AAR LOOP — ЦИКЛ ОБУЧЕНИЯ
Tabletop / Инцидент
2-3 ч / реальное время
→
Hot Debrief
60 мин, фасилитатор
→
Cold Debrief
90 мин через неделю, CISO
→
Классификация P1/P2/P3
CISO + владельцы
→
Action Items
30 дн P1, 90 дн P2
→
IRP Update
2 нед, CISO+Legal
→
Plan Next
новый цикл
КЛАССИФИКАЦИЯ НАХОДОК
P1 — Критичные
Немедленное устранение, 30 дней. Пример: нет полномочий на изоляцию системы
P2 — Важные
Устранение в 90 дней. Пример: устаревший контактный лист эскалации
P3 — Желательные
Плановое улучшение. Пример: добавить сценарий insider threat в следующий tabletop
Board-level AAR резюме (1 стр.)
Дата: [дата учения / инцидента]
Участники: CEO, CISO, Legal, экономбез, физбез, PR
Сценарий: [один абзац]
Сработало хорошо: 3-5 пунктов
Требует улучшения: 3-5 пунктов
P1: N критичных, P2: M важных, P3: K желательных
План действий: владельцы + сроки
Следующее учение: [дата]
Подпись: CISO + руководитель экономбеза + CEO
Учение без AAR — потеря времени. AAR без Action Items — иллюзия работы. Action Items без проверки исполнения — документ для регулятора, не инструмент защиты. Полный цикл — гарантия, что компания учится.