ricardo-lougon/incident-response-runbook

GitHub: ricardo-lougon/incident-response-runbook

一份将 AWS 云安全事件响应流程与巴西 LGPD 等法规合规要求整合的开源操作手册，提供从技术遏制到监管通报的完整标准化工作流。

Stars: 0 | Forks: 0

# 🚨 事件响应手册 — AWS + LGPD + BCB 4.893 ## ⚖️ 为什么手册是法律义务 | 规范 | 条款 | 要求 | |---|---|---| | **LGPD** | 第 48 条 | 在合理期限内（规定为 72 小时）向 ANPD 及受影响的数据主体通报存在重大风险的事件 | | **Res. BCB 4.893/2021** | 第 4 条，第 VIII 款 | 必须记录、测试并定期更新事件响应程序 | | **ISO 27001:2022** | 控制 5.26 | 信息安全事件响应计划 | | **NIST CSF 2.0** | RS（响应） | 涵盖沟通、分析、缓解和改进的计划 | ## 📁 仓库结构 ``` incident-response-runbook/ │ ├── README.md │ ├── runbook/ │ ├── 00-classificacao-triagem.md # Como classificar o incidente │ ├── 01-contencao-aws.md # Contenção técnica na AWS (comandos prontos) │ ├── 02-preservacao-evidencias.md # Forense: preservar sem contaminar │ ├── 03-avaliacao-impacto-lgpd.md # Avaliação legal de impacto em dados pessoais │ ├── 04-notificacao-anpd.md # Passo a passo da notificação à ANPD (72h) │ └── 05-recuperacao-licoes.md # Erradicação, recuperação e lições aprendidas │ ├── playbooks/ │ ├── credencial-comprometida.md # Cenário: access key ou senha vazada │ ├── s3-bucket-exposto.md # Cenário: bucket S3 público com dados pessoais │ ├── ransomware-ec2.md # Cenário: instância EC2 com ransomware │ └── exfiltracao-dados.md # Cenário: suspeita de exfiltração de dados │ ├── templates/ │ ├── ficha-registro-incidente.md # Registro formal do incidente │ ├── comunicado-anpd.md # Template de notificação à ANPD │ ├── comunicado-titular.md # Template de comunicação ao titular │ └── relatorio-pos-incidente.md # Relatório de lições aprendidas │ └── scripts/ ├── isolate-ec2.sh # Isolar instância comprometida ├── revoke-credentials.sh # Revogar credenciais comprometidas └── collect-forensic-evidence.sh # Coletar evidências forenses ``` ## ⏱️ 法定时间线 ``` H+0 Detecção do incidente H+4 Triagem concluída — dados pessoais afetados? Sim/Não H+8 Contenção implementada H+24 Avaliação de impacto concluída — DPO notificado H+48 Decisão sobre notificação à ANPD tomada H+72 ⚠️ PRAZO LGPD — Notificação à ANPD enviada (se aplicável) H+72+ Erradicação, recuperação e relatório final ``` ## 🚀 快速入门 — 活跃事件 **如果您现在正在响应事件：** 1. **填写记录表：** [ficha-registro-incidente.md](templates/ficha-registro-incidente.md) 2. **对事件进行分类：** [00-classificacao-triagem.md](runbook/00-classificacao-triagem.md) 3. **执行遏制：** [01-contencao-aws.md](runbook/01-contencao-aws.md) 4. **在 [Playbooks](playbooks) 中查阅特定 playbook** 5. **不要错过 72 小时的期限：** [04-notificacao-anpd.md](runbook/04-notificacao-anpd.md) ## 👤 作者 **Ricardo Neves Lougon** 法学学士 · AWS Security 专家 · 云端 Compliance [![LinkedIn](https://img.shields.io/badge/LinkedIn-ricardolougon-0A66C2?style=flat&logo=linkedin)](https://linkedin.com/in/ricardolougon) [![Playbook](https://img.shields.io/badge/Ver%20também-AWS%20Security%20Playbook%20LGPD-2E4057?style=flat)](https://github.com/ricardolougon/aws-security-playbook-lgpd) *关键词：事件响应 · LGPD 第 48 条 · ANPD · AWS Security · GuardDuty · Forensics · BCB 4.893 · ISO 27001 · Runbook · Playbook*

标签：AWS, DPI, PB级数据处理, 安全合规, 安全运维, 库, 应急响应, 数字取证, 漏洞利用检测, 网络代理, 自动化脚本