Вопрос: Что делать, если произошел инцидент в сфере ИБ - информационной безопасности?

Ответ: Прежде всего, не стоит поддаваться панике. Необходимо попытаться понять, действительно ли это инцидент? Если да, то затем, по возможности, необходимо определить его масштаб и серьезность. После того как Вы определили уровень инцидента, необходимо разработать план реагирования на него.

Во-первых, необходимо изолировать зону инцидента от остальной ИТ-инфраструктуры, это позволит предотвратить его дальнейшее распространение.

Во-вторых, необходимо максимально бережно сохранять любые улики, которые позволят изучить данное происшествие. К уликам можно отнести: протоколы доступа, состояние серверов и рабочих станций, следы вирусных заражений и т.д.

В-третьих, совместно со всеми заинтересованными лицами составить план восстановления после инцидента.

В-четвертых, необходимо провести расследование причин происшествия и определить виновников. Понимание причин позволит предотвратить повторение подобных инцидентов в дальнейшем. Не все организации способны самостоятельно пройти по всем этим этапам, в таких случаях необходимо обратиться либо к специалистам нашей компании, либо в правоохранительные органы, если причины возникновения инцидента являются нарушением закона.