Описание типовых инцидентов ИБ

1. Несанкционированный доступ к системе

• Попытки подбора пароля (brute-force).
• Вход в систему с неизвестных IP-адресов.
• Создание или изменение учётных записей без согласования.
• Изменение прав доступа или ролей пользователей.

Процедура реагирования

1. Немедленная блокировка подозрительной учётной записи.
2. Проверка журналов безопасности и системных логов.
3. Смена паролей и токенов доступа.
4. Проверка целостности конфигурации системы.
5. Подготовка отчёта об инциденте.

2. Вредоносное программное воздействие

• Обнаружение неизвестных процессов на сервере или рабочей станции.
• Аномальная сетевая активность.
• Изменение конфигурационных файлов без санкции администратора.
• Блокировка или шифрование данных.

Процедура реагирования

1. Изоляция затронутого узла от сети.
2. Проведение антивирусной проверки.
3. Анализ логов и выявление источника заражения.
4. Восстановление системы из резервной копии.
5. Обновление системы и устранение уязвимостей.

3. Нарушение целостности данных

• Несанкционированное изменение записей в базе данных.
• Удаление или повреждение файлов.
• Несоответствие контрольных сумм.

Процедура реагирования

1. Приостановка работы затронутых сервисов.
2. Анализ журналов аудита.
3. Восстановление данных из резервной копии.
4. Проверка разграничения прав доступа.
5. Документирование инцидента.

4. Отказ в обслуживании (DoS/DDoS)

• Резкий рост входящего трафика.
• Недоступность веб-интерфейса или API.
• Перегрузка CPU, памяти или дисковой подсистемы.

Процедура реагирования

1. Анализ источников трафика.
2. Включение механизмов ограничения запросов (rate limiting).
3. Блокировка подозрительных IP-адресов.
4. Масштабирование ресурсов при необходимости.
5. Формирование технического отчёта.

5. Утечка конфиденциальной информации

• Обнаружение выгрузки данных вне регламентированных процедур.
• Аномальный объём исходящего трафика.
• Передача файлов третьим лицам без согласования.

Процедура реагирования

1. Немедленная блокировка канала утечки.
2. Анализ объёма и состава скомпрометированных данных.
3. Уведомление ответственного за ИБ.
4. Усиление механизмов шифрования и контроля доступа.
5. Разработка корректирующих мер.

6. Ошибки обновления и некорректная работа ПО

• Сбой после обновления версии десктопного или серверного ПО.
• Несовместимость конфигурации.
• Ошибки запуска сервисов.

Процедура реагирования

1. Откат к предыдущей стабильной версии.
2. Анализ логов обновления.
3. Проверка конфигурационных параметров.
4. Повторное тестирование в изолированной среде.
5. Документирование инцидента.

7. Общие меры обеспечения информационной безопасности

• Разграничение прав доступа по принципу минимально необходимого.
• Использование шифрования при передаче данных (SSL/TLS).
• Регулярное резервное копирование данных.
• Централизованное ведение журналов аудита.
• Регулярное обновление программного обеспечения.
• Контроль целостности конфигурационных файлов.

8. Порядок уведомления об инцидентах

1. Фиксация инцидента в журнале регистрации событий ИБ.
2. Оповещение ответственного сотрудника.
3. Проведение первичного анализа и классификации инцидента.
4. Реализация корректирующих мероприятий.
5. Подготовка итогового отчёта.