Разница между инцидентом и событием информационной безопасности заключается в том, что событие — это наблюдаемая активность, а инцидент — фактическое нарушение безопасности. 35

Событие информационной безопасности — это внешние признаки состояния сети, системы или сервиса, которые указывают на возможные нарушения внутренних политик безопасности, различные угрозы. 2 Например, это может быть необычный доступ к системе, всплеск трафика на веб-сайте или странное электронное письмо. 5 Такие события могут указывать на потенциальную проблему, но не всегда становятся инцидентом. 3

Инцидент информационной безопасности — это непредвиденное или нежелательное событие, которое нарушает безопасность информации — её конфиденциальность, целостность и доступность. 2 Например, это может быть кибератака различного характера или кража данных инсайдерами. 4 Инцидент всегда имеет негативные последствия, поскольку блокирует нормальную работу IT-инфраструктуры компании и влечёт за собой различные риски: операционные, юридические, репутационные, материальные. 2

Таким образом, события безопасности могут предшествовать инцидентам: например, если сотрудник нажимает на ссылку в подозрительном письме, это уже рассматривается как инцидент, так как в систему может попасть вредоносное ПО, что приведёт к краже учётных данных или фишинговой атаке. 5