Что делать в случае возникновения компьютерного инцидента?

Что делать в случае возникновения компьютерного инцидента?

Ни одна самая совершенная мера не может дать 100%-ую гарантию защиты от возникновения в информационной системе событий, несущих угрозы бизнесу организации.

Частота возникновения инцидентов ИБ, их количество, масштаб может служить одним из индикаторов того, насколько адекватна система управления безопасности той информации и процессам, в отношении которых предпринимаются защитные меры. Всегда существует вероятность реализации угроз ИБ, которые ранее не были известны. Кроме того, разнообразие, сложность, особенности интеграции решений в современных информационных системах организаций неизбежно ведут к наличию рисков, независимо от степени профессионализма сотрудников служб ИБ и применяемых защитных мер.

Существует множество примеров, когда в результате реализации различных угроз ИБ предприятия теряли ценную либо конфиденциальную информацию, несли финансовый, репутационный ущерб либо убытки, связанные с неполучением прибыли, которое  было вызвано нарушением бизнес-процессов. Для того, чтобы минимизировать возможный ущерб, необходимо заранее быть готовым к возможности возникновения инцидента ИБ именно в организации. Такая подготовка означает наличие детально разработанного, хорошо спланированного, а главное, реально функционирующего процесса управления инцидентами ИБ.

Если же инцидент обнаружен, а системы управления инцидентами нет, либо она не может обеспечить должного реагирования, то стоит придерживаться следующего плана действий:

• по возможности сохранять в тайне факт обнаружения инцидента ИБ, а также факт начала его расследования;

• взять под контроль помещение, где установлены средства вычислительной техники (СВТ), которые, предположительно, были вовлечены в инцидент ИБ, не допускать к ним никого, а если это не представляется возможным, фиксировать все действия;

• предпринять меры, препятствующие отключению питания СВТ (взять под контроль электрощит и т.п.);

• если есть основания полагать, что о начале расследования инцидента стало известно лицам, предположительно имеющим отношение к возникновению инцидента, но не контролируемым в данный момент, необходимо отключить СВТ от локальной сети;

• в кратчайшие сроки обратиться к специалистам в области расследования инцидентов.

После прибытия на место специалистами будут произведены и документально оформлены все необходимые действия.

Инструментальные исследования, осуществляемые компанией ЗАО «Перспективный мониторинг», проводятся в соответствии с лучшими практиками расследования инцидентов ИБ, методическими рекомендациями международных организаций. Материалы, полученные в ходе исследований, могут быть использованы в суде.

Денис Марков
Системный аналитик,
ЗАО «Перспективный Мониторинг»