Реагирование на инциденты
Что такое Реагирование на инциденты?
Реагирование на инцидентыОрганизованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
Реагирование на инциденты (IR) — это структурированная обработка событий, угрожающих или нарушающих конфиденциальность, целостность или доступность информационных активов. NIST SP 800-61 определяет шестифазный жизненный цикл (подготовка, обнаружение и анализ, сдерживание, ликвидация, восстановление, постинцидентная деятельность); SANS применяет аналогичную модель PICERL. Эффективное IR опирается на проверенные плейбуки, дежурства, схемы коммуникаций, привлечение юристов и PR, а также инструменты SIEM, SOAR, EDR и форензик-триаж. Цель — минимизация ущерба и времени восстановления и постоянное усиление превентивных и обнаруживающих контролей.
● Примеры
- 01
Сдерживание подтверждённого BEC: отзыв токенов, смена учётных данных, оповещение затронутых сторон.
- 02
Координация ликвидации и восстановления ERP, заражённого шифровальщиком, с участием ИТ, юристов и руководства.
● Частые вопросы
Что такое Реагирование на инциденты?
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Реагирование на инциденты?
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
Как защититься от Реагирование на инциденты?
Защита от Реагирование на инциденты обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Реагирование на инциденты?
Распространённые альтернативные названия: IR, Реагирование на киберинциденты.