Как классифицируются инциденты ИБ?

Инциденты ИБ классифицируются по: типу нарушения (конфиденциальность, целостность, доступность), источнику (внешний/внутренний нарушитель, ошибки персонала, технические сбои), категории объекта (ГИС, КИИ, ИСПДн), критичности (высокая/средняя/низкая) и способу обнаружения (мониторинг, пользователь, регулятор).

Что нужно сообщать в регуляторы об инцидентах?

Для объектов КИИ: уведомление НКЦКИ (ФСБ) в течение 24 часов с момента обнаружения компьютерного инцидента. Для ИСПДн: уведомление Роскомнадзора об утечке ПДн в течение 24 часов (первичное) и 72 часов (итоговое). Для ГИС: уведомление ФСТЭК по установленной форме.

Что такое ГРИБАС?

ГРИБАС — Группа реагирования на инциденты безопасности автоматизированных систем. Внутренняя структура организации, ответственная за обнаружение, расследование и ликвидацию инцидентов ИБ. Аналог международного термина CERT/CSIRT. Создание ГРИБАС рекомендовано для субъектов КИИ.

Что такое СОИБ?

СОИБ — Система обеспечения информационной безопасности. Совокупность организационных мер, технических средств и процессов, направленных на защиту информации и обнаружение инцидентов ИБ. Включает SIEM, IDS/IPS, DLP, средства мониторинга и управления инцидентами.

Глоссарий ИБ

Инцидент информационной безопасности

Инцидент ИБ — событие, приводящее к нарушению конфиденциальности, целостности или доступности информации. Разбираем классификацию, жизненный цикл и требования к уведомлению регуляторов.

Попробовать КиберОснова Все термины

Инцидент ИБ — определение

Инцидент информационной безопасности — одно или несколько нежелательных или неожиданных событий, которые с высокой степенью вероятности приводят к нарушению конфиденциальности, целостности или доступности информации (триада CIA). Определение соответствует ГОСТ Р ИСО/МЭК 27035 и 187-ФЗ.

Важно отличать событие ИБ (любое наблюдаемое изменение состояния системы) от инцидента ИБ (событие, квалифицированное как нарушение ИБ). Не каждое событие является инцидентом — требуется триаж.

Жизненный цикл инцидента ИБ

Обнаружение — фиксация аномалии средствами мониторинга, SIEM или сообщением пользователя
Первичный анализ (триаж) — подтверждение инцидента, первичная классификация и приоритизация
Сдерживание — изоляция затронутых систем для предотвращения распространения угрозы
Расследование — сбор доказательств, установление вектора атаки и масштаба ущерба
Устранение — ликвидация угрозы, восстановление систем до рабочего состояния
Уведомление регуляторов — НКЦКИ, Роскомнадзор в установленные законом сроки
Post-incident review — анализ причин и совершенствование мер защиты

Автоматизация управления инцидентами

Платформа КиберОснова автоматизирует регистрацию и сопровождение инцидентов ИБ: от фиксации события до формирования отчёта и уведомления регуляторов. Модуль задач ИБ позволяет назначать ответственных, отслеживать статусы и хранить историю инцидентов.

Вопросы об инцидентах ИБ

Связанные разделы

Управляйте инцидентами ИБ системно

КиберОснова фиксирует, расследует инциденты и формирует уведомления для НКЦКИ и Роскомнадзора.