В каждой компании рано или поздно руководство задается вопросом: "Что происходит у нас в плане информационной безопасности?". Большинство при этом уверены, что если все работает, то и бояться нечего. Последствия инцидентов информационной безопасности – это единственное, что может вывести коллег из состояния "безопасности по незнанию".
Любое событие, включающее в себя неправомерные действия с информацией конфиденциального характера и сервисами компании, может являться инцидентом информационной безопасности. Почему только может? Потому что любые события необходимо тщательно проверять, чтобы не сделать еще хуже, вводя меры обеспечения безопасности там, где их и так достаточное количество; но давайте обо всем по порядку.
Что необходимо компании для грамотного реагирования на инциденты информационной безопасности (ИБ)?
Под данным процессом принято понимать описание последовательности действий, таких как:
В регламенте должны быть четко отражены:
В каждой компании огромное количество устройств, которые собирают логи событий, и обработать их вручную попросту невозможно. Поэтому для выделения из общего множества событий тех, которые необходимо проверить на предмет инцидента, поможет SIEM-система. На текущий момент на рынке систем безопасности присутствует множество подходящих решений как отечественных, так и иностранных.
Если в вашей компании имеется возможность организовать отдельное направление/отдел, направленное на выявление инцидентов (Security Operation Center) согласно организованному вами процессу, то это лучший вариант. Если же штат компании не позволяет это реализовать, то возможно сделать нечто подобное и при помощи операторов на аутсорсе, но в данном случае необходимо будет учитывать соответствующие риски передачи конфиденциальной информации третьему лицу и принимать определенные меры по их минимизации.
Надеюсь, данной информации достаточно, чтобы составить представление о процессе реагирования на инциденты ИБ. И помните: если вам кажется, что ничего плохого не происходит, возможно вы просто об этом не знаете.