Системы реагирования и управления инцидентами (IRP)

Платформы для реагирования и расследования инцидентов по информационной безопасности (Incident Response Platforms)

Вопрос
Задать вопрос

Описание и назначение

IRP (Incident Response Platforms) – платформа, предназначенная для автоматизации процессов мониторинга, учета и реагирования на инциденты информационной безопасности (ИБ).

Предпосылками внедрения IRP являются определенные проблемы в ходе управления ИБ: отсутствие централизованной системы сбора данных об инцидентах; недостаточная скорость реакции – потеря времени при расследовании инцидентов, вплоть