Открыть сервис

Управление инцидентами информационной безопасности

Управление инцидентами информационной безопасности (англ. Incident Management) — это процесс идентификации, анализа, локализации, устранения последствий и восстановления после событий, которые нарушают или могут нарушить конфиденциальность, целостность или доступность информации и информационных систем. Управление инцидентами является ключевым компонентом систем управления информационной безопасностью (СУИБ) и строится на основе стандартов, таких как ГОСТ Р ИСО/МЭК 27035, NIST SP 800-61 и других.

Цели и задачи

Основная цель управления инцидентами — минимизация ущерба от нарушений безопасности и обеспечение непрерывности бизнес-процессов. Для её достижения решаются следующие задачи:

  • Своевременное обнаружение фактов нарушения политик безопасности.
  • Регистрация и классификация инцидентов по типу, критичности и воздействию.
  • Сдерживание и локализация угрозы для предотвращения её распространения.
  • Устранение последствий и восстановление нормального функционирования систем.
  • Анализ первопричин и извлечение уроков для предотвращения повторения.
  • Документирование всех действий для последующего аудита и отчётности.

Классификация инцидентов

Инциденты информационной безопасности классифицируются по различным признакам. В российской практике, в соответствии с методическими документами ФСТЭК России и Банка России, выделяют следующие основные категории:

По типу угрозы

  • Несанкционированный доступ (НСД) — получение доступа к информации или системам без разрешения.
  • Вредоносное программное обеспечение (ВПО) — заражение систем вирусами, червями, троянами, программами-вымогателями.
  • Атаки на отказ в обслуживании (DoS/DDoS) — направленные действия, приводящие к недоступности сервисов.
  • Социальная инженерия — манипулирование сотрудниками для получения конфиденциальных данных (фишинг, вишинг, претекстинг).
  • Утечка данных — несанкционированная передача или разглашение конфиденциальной информации.
  • Инсайдерские угрозы — действия сотрудников или подрядчиков, нарушающие политики безопасности.
  • Нарушение целостности — несанкционированное изменение данных или программного обеспечения.
  • Физические инциденты — кража, повреждение оборудования, проникновение в охраняемые зоны.

По уровню критичности

  • Критический — приводит к остановке основных бизнес-процессов, масштабной утечке данных, нарушению законодательства (например, утечка персональных данных, подлежащих обязательному уведомлению Роскомнадзора).
  • Высокий — существенно влияет на работу подразделений или отдельных систем, требует немедленного реагирования.
  • Средний — нарушает работу отдельных пользователей или систем, но не затрагивает критически важные процессы.
  • Низкий — не влияет на бизнес-процессы, например, единичный случай фишинга, который не привёл к компрометации.

Процесс управления инцидентами

Стандартный процесс управления инцидентами, описанный в ГОСТ Р ИСО/МЭК 27035, включает несколько последовательных этапов:

1. Планирование и подготовка

На этом этапе разрабатываются политики, процедуры и регламенты. Формируется группа реагирования на инциденты (CSIRT — Computer Security Incident Response Team), определяются роли и ответственность, создаются инструменты для мониторинга и регистрации (SIEM-системы, системы обнаружения вторжений (IDS/IPS), антивирусные решения).

2. Обнаружение и регистрация

Выявление инцидента происходит через автоматические системы (логи, алерты) или вручную (сообщения от пользователей, внешних организаций, регуляторов). Каждый инцидент регистрируется в единой системе учёта (например, в Service Desk или специализированном решении) с указанием времени, источника, типа и предварительной оценки.

3. Анализ и классификация

Специалисты оценивают серьёзность, потенциальный ущерб и масштаб инцидента. Определяется, является ли событие инцидентом (то есть реальным нарушением) или ложным срабатыванием. Проводится первичная криминалистическая экспертиза (форензика) для сбора цифровых доказательств.

4. Сдерживание и локализация

Принимаются меры для предотвращения распространения угрозы. Это может включать отключение скомпрометированных систем от сети, блокировку IP-адресов, сброс паролей, изоляцию сегментов сети. Цель — остановить атаку и минимизировать ущерб.

5. Устранение последствий и восстановление

Удаляется вредоносное ПО, восстанавливаются данные из резервных копий, закрываются уязвимости, обновляются политики доступа. Системы возвращаются в штатный режим работы. Восстановление должно быть подтверждено тестированием.

6. Анализ и извлечение уроков

После завершения активной фазы проводится разбор инцидента (post-mortem). Анализируются первопричины, эффективность реагирования, выявляются слабые места в защите. Результаты оформляются в виде отчёта, который служит основой для улучшения процессов и обновления политик безопасности.

Роль в законодательстве и регулировании

В Российской Федерации управление инцидентами регулируется рядом нормативных актов. Федеральный закон № 152-ФЗ «О персональных данных» обязывает операторов уведомлять Роскомнадзор о фактах утечек персональных данных. Приказ ФСТЭК России № 21 устанавливает требования к организации реагирования на компьютерные инциденты в государственных информационных системах. Банк России в своих стандартах (например, Положение № 683-П) регламентирует порядок взаимодействия кредитных организаций с Центральным банком при обнаружении инцидентов в области информационной безопасности.

Кроме того, в России действует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая координирует реагирование на инциденты в критической информационной инфраструктуре (КИИ). Организации, являющиеся субъектами КИИ, обязаны подключаться к ГосСОПКА и передавать информацию о компьютерных атаках в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Инструменты и технологии

Для автоматизации управления инцидентами используются специализированные программные продукты:

  • SIEM-системы (Security Information and Event Management) — собирают и коррелируют события с различных источников (сетевые устройства, серверы, приложения), выявляя аномалии и инциденты. Примеры: MaxPatrol SIEM (Positive Technologies), Kaspersky Unified Monitoring and Analysis Platform (KUMA), Splunk.
  • SOAR-платформы (Security Orchestration, Automation and Response) — автоматизируют рутинные задачи реагирования (сбор данных, блокировка IP, создание тикетов). Примеры: Kaspersky SOAR, ServiceNow Security Operations.
  • Системы управления уязвимостями (Vulnerability Management) — помогают выявлять и закрывать уязвимости, которые могут стать причиной инцидентов.
  • Форензика (Digital Forensics) — инструменты для сбора и анализа цифровых доказательств (EnCase, FTK, Belkasoft).

Проблемы и вызовы

Несмотря на развитую методологию, управление инцидентами сталкивается с рядом сложностей:

  • Высокая нагрузка на персонал — большое количество ложных срабатываний (false positives) требует ручной проверки, что отвлекает ресурсы от реальных угроз.
  • Нехватка квалифицированных специалистоврынок труда испытывает дефицит экспертов в области реагирования на инциденты.
  • Сложность координации — в крупных организациях инциденты требуют взаимодействия между IT-отделом, службой безопасности, юридическим департаментом и PR-службой.
  • Эволюция угроз — атаки становятся всё более сложными (целевые атаки APT, использование шифровальщиков, атаки на цепочки поставок), что требует постоянного обновления методик и инструментов.
  • Регуляторные требования — необходимость соблюдения сроков уведомления регуляторов (например, 24 часа для уведомления Роскомнадзора при утечке персональных данных) накладывает жёсткие временные рамки.

Источники

  1. ГОСТ Р ИСО/МЭК 27035-2014 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
  2. NIST Special Publication 800-61 Rev. 2 «Computer Security Incident Handling Guide».
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
  5. Положение Банка России от 24.08.2020 № 683-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств».
  6. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  7. Методические рекомендации ФСТЭК России по организации реагирования на компьютерные инциденты.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →