КО
Модуль

Управление инцидентами информационной безопасности

Полный цикл управления инцидентами ИБ: от регистрации до расследования. Интеграция с SIEM. Связь с активами и рисками.
7 этапов: Жизненный цикл
SIEM: Интеграция
НКЦКИ: Уведомления
Запросить демоПлатформа

Процесс управления инцидентами ИБ

Инцидент ИБ — событие, которое привело или может привести к нарушению конфиденциальности, целостности или доступности информации. КиберОснова обеспечивает полный workflow управления инцидентами по ISO 27035 и ГОСТ Р 59711-2022.

Жизненный цикл инцидента

7 этапов — от обнаружения до закрытия и анализа

1

Обнаружение

SIEM-алерт, сообщение сотрудника или внешний сигнал. Автоматическая регистрация при интеграции с SIEM.

2

Регистрация

Фиксация в журнале: что произошло, когда, кем обнаружено. Привязка к затронутым активам из инвентаризации.

3

Классификация

Тип инцидента (вредоносное ПО, утечка, НСД, DDoS, фишинг). Критичность — автоматически по ценности активов.

4

Реагирование

Назначение ответственного, первичные меры сдерживания. SLA по типам: критический — 1ч, высокий — 4ч, средний — 8ч.

5

Расследование

Анализ причин, определение масштаба, сбор артефактов. Timeline инцидента с полной хронологией.

6

Устранение

Ликвидация последствий, восстановление работоспособности. Связь с задачами в модуле задач.

7

Закрытие и анализ

Lessons learned, обновление мер защиты, формирование post-mortem отчёта.

КиберОснова — управление процессом инцидентов в контексте SGRC. Мы не заменяем SOAR. Нужна автоматизация технического реагирования (блокировка IP, изоляция хоста)? КиберОснова интегрируется с SOAR-решениями.

Возможности модуля управления инцидентами

Каждый инцидент связан с активами, рисками и мерами защиты — контекст, которого нет в standalone-тикетницах

Регистрация и классификация

Карточка инцидента с привязкой к активам. Автоматический расчёт критичности на основе ценности затронутых активов из модуля инвентаризации.

Назначение и эскалация

Назначение ответственного, SLA по типам инцидентов. Автоматическая эскалация при просрочке. Уведомления о сроках для КИИ (187-ФЗ).

Расследование

Timeline инцидента: все действия, комментарии, изменения статуса. Прикрепление артефактов: логи, скриншоты, отчёты SIEM.

Журнал инцидентов

Единый реестр с фильтрацией по типу, критичности, статусу. Обязательный элемент для 152-ФЗ, 187-ФЗ, ISO 27001, ГОСТ 57580.

Отчёты и метрики

MTTD, MTTR, распределение по типам и критичности. Генерация уведомлений для НКЦКИ/ГосСОПКА по 187-ФЗ.

Интеграция с SIEM-системами

SIEM детектирует событие → отправляет алерт в КиберОснова → система автоматически создаёт карточку инцидента с привязкой к активу. Без SIEM инциденты можно регистрировать вручную.

Kaspersky KUMA
MaxPatrol SIEM (Positive Technologies)
Универсальный REST API
Syslog

Часто задаваемые вопросы

Связанные разделы

Запросите демо управления инцидентами

Регистрация, расследование, отчётность — полный цикл в составе SGRC-платформы.