएमएल/केवाईसी/प्रतिबंध उल्लंघन, प्रदाता विफलताएं (केवाईसी/पीएसपी), विज्ञापन/जिम्मेदार गेमिंग (आरजी) की घटनाएं, समझौता।

2) गंभीरता वर्गीकरण और ट्रिगर

3) एसएलए वृद्धि और "घटना-पुल"

दीक्षा: उच्च/महत्वपूर्ण एक युद्ध-कक्ष (चैट/कॉल) बनाता है, एक हादसा कमांडर (आईसी) प्रदान करता है।

एसएलए: जानकारी - एन/ए; कम - 24 एच; मध्यम - 4 ч; उच्च - 1 एच; गंभीर - 15 मिनट

ब्रिज भूमिकाएँ: आईसी, सिक्योरिटी लीड, एसआरई/ऑप्स, अनुपालन (वैधता के लिए उप आईसी), कानूनी/डीपीओ, भुगतान/एफआरएम, समर्थन/वीआईपी, पीआर/कॉम्स, डेटा/फोरेंसिक।

4) प्रतिक्रिया प्रक्रिया (अनुकूलन में SANS/NIST स्टैक)

1. तैयारी: रनबुक, संपर्क सूची, बैकअप प्रदाता, परीक्षण अलर्ट, "डिफ़ॉल्ट बंद" एक्सेस।

2. पहचान: SIEM/SOAR सहसंबंध, धोखाधड़ी विरोधी नियम, KRI संकेत; तथ्य/मात्रा की पुष्टि।

3. नियंत्रण: विभाजन, कमजोर सुविधा/समापन बिंदु को अक्षम करना, भू-बाधाएं, सुविधा-झंडे, समय सीमा/होल्ड।

4. उन्मूलन (उन्मूलन): पैच/कुंजी रोटेशन, खातों/उपकरणों का ब्लॉक, दुर्भावनापूर्ण कलाकृतियों की सफाई, छवियों का आश्वस्त करना।

5. वसूली: अखंडता मान्यता, यातायात का क्रमिक समावेश (कैनरी पूल), प्रतिगमन निगरानी।

6. पोस्ट-हादसा: पोस्टमार्टम ≤72 h, CAPA योजना, अपडेट नीतियों/थ्रेसहोल्ड/मॉडल।

5) कानूनी नोटिस और बाहरी संचार

• डेटा निगरानी (डीपीए): पुष्टि की पीआईआई लीक → अधिसूचना (घटना विवरण, डेटा श्रेणियां, उपाय, डीपीओ संपर्क)।
• जुआ नियामक: आरजी/विज्ञापन नियमों/खिलाड़ियों/रिपोर्टिंग को प्रभावित करने वाली विफलताओं का बड़े पैमाने पर उल्लंघन।
• बैंक/पीएसपी: संदिग्ध गतिविधि/एसएआर मामले, बड़े पैमाने पर चार्जबैक, भुगतान प्रवाह का समझौता।
• उपयोगकर्ता: उनके डेटा का रिसाव/नुकसान का उच्च जोखिम; पत्र टेम्पलेट और FAQs।
• भागीदार/विक्रेता: उनके साथ या हमारे साथ सामान्य प्रवाह/डेटा को प्रभावित करने वाली घटनाएं।

कॉम नियम: एक एकल वक्ता, अनुमान के बिना तथ्य, स्पष्ट क्रियाएं/सिफारिशें, संदेशों और उत्तर के सभी संस्करणों को संग्रहीत करें।

6) फोरेंसिक और "हिरासत की श्रृंखला" (हिरासत की श्रृंखला)

अभिलेख जो/कब/किसने एकत्र किया है; WORM/गैर-परिवर्तनशील भंडारण का उपयोग करें।

वॉल्यूम/लॉग स्नैपशॉट, हैशिंग (SHA-256) के माध्यम से कलाकृतियों का निर्यात।

केवल पढ़ें, डुप्लिकेट के माध्यम से काम कर रहा है।

सभी आदेशों/चरणों का दस्तावेज; समयरेखा संग्रहीत करें।

तीसरे पक्ष को कलाकृतियों को स्थानांतरित करने की शर्तों पर कानूनी/डीपीओ से सहमत हैं।

7) नियंत्रित संचार (आंतरिक/बाहरी)

करें: संक्षिप्त, तथ्यात्मक, आईसी/कानूनी के साथ सहमत; अगला अद्यतन स्लॉट निर्दिष्ट करें (उदा. हर 60 मिनट में)।

मत: तथ्यों के रूप में परिकल्पना, पीआईआई खुलासे, आरोप, समय सीमा के वादे अनियंत्रित।

• क्या हुआ ?/गंभीरता/प्रभाव के क्षेत्र/उपाय/अगले कदम/अगले अपडेट में...

8) विशिष्ट डोमेन प्लेबुक 'और

ए) पीआईआई रिसाव (एप्लिकेशन/बैकेंड/विक्रेता)

1. ब्रिज मिनट फ्रीज संदिग्ध एंड-पॉइंट/कीज़ - डेटा एक्सेस की बढ़ी हुई ऑडिटिंग को सक्षम करता है।

2. दर: पीआईआई, टाइम लाइन के स्रोत/वॉल्यूम/प्रकार निर्धारित करें।

3. क्रियाएं: रहस्य का रोटेशन, सुधार, अधिकारों का संशोधन, विक्रेता का अलगाव।

4. सूचनाएं: DPA/नियामक/उपयोगकर्ता/भागीदार (आवश्यकतानुसार)।

5. खिलाड़ी समर्थन: FAQ, समर्थन चैनल, सिफारिशें (पासवर्ड परिवर्तन/धोखाधड़ी)।

6. पोस्टमार्टम और CAPA।

बी) खिलाड़ी खातों का समझौता (एटीओ/क्रेडेंशियल स्टफिंग)

1. ATO सिग्नल में स्पाइक → प्रवर्धित दर limit/2FA-enforce/WebAuthn, अस्थायी आउटपुट ब्लॉक।

2. उपकरणों/आईपी का क्लस्टरिंग, प्रभावित लोगों को सूचना भेजना, टोकन रीसेट करना।

3. यदि आवश्यक हो तो वित्तीय लेनदेन, एसएआर की जांच करें।

सी) सीयूएस/स्वीकृति प्रदाता की अस्वीकृति

1. फॉलबैक प्रदाता पर स्विच करें, तेज आउटपुट, वीआईपी के लिए मैनुअल फ्लो को सीमित करें।

2. समर्थन और वीआईपी प्रबंधकों के लिए कॉम; कसने के दौरान - नियामक/बैंकों को सूचित करना (यदि यह चेक को प्रभावित करता है)।

डी) पीएसपी/भुगतान घटना (चार्जबैक/समझौता)

1. सख्त 3DS/AVS, ड्रॉप सीमा और वेग नियम सक्षम करें; जोखिम समूहों को पकड़ो।

2. पीएसपी/बैंक को सूचित करें; लॉन्ड्रिंग के संकेत के साथ - EDD/SAR।

3. वसूली और लेखा परीक्षा ने यातायात को अस्वीकार

ई) डीडीओएस/अनुपलब्धता

1. WAF/भू-कटिंग/स्क्रबिंग सक्रिय करें; "ठंढ" रिलीज़।

2. क्षेत्रों का कैनरी समावेश, एसएलओ नियंत्रण; लचीलापन पर पोस्टमार्टम।

9) उपकरण और कलाकृतियाँ

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, गुप्त प्रबंधक, तिजोरी घुमाव, धोखाधड़ी विसंगति का पता लगाने, घटना रजिस्टर, सूचना टेम्पलेट।

कलाकृतियाँ: घटना रजिस्टर, ब्रिज प्रोटोकॉल (समयरेखा), फोरेंसिक रिपोर्ट, सूचना पैकेज (नियामक/उपयोगकर्ता/बैंक), पोस्टमार्टम, सीएपीए ट्रैकर।

10) मेट्रिक्स और लक्ष्य

MTTD (पता लगाने का समय), MTTC (रोकथाम से पहले), MTTR (वसूली से पहले)।

स्थापित मूल कारण के साथ घटनाओं का% ≥ 90%।

CAPA पूरा होने की दर ≥ 95%।

उसी कारण से बार-बार होने वाली घटनाओं का अनुपात ≤ 5%।

SLA में घटनाओं का अनुपात बंद: मध्यम ≥ 90%, उच्च ≥ 95%, महत्वपूर्ण ≥ 99%।

11) आरएसीआई (बढ़ाहुआ)

