Управление инцидентами — один из важнейших процессов управления информационной безопасностью. Организациям важно правильно и своевременно отслеживать обработку инцидентов: идентифицировать, классифицировать, информировать, сдерживать, расследовать и устранять последствия.

Пользователям ViPNet TIAS доступна глубокая интеграция с Системой управления инцидентами (СУИ) «Перспективного мониторинга», в которую передаются карточки инцидентов для совместного разбора и реагирования. Аналитик может прямо из интерфейса СУИ запросить необходимую информацию о связанных с инцидентом событиях из ViPNet TIAS, дополнить её вручную, оповестить конкретных сотрудников ИБ- и ИТ-служб и передать рекомендации по реагированию на исполнение.

Создание карточки инцидента информационной безопасности

В Системе управления инцидентами главной сущностью является карточка инцидента, в которой собирается вся связанная с инцидентом информация и с которой работают сотрудники Центра мониторинга и сотрудники группы реагирования на стороне заказчика.

Карточка инцидента автоматически создаётся ViPNet TIAS или заводится вручную сотрудниками ИБ-службы заказчика или Центра мониторинга нашей компании.

Для инцидента автоматически или вручную устанавливаются:

• класс инцидента;
• признаки инцидента;
• вовлечённые активы;
• критичность.

Все поля карточки инцидента можно корректировать вручную.

Карточки инцидента и относящаяся к инциденту информация, включая пикапы трафика, файлы, образцы вредоносного кода, индикаторы компрометации и т.д., находятся в отказоустойчивом, зарезервированном по оборудованию, каналам связи и электропитанию хранилище не менее трёх лет.

Оповещение

Дежурная смена Центра мониторинга получает оповещения об обнаруженном инциденте в реальном времени в интерфейсе Системы управления инцидентами.

Ответственные сотрудники организаций, информационные системы которых подключены к Центру мониторинга, получают оповещения по почте, смс или телефону согласно ролевой модели.

Реагирование

Threat Intelligence Analytics System умеет автоматически выявлять 295 кластеров инцидентов ИБ. Для каждого такого кластера Система управления инцидентами предоставляет заранее разработанные стандартные рекомендации по реагированию.

Пример рекомендаций

После подробного разбора инцидента аналитики Центра мониторинга предлагают дополнительные меры реагирования, которые помогут:

• Расследовать инцидент — установить источник атак и причастных к инциденту лиц, выявить косвенно затронутые инцидентом ресурсы, собрать доказательства.
• Снизить негативное влияние на контролируемую систему, быстрее восстановить работоспособность затронутых узлов.
• Исключить повторение подобных инцидентов в будущем.

Если все рекомендации по реагированию выполнены, и на узле в период от двух недель до месяца связанная с инцидентом активность не повторяется, то инцидент закрывается.