Управление инцидентами информационной безопасности

Управление инцидентами — один из важнейших процессов управления информационной безопасностью. Организациям важно правильно и своевременно отслеживать обработку инцидентов: идентифицировать, классифицировать, информировать, сдерживать, расследовать и устранять последствия.

Пользователям ViPNet TIAS доступна глубокая интеграция с Системой управления инцидентами (СУИ) «Перспективного мониторинга», в которую передаются карточки инцидентов для совместного разбора и реагирования. Аналитик может прямо из интерфейса СУИ запросить необходимую информацию о связанных с инцидентом событиях из ViPNet TIAS, дополнить её вручную, оповестить конкретных сотрудников ИБ- и ИТ-служб и передать рекомендации по реагированию на исполнение.

Создание карточки инцидента информационной безопасности

В Системе управления инцидентами главной сущностью является карточка инцидента, в которой собирается вся связанная с инцидентом информация и с которой работают сотрудники Центра мониторинга и сотрудники группы реагирования на стороне заказчика.

Карточка инцидента автоматически создаётся ViPNet TIAS или заводится вручную сотрудниками ИБ-службы заказчика или Центра мониторинга нашей компании.

Список инцидентов информационной безопасности

Для инцидента автоматически или вручную устанавливаются:

  • класс инцидента;
  • признаки инцидента;
  • вовлечённые активы;
  • критичность.

Все поля карточки инцидента можно корректировать вручную.

Карточка инцидента информационной безопасности

Карточки инцидента и относящаяся к инциденту информация, включая пикапы трафика, файлы, образцы вредоносного кода, индикаторы компрометации и т.д., находятся в отказоустойчивом, зарезервированном по оборудованию, каналам связи и электропитанию хранилище не менее трёх лет.

Оповещение

Дежурная смена Центра мониторинга получает оповещения об обнаруженном инциденте в реальном времени в интерфейсе Системы управления инцидентами.

Ответственные сотрудники организаций, информационные системы которых подключены к Центру мониторинга, получают оповещения по почте, смс или телефону согласно ролевой модели.

Реагирование

Threat Intelligence Analytics System умеет автоматически выявлять 295 кластеров инцидентов ИБ. Для каждого такого кластера Система управления инцидентами предоставляет заранее разработанные стандартные рекомендации по реагированию.

Пример рекомендаций

После подробного разбора инцидента аналитики Центра мониторинга предлагают дополнительные меры реагирования, которые помогут:

  • Расследовать инцидент — установить источник атак и причастных к инциденту лиц, выявить косвенно затронутые инцидентом ресурсы, собрать доказательства.
  • Снизить негативное влияние на контролируемую систему, быстрее восстановить работоспособность затронутых узлов.
  • Исключить повторение подобных инцидентов в будущем.

Если все рекомендации по реагированию выполнены, и на узле в период от двух недель до месяца связанная с инцидентом активность не повторяется, то инцидент закрывается.


Реализованные проекты
Расследование инцидента ИБ
Заказчик — сантехническая компания «СК Санлайн». Нам удалось установить причины инцидента и выявить затронутые информационные ресурсы.
Расследование инцидента ИБ и мониторинг
Заказчик — Региональный центр информационных систем (г. Ростов). В ходе тестирования было выявлено и устранено вредоносное программное обеспечения. Благодаря предоставленному анализу потенциальных угроз удалось существенно повысить уровень защищённости информационных ресурсов.
Проверка офиса на наличие неавторизованных Wi-Fi точек доступа
Заказчик — крупная IT-компания. С помощью программно-аппаратной связки ноутбука, Wi-Fi-антенны и специального ПО мы последовательно обошли все помещения офиса заказчика, построили карту распределения сигнала и выявили все его источники.
Аудит программного обеспечения для «Эльдорадо»
Заказчик — ООО «Эльдорадо», один из крупнейших розничных продавцов электроники и бытовой техники в России.Задачей исследователей было проверить текущий уровень защищённости ПО.
Расследование инцидента в Губкинском университете
Российский государственный университет нефти и газа (национальный исследовательский университет) имени И. М. Губкина готовит специалистов для нефтяной и газовой (добывающей и перерабатывающей) промышленности.
Мониторинг ИБ для ГКУ «Ресурсы Ямала»
Специалисты «Перспективного мониторинга» контролируют защищённость информационных ресурсов, предоставляют рекомендации и координируют работу по реагированию на события и инциденты информационной безопасности.