हादसा कमांडर (ऑप्स/सेक): प्रबंधन, निर्णय लेने, समयरेखा के लिए एक।

सुरक्षा लीड (आर): तकनीक। विश्लेषण, फोरेंसिक, रोकथाम/उन्मूलन।

अनुपालन/डीपीओ (वैधता के लिए आर/ए): लीक योग्यता, सूचनाएं, मेलिंग सूची।

कानूनी (C): कानूनी मूल्यांकन, अनुबंध/अनुबंध, पत्रों का शब्द।

एसआरई/इंजीनियरिंग (आर): फिक्स, पुलबैक, स्थिरता।

भुगतान/एफआरएम (आर): होल्ड, एंटी-फ्रॉड सीमा, पीएसपी/बैंकों के साथ बातचीत।

पीआर/कॉम्स (आर): बाहरी संदेश, समर्थन के लिए क्यू एंड ए।

समर्थन/वीआईपी (I/C): खिलाड़ियों के साथ संचार के सामने।

12) साँचा (न्यूनतम सेट)

12. 1 हादसा कार्ड (रजिस्टर)

ID· डिस्कवरी का समय· क्लास/गंभीरता· प्रभावित (सिस्टम/डेटा/क्षेत्राधिकार)· तकनीक/व्यवसाय के मालिक· पहले उपाय· वॉल्यूम/क्षति मूल्यांकन· सूचनाएं (से/जब )/कलाकृतियों से लिंक।

12. उपयोक्ताओं को 2 अधिसूचना (निचोड़)

क्या हुआ; क्या डेटा प्रभावित हो सकता है; हमने क्या किया; हम आपको क्या सलाह देते हैं; संपर्क सूचना; नीति संदर्भ/एफएक्यू।

12. 3 पोस्टमार्टम (संरचना)

तथ्य/समयरेखा· इम्पैक्ट· रूट कारण (5 Whys)· एन सप्ताह के बाद क्या काम किया/काम नहीं किया· CAPA (मालिक/समय सीमा)· प्रभावशीलता जांच।

13) संचालन और अनुपालन के साथ एकीकरण

सीएबी/परिवर्तन: खतरनाक परिवर्तन - केवल फ्लैग/कैनरी के माध्यम से; प्रत्येक रिलीज की एक रोलबैक योजना

डेटा और रिपोर्टिंग: घटनाओं के डैशबोर्ड की स्वचालित असेंबली; केआरआई (प्रतिबंध/पीईपी, केवाईसी, सीबीआर, एटीओ) के साथ संचार।

जोखिम: जोखिम मैट्रिक्स और रजिस्टर का अद्यतन, प्रत्येक प्रमुख घटना के बाद थ्रेसहोल्ड का अंशांकन।

14) व्यायाम और तत्परता

टेबलटॉप एक बार एक चौथाई (पीआईआई लीक, केवाईसी विफलता, एटीओ लहर, पीएसपी घटना)।

रेड/ब्लू/पर्पल-टीम चेक; विक्रेताओं और पीएसपी के साथ संयुक्त अभ्यास।

तत्परता केपीआई: प्रशिक्षण पूरा करने वाले कर्मचारियों का प्रतिशत; व्यायाम की सफलता; औसत "ब्रिज लिफ्ट" समय।

15) कार्यान्वयन रोडमैप

1-2 सप्ताह: अद्यतन भूमिकाएं/संपर्क, टेम्पलेट, बैकअप प्रदाता।

3-4 सप्ताह: SOAR प्लेबुक, ब्रिज चैनल, परीक्षण सूचनाएं, WORM संग्रह।

महीना 2 +: नियमित अभ्यास, ऑडिट लॉग, घटना रिपोर्टिंग का स्वचालन।

टीएल; डीआर

तत्परता = पूर्व-सहमत भूमिकाएं और थ्रेसहोल्ड + फास्ट ब्रिज + हार्ड कंटेंट + कानूनी और समय पर सूचनाएं + साक्ष्य की श्रृंखला + अनिवार्य पोस्टमार्टम और CAPA के साथ फोरेंसिक। यह क्षति को कम करता है, दंड जोखिमों को कम करता है और खिलाड़ियों और भागीदारों के विश्वास को मजबूत करता