Что нужно для грамотного реагирования на инциденты ИБ?

В каждой компании рано или поздно руководство задается вопросом: "Что происходит у нас в плане информационной безопасности?". Большинство при этом уверены, что если все работает, то и бояться нечего. Последствия инцидентов информационной безопасности – это единственное, что может вывести коллег из состояния "безопасности по незнанию".

Любое событие, включающее в себя неправомерные действия с информацией конфиденциального характера и сервисами компании, может являться инцидентом информационной безопасности. Почему только может? Потому что любые события необходимо тщательно проверять, чтобы не сделать еще хуже, вводя меры обеспечения безопасности там, где их и так достаточное количество; но давайте обо всем по порядку.

Что необходимо компании для грамотного реагирования на инциденты информационной безопасности (ИБ)?

1. Выстроить процесс реагирования на инциденты ИБ

Под данным процессом принято понимать описание последовательности действий, таких как:

• сбор событий и их обработка;
• проверка легитимности событий;
• идентификация инцидента и определение его критичности;
• реализация плана реагирования на инцидент;
• выявление и устранение последствий инцидента;
• принятие мер по минимизации риска его повторного возникновения.

2. Разработать регламент реагирования на инциденты ИБ

В регламенте должны быть четко отражены:

• критерии оценки критичности инцидентов;
• планы реагирования на инциденты ИБ;
• ответственные за процесс и его исполнение;
• документы, которые необходимо фиксировать для последующей минимизации рисков (отчет, выгрузки, статистика и т.д.).

3. Приобрести SIEM-систему

В каждой компании огромное количество устройств, которые собирают логи событий, и обработать их вручную попросту невозможно. Поэтому для выделения из общего множества событий тех, которые необходимо проверить на предмет инцидента, поможет SIEM-система. На текущий момент на рынке систем безопасности присутствует множество подходящих решений как отечественных, так и иностранных.

4. Ввести процесс реагирования на инциденты ИБ в работу

Если в вашей компании имеется возможность организовать отдельное направление/отдел, направленное на выявление инцидентов (Security Operation Center) согласно организованному вами процессу, то это лучший вариант. Если же штат компании не позволяет это реализовать, то возможно сделать нечто подобное и при помощи операторов на аутсорсе, но в данном случае необходимо будет учитывать соответствующие риски передачи конфиденциальной информации третьему лицу и принимать определенные меры по их минимизации.

Надеюсь, данной информации достаточно, чтобы составить представление о процессе реагирования на инциденты ИБ. И помните: если вам кажется, что ничего плохого не происходит, возможно вы просто об этом не знаете.