Инциденты информационной безопасности: что это и какие виды бывают
Инциденты информационной безопасности — это стресс для компании. Они отражаются на рабочих процессах, репутации и финансах. Чтобы ущерб был минимальным, нужно оперативно выявлять и ликвидировать подозрительную активность. Рассказываем о распространенных инцидентах и мерах защиты.
Что такое инцидент и событие информационной безопасности
Важно различать понятия событий и инцидентов информационной безопасности, чтобы эффективно управлять рисками, правильно реагировать на угрозы и минимизировать ущерб.
Определение события
Под событием понимают любое действие, которое затрагивает информационные системы и может иметь значение для ИБ.
Примеры событий информационной безопасности:
вход пользователя в систему;
изменение файла;
повышение пользовательских привилегий;
подключение внешнего устройства.
Событием ИБ может быть как легитимная операция, так и угроза. Не факт, что даже при угрозе произойдет инцидент, особенно если компания предусмотрела меры защиты. Но события нужно отслеживать, чтобы вовремя заметить признаки атак и нарушений.
Определение инцидента информационной безопасности
Инцидент ИБ — это событие (иногда совокупность событий), которое однозначно несет угрозу информационной безопасности.
Примеры инцидентов:
несанкционированный доступ к системе;
утечка конфиденциальных данных;
DDoS-атака:
внедрение вредоносного ПО;
взлом пользовательского аккаунта.
Несанкционированный доступ (НСД)
Чтобы было проще понять разницу между событием и инцидентом ИБ, разберем пример. Пользователь пытается авторизоваться в системе. Это событие. Возможно, легитимный пользователь входит в свой аккаунт. Однако многократные попытки авторизации за короткий промежуток времени — уже инцидент. Скорее всего, тут речь о взломе аккаунта.
Нужно понимать разницу между понятиями, чтобы принять надлежащие меры. Событие просто фиксируют и при необходимости анализируют. Инцидент требует оперативной реакции во избежание серьезного ущерба. Вернемся к примеру с многократными попытками авторизации. На такую ситуацию нужно реагировать блокировкой доступа.
Классификация инцидентов информационной безопасности
Есть несколько классификаций: по типу нарушения, источнику, критичности для компании, умыслу нарушителей. Рассмотрим все.
По типу нарушения
Распространенные типы нарушений с примерами:
Нарушение конфиденциальности данных: утечки, перехват информации при передаче по каналам связи, доступ к засекреченным документам.
Нарушение целостности данных: не согласованные редактирование и удаление файлов, подмена информации.
Нарушение доступности данных: DDoS-атака, несанкционированное шифрование файлов, вывод оборудования из строя.
Нарушение политик доступа: злоупотребление полномочиями, несанкционированное назначение прав доступа, попытки повысить привилегии.
В эту категорию можно отнести и ложное представление — использование чужих аккаунтов, фальшивых электронных подписей.
По источнику
По этой классификации различают внутренние и внешние инциденты ИБ. Внутренние связаны с сотрудниками компании и доверенными лицами: клиентами, подрядчиками, партнерами. То есть теми, кто имеет доступ к корпоративным системам или может его получить.
Внешние связаны с хакерами. Злоумышленники могут проводить массовые или целенаправленные атаки на конкретную компанию, действовать по заказу недобросовестных конкурентов. Доступа к корпоративным системам у хакеров нет, поэтому они пытаются получить его через взлом, вредоносные программы, уязвимости в ПО.
По степени воздействия
Инциденты информационной безопасности могут по-разному влиять на компанию. Какие-то будут критичными, какие-то — вызовут временные трудности, но серьезного ущерба не принесут.
Уровень воздействия | Описание | Примеры инцидентов | Время реагирования |
Критический | Инцидент, который может вызвать большие убытки или привести к полной остановке бизнес-процессов | Взлом и утечка критически важной информации, уничтожение данных, ransomware-атаки | Немедленное реагирование (в течение 1-2 часов) для восстановления работы и минимизации последствий |
Высокий | Инцидент, который серьезно нарушает работу информационных систем и может привести к значительному ущербу | Несанкционированный доступ к внутренним системам, утечка персональных данных, вредоносное ПО | Реагирование в течение 4-6 часов |
Средний | Инцидент, который влияет на функционирование отдельных компонентов инфраструктуры, но не оказывает влияния на работу на компании | Атака на локальные сети, временная недоступность отдельных систем или сервисов | Реагирование в течение рабочего дня 8-12 часов |
Низкий | Инцидент, который оказывает минимальное влияние на работу системы и не несет серьезного ущерба | Обнаружение уязвимостей в ПО, слабые пароли от корпоративных аккаунтов, случаи фишинга | Реагирование в течение 24-48 часов |
По умыслу
В рамках классификации различают намеренные и случайные инциденты. Намеренные совершаются по злому умыслу сотрудников. Пример — работник слил базу данных клиентов конкурентам и получил вознаграждение. Или — хотел отомстить руководителю отдела и специально удалил данные из отчета. В обоих случаях сотрудник сознательно шел на нарушение и причинял вред компании.
Случайные инциденты ИБ происходят по недосмотру или невнимательности. Пример — сотрудник загрузил данные в общий файлообменник, откуда они утекли в сеть. Навредить компании он не хотел, просто был невнимательным.
Чтобы избежать случайных инцидентов, необходимо обучать сотрудников кибергиене и отслеживать качество выполнения рабочих обязанностей. Предотвращать намеренные можно с помощью DLP-систем, позволяющих предотвращать утечки данных.
Примеры компьютерных инцидентов
Приведем примеры инцидентов информационной безопасности и их последствий для российских организаций.
Инцидент | Описание | Влияние на организацию | Последствия |
Атака на платформу «Ростелекома» в 2021 году | Хакеры использовали уязвимости в системе управления доступом к сервисам корпорации | Утечка личных данных клиентов | Штрафы нарушение №152-ФЗ, потеря доверия пользователей |
Атака на систему «Госуслуг» в 2022 году | В 2022 году хакеры пытались взломать систему «Госуслуг», воспользовавшись недостатками в механизмах защиты. Злоумышленники планировали кражу личных данных граждан | Пытались получить доступ к личным данным граждан, нарушение работы системы | Обострение вопроса безопасности данных, технические доработки системы |
Массированные DDoS-атаки на российские компании в 2022 году | DDoS-атаки на российские госучреждения и крупные компании. Использование огромной сети ботнетов | Временное отключение сервисов, проблемы с доступом к государственным ресурсам | Потери производительности, простои сервисов, урон репутации |
Управление инцидентами информационной безопасности
Управление инцидентами информационной безопасности — обнаружение, анализ, реагирование и восстановление после ситуаций, которые угрожают безопасности данных и IT-систем. Разберемся, как строится процесс.
Этапы управления
В популярной второй редакции стандарта NIST SP 800-61 (Computer Security Incident Handling Guide) предложена 4-этапная модель управления инцидентами:
Подготовка (Preparation) — формирование политик, создание команд реагирования (CSIRT/SOC), подготовка инструментов, планов и обучение персонала.
Обнаружение и анализ (Detection & Analysis) — выявление инцидента с помощью мониторинга, его подтверждение, первоначальный анализ и классификация.
Сдерживание, уничтожение и восстановление (Containment, Eradication & Recovery) — действия по локализации угрозы, её устранению, а также восстановлению работы систем и сервисов.
Действия после инцидента (Post-Incident Activity) — анализ произошедшего, извлечение уроков, обновление процедур и мер защиты.
Важно отметить, что в апреле 2025 года вышла третья редакция (Rev. 3) данного руководства. В ней четырехэтапная модель была заменена на структуру, основанную на шести функциях (Govern, Identify, Protect, Detect, Respond, Recover) из обновленной версии Фреймворка кибербезопасности — NIST CSF 2.0. Это эволюция подхода, которая интегрирует управление инцидентами в общую стратегию кибербезопасности организации.
Стандарты и практики
Международные стандарты управления инцидентами — ISO/IEC 27035 и NIST SP 800-61. Российские:
ГОСТ Р 59709‑2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения».
ГОСТ Р 59710‑2022 «Защита информации. Управление компьютерными инцидентами. Общие положения».
ГОСТ Р 59711‑2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами».
ГОСТ Р 59712‑2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Отечественные компании должны ориентироваться в первую очередь на российские нормативы. Тем более они не противоречат международным.
Решения и инструменты
Своевременно выявлять инциденты ИБ позволяют системы мониторинга — EDR (Endpoint Detection and Response) и SIEM (Security Information and Event Management). SIEM — решение, которое собирает данные с разных источников (серверов, рабочих станций, журналов, сетевых устройств, приложений), приводит логи к единому формату, коррелирует события для дальнейшего анализа. Также оно может отправлять уведомления о подозрительной активности.
EDR обнаруживает угрозы на конечных точках — серверах и компьютерах. EDR-агенты на устройствах непрерывно собирают информацию обо всех действиях: открытии файлов, запуске программ, сетевых подключениях и др. Обнаружив угрозу, система отправляет уведомления и запускает автоматические меры реагирования. Например, удаляет вредоносный файл, запрещает подозрительные изменения, изолирует зараженные компьютеры.
SIEM-системы для автоматического мониторинга используют многие компании, а EDR часто пытаются заменить антивирусами. Но это другой класс решений. Традиционные антивирусы работают на сигнатурах — обнаруживают характерные признаки известного вредоносного ПО. EDR анализируют поведенческие аномалии и позволяют выявлять нетипичные и сложные угрозы, собирая данные с конечных точек (endpoints) и изолируя скомпрометированные устройства.
Системы мониторинга и управления событиями безопасности (SIEM) обеспечивают обнаружение и реагирование на инциденты в режиме реального времениРеагирование на инциденты информационной безопасности
Если известно, что произошел инцидент, нужно немедленно принимать меры реагирования. Рассказываем, какими они могут быть.
Реагирование
Первым делом нужно понять, какие системы и устройства пострадали — от этого будут зависеть меры реагирования. Возможные сценарии дальнейших действий:
Если компьютер заражен вредоносным ПО, нужно изолировать устройство, чтобы не допустить горизонтального распространения угрозы. Только после этого специалисты занимаются поиском вредоноса и его удалением.
Если взломан аккаунт, необходимо поменять пароль или заблокировать учетную запись.
Если произошла DDos-атака на сайт, нужно оперативно ее отразить и восстановить работоспособность ресурса. В этом поможет Curator Anti-DDoS от Cloud.ru.
Если злоумышленники видоизменили или удалили важные данные, нужно восстановить их из резервных копий. Это возможно, если компания регулярно их делает.
Если утекли персональные данные, необходимо найти и перекрыть каналы утечки. Чтобы сохранить репутацию, лучше предупредить об инциденте клиентов и партнеров.
Процесс реагирования должен быть отлаженным и оперативным. В нем принимают участие ИБ-специалисты, технари, руководители подразделений, юристы, а иногда и рядовые сотрудники. Главное — сохранить спокойствие, быстро расставить приоритеты и действовать по заранее спланированным сценариям.
Если не получается справиться своими силами, можно привлечь внешних специалистов: аналитиков центра мониторинга угроз, поставщиков IT-услуг, экспертов по устранению сложных атак.
Ликвидация последствий инцидентов ИБ
Специалисты восстанавливают пострадавшие элементы IT-инфраструктуры и возвращают компанию к нормальной работе. После этого проводится аудит ИБ. Он показывает, устранены ли последствия инцидентов и не осталось ли критичных уязвимостей. Аудит можно выполнять своими силами, но для точной оценки лучше привлечь сторонних экспертов.
Превентивные меры предотвращения инцидентов ИБ
В таблице мы собрали перечень мер, которые компания в идеале должна применять для защиты своих систем и данных.
Категория | Мера безопасности | Описание |
Организационные меры | Разработка и внедрение политик ИБ | Создание и внедрение регламентов для управления безопасностью данных |
Обучение сотрудников кибербезопасности | Проведение тренингов для повышения осведомленности о угрозах и безопасном обращении с данными | |
Оценка рисков и анализ угроз | Проведение анализа угроз и уязвимостей для своевременного реагирования | |
Проверка поставщиков и подрядчиков | Оценка соблюдения стандартов безопасности внешними контрагентами | |
Разработка планов реагирования на инциденты | Создание подробного плана действий при инцидентах безопасности | |
Процедуры обеспечения непрерывности бизнеса | Разработка плана для сокращения потерь и простоя при инцидентах | |
Технические меры защиты | Регулярное обновление ПО и ОС | Обновление программного обеспечения для устранения уязвимостей в старых версиях |
Использование антивирусного ПО | Установка и регулярное обновление антивирусов для распознавания вредоносного ПО, программ шифровальщиков и вымогателей | |
Защита сетевого периметра (Firewall, IPS) | Использование межсетевых экранов и систем предотвращения вторжений для защиты от сетевых угроз | |
Сегментация локальной сети | Разделение сети на сегменты с целью не допустить распространения угроз внутри компании | |
Контроль удаленного доступа (VPN) | Подключение через защищенные каналы связи | |
Шифрование данных | Применение инструментов криптографии для защиты данных при передаче и хранении | |
Меры управления доступом | Подключение двухфакторной/многофакторной аутентификации | Дополнительная защита аккаунтов с помощью предъявления еще каких-то факторов, кроме пароля |
Разграничение прав доступа | Разделение прав доступа на основе ролей и служебных обязанностей | |
Принцип наименьших привилегий | Предоставление минимального необходимого уровня доступа для выполнения обязанностей | |
Меры защиты данных | Резервное копирование данных | Создание резервных копий данных для защиты от потерь при сбоях или атаках |
Управление уязвимостями | Регулярное сканирование систем на наличие слабых мест, проверка устранения уязвимостей | |
Контроль внешних устройств и съемных носителей | Отслеживание использования флеш-карт и других носителей с целью предотвратить несанкционированный перенос данных | |
Защита электронной почты | Применение инструментов фильтрации для защиты от фишинга и спама | |
Меры мониторинга и аудита | Мониторинг событий безопасности (SIEM) | Использование систем для сбора и анализа логов безопасности в реальном времени |
Тестирование на проникновение | Проведение пентестов своими силами или с помощью сторонних тестировщиков для обнаружения уязвимостей | |
Логирование активности | Запись действий пользователей и событий для дальнейшего анализа и расследования инцидентов |
Заключение
Чтобы снизить риск инцидентов ИБ, важно не только организовать постоянный мониторинг и внедрить базовые меры защиты, но и позаботиться о защите публичных ресурсов от сетевых атак.
Для отражения DDoS‑атак и сохранения доступности веб‑сервисов можно использовать специализированные облачные решения по фильтрации трафика и защите веб‑приложений, например сервис Curator Anti‑DDoS от Cloud.ru. Также имеет смысл регулярно проверять IT‑инфраструктуру на уязвимости и своевременно устранять слабые места.