Введение
Инцидент информационной безопасности (инцидент ИБ) – одиночное или серия связанных нежелательных событий в информационной системе, которые нарушают или угрожают нарушить конфиденциальность, целостность или доступность информационных ресурсов организации. Понятие закреплено в ГОСТ Р ИСО/МЭК ТО 18044-2007 и международном стандарте ISO/IEC 27035.
В отличие от события безопасности, инцидент несёт реальный или потенциальный ущерб. Именно способность разграничить рядовое событие и инцидент определяет зрелость SOC (Security Operations Center).
История и контекст
Понятие инцидента ИБ сформировалось в 1980-х годах с развитием сетей ARPANET. Первым широко известным киберинцидентом стал червь Морриса (1988), поразивший около 6 000 UNIX-систем. С тех пор методология управления инцидентами прошла путь от ad hoc реагирования до формализованных процессов.
В России обязательные требования закреплены в Федеральном законе N 187-ФЗ о безопасности КИИ и регламентах ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации компьютерных атак под управлением ФСБ). Субъекты КИИ обязаны незамедлительно информировать ГосСОПКА об инцидентах на значимых объектах.
Классификация и жизненный цикл
Инциденты классифицируются по типу: вредоносное ПО (ransomware, malware), несанкционированный доступ, DDoS-атака, утечка данных, фишинг, компрометация учётных записей, атаки на цепочку поставок. Управление инцидентом включает пять ключевых этапов:
- Подготовка. Разработка политик и плана реагирования (IRP), обучение CSIRT, настройка SIEM и EDR.
- Обнаружение и анализ. Выявление аномалий, сбор данных (логи, PCAP, образы памяти), приоритизация по критичности.
- Сдерживание и локализация. Изоляция скомпрометированных хостов, блокировка вредоносного трафика, сохранение криминалистических артефактов.
- Устранение и восстановление. Удаление вредоноса, патчинг, восстановление из резервных копий.
- Post-Incident Review. Отчёт с хронологией, извлечение уроков, обновление регламентов.
Где применяется
- Финансовые организации – банки обязаны сообщать об инцидентах Банку России (Положение 779-П).
- Государственные системы – субъекты КИИ уведомляют ГосСОПКА в установленные сроки.
- Телеком – операторы несут ответственность за утечку ПДн по 152-ФЗ.
- Промышленные предприятия – инциденты на АСУ ТП могут нанести физический ущерб производству.
- Медицина – утечка медданных требует уведомления Роскомнадзора.
Преимущества структурированного реагирования
Организации с зрелым процессом управления инцидентами сокращают среднее время обнаружения (MTTD) и среднее время реагирования (MTTR), снижая финансовый ущерб. Ключевые практики: SOAR-платформы для автоматизации реагирования, playbooks под каждый тип инцидента, регулярные учения (Tabletop Exercises).
Ограничения: эффективное реагирование требует квалифицированных SOC-аналитиков, дорогостоящих SIEM/EDR/XDR-решений и чётко выстроенных процессов взаимодействия между ИТ, ИБ и бизнесом.
Связь с другими понятиями
Инцидент ИБ тесно связан с SIEM (обнаружение через корреляцию), SOAR (автоматизация реагирования), EDR (видимость угроз на конечных точках) и DLP (фиксация утечек). Управление инцидентами является неотъемлемой частью программы управления рисками ИБ и напрямую связано с политикой резервирования (ИБ) как инструментом восстановления.
