Definire

Prin incident de securitate, vom înţelege  orice incalcare a politicilor de securitate care pot afecta atributele de securitate ale informaţiei, ca urmare a unor cauze naturale sau provocate cu intenţie.
Referinţa principală faţă de care se raportează  incidentele de securitate este politica de securitate a organizaţiei – orice încălcare a politicii de securitate reprezintă incident de securitate.
In general incidentele de securitate sunt specifice fiecărei organizaţii dar, peste un anumit nivel de ameninţare, pentru cooperare este nevoie de un anumit grad de uniformizare.
Structura şi dinamica incidentelor de securitate reprezintă principalul indicator al stării de „sănătate” a organizaţiei şi a eficienţei sistemului de securitate şi în mod asemănător pentru o naţiune sau mediul IT&C.
Este important de a defini din start:

• O grilă de clasificare;
• O metrică de evaluare pentru a permite comparaţii;
• O bază unitară de înregistrare pentru constituire baze de date.

Supunem atentiei comunitatii IT&C interesate in dezbaterea problemei urmatoarele teme pentru definitivarea site-ului si a structurii bazelor de date prezentate mai jos:

Este posibilă o mare varietate de clasificări, funcţie de:

• nivelul de ameninţării (impactului posibil);
• nivelul prejudiciilor;
• cauza producerii;
• agentul de ameninţare;
• vulnerabilitate exploatata;
• valoare atacată.

Pentru început, propunem clasificarea după nivelul de ameninţare în trei clase:

•  de importanţă generală – pentru diseminare la nivel internaţional (datorate unor modalităţi de atac cu şanse de succes în orice sistem)
• de importanţă naţională – pentru diseminarea la nivel naţional ; (impactul cel mai mare este  caracteristic României)
• de importanţă locală – pentru înregistrare şi diseminare locală

Tratarea incidentelor

•  Detecţia incidentului şi „conservarea probelor” (mijloace, metodologii);
•  Înregistrarea (locala si/sau centralizata);
•  Analiza incidentelor (simptome, raspandire, vulnerabilitate exploatata etc.);
•  Raportarea – formulare de raportare;
•  Utilizarea unei proceduri tratare;
  •  Căi de tratare (responsabilitati, solutii tehnice, metodologii, proceduri etc.):
    •  Echipe specializate de intervenţie: CERT (CSIRT);
    •  Echipe IT cu sarcini CERT;
    •  Externalizarea activităţii
  •  Organizarea răspunsului la incident (limitare, recuperare etc.).