.PNG)
1Что такое реагирование на инциденты ИБ
Реагирование на инциденты информационной безопасности (Incident Response) — это обнаружение, анализ, локализация и устранение последствий кибератак. Чем быстрее и точнее реагирование, тем меньше ущерб для бизнеса.
666
Запросов/мес
в Яндексе (Москва)
207
Дней
среднее время обнаружения атаки без SOC
4.5M
$ ущерб
средний от одного инцидента (IBM)
<1ч
Время реагирования
при подключённом SOC
2Этапы реагирования на инциденты
Стандарт NIST SP 800-61 Rev. 2 «Computer Security Incident Handling Guide» выделяет четыре этапа реагирования:
| Этап | Описание | Кто выполняет | Время |
|---|---|---|---|
| 1. Подготовка | Формирование команды, инструменты, регламенты, обучение | CISO / SOC-команда | Заранее |
| 2. Обнаружение и анализ | Идентификация инцидента, оценка масштаба, классификация | Аналитики SOC L1-L2 | Минуты |
| 3. Локализация и устранение | Изоляция заражённых систем, удаление угрозы, восстановление | SOC L2-L3 + IT | Часы |
| 4. Пост-инцидентный анализ | Расследование причин, уроки, обновление защиты | SOC L3 + руководство | Дни |
3Регламент реагирования на инциденты
У каждой организации должен быть документированный регламент (план) реагирования на инциденты. Для субъектов КИИ это прямое требование 187-ФЗ. Без регламента реагирование превращается в хаос.
Классификация инцидентов по уровням критичности (P1-P4)
Матрица эскалации: кто, кому, в какие сроки сообщает
Контактные данные ответственных и внешних подрядчиков (SOC-провайдер, НКЦКИ)
Порядок изоляции заражённых систем без потери артефактов
Шаблоны карточек инцидентов и отчётов для руководства
Порядок уведомления Роскомнадзора об утечках ПДн (в течение 24 часов)
Порядок передачи данных в ГосСОПКА для субъектов КИИ
Требование 187-ФЗ
4Типы инцидентов и приоритеты
| Приоритет | Тип инцидента | Пример | Время реагирования |
|---|---|---|---|
| P1 — Критический | Шифровальщик, APT, утечка ПДн | LockBit зашифровал файловый сервер | 15 минут |
| P2 — Высокий | Компрометация учётки, DDoS | Взлом админского аккаунта AD | 1 час |
| P3 — Средний | Вредоносное ПО, фишинг | Сотрудник открыл фишинговое вложение | 4 часа |
| P4 — Низкий | Нарушение политики, сканирование | Попытки подбора пароля извне | 24 часа |
5SOC-мониторинг и реагирование
Без мониторинга реагирование невозможно — об атаке узнаёте, когда ущерб уже нанесён. SOC даёт непрерывное наблюдение и быстрое реагирование:
КРЕДО-С эксплуатирует собственный SOC-центр с 2020 года. Мы обеспечиваем полный цикл реагирования: от обнаружения аномалии в SIEM до изоляции угрозы и пост-инцидентного анализа. Для организаций без собственного SOC — модель MSSP: подключение за 48 часов, стоимость от 50 000 ₽/мес.
6Как подготовить компанию
Разработать и утвердить регламент реагирования на инциденты
Назначить ответственных и обучить команду (tabletop-учения)
Подключить SOC-мониторинг (собственный или MSSP)
Настроить резервное копирование по правилу 3-2-1
Провести тестирование на проникновение (пентест)
Для КИИ: обеспечить подключение к ГосСОПКА и НКЦКИ
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.