Вопросы к Поиску с Алисой
Как определить критичность инцидентов по очереди и скорости реагирования?
Для определения критичности инцидентов и скорости реагирования можно использовать классификацию по уровню критичности. www.securitylab.ru Например, выделяют категории «Высокая» (Critical), «Средняя» (Major), «Низкая» (Minor). www.securitylab.ru Для каждой категории закрепляют разные целевые значения по времени реакции. www.securitylab.ru
Некоторые примеры:
- Высококритические инциденты (утечка значимых данных, DDoS ядра сети или ключевых систем) — первичная реакция в течение 15 минут, развёрнутые действия по ограничению (containment) в течение часа. www.securitylab.ru
- Среднекритические инциденты (локальные компрометации, вирусные атаки на внутренние узлы) — первичная реакция до 1 часа. www.securitylab.ru
Приоритет инцидента определяется на основе двух факторов: серьёзности (масштаб влияния на бизнес) и срочности (время, за которое нужно устранить сбой). stilt-itil.com
Некоторые уровни приоритета и примеры инцидентов:
- P1 (Критический) — полная остановка ключевых процессов, отказ сервера баз данных, время реакции — до 15 минут. stilt-itil.com
- P2 (Высокий) — частичная недоступность сервисов, сбой в модуле оплаты, время реакции — до 1 часа. stilt-itil.com
- P3 (Средний) — локальные проблемы, не влияющие на основные функции, ошибка в интерфейсе отчётности, время реакции — до 4 часов. stilt-itil.com
- P4 (Низкий) — незначительные сбои, не нарушающие работу, проблема с отображением шрифтов, время реакции — до 24 часов. stilt-itil.com
При определении критичности и скорости реагирования также важно учитывать:
- Ресурсы. www.securitylab.ru Нужно оценить, сколько специалистов по ИБ, есть ли круглосуточный SOC, можно ли реально держать дежурство 24/7. www.securitylab.ru
- Инструменты мониторинга. www.securitylab.ru Если есть SIEM/EDR/SOAR с достаточно высоким уровнем автоматизации, то можно ставить более жёсткие сроки обнаружения и реагирования. www.securitylab.ru
- Чёткие процессы. www.securitylab.ru Без отлаженного процесса эскалации (когда дежурный смены SOC может быстро привлечь нужных специалистов) любые «агрессивные» цели по времени реакции останутся лишь на бумаге. www.securitylab.ru
- Отраслевые и регуляторные требования. www.securitylab.ru Во многих странах и отраслях (финансы, госучреждения, здравоохранение, транспорт и т. п.) могут быть обязательные требования к срокам уведомления о инцидентах или к срокам ликвидации. www.securitylab.ru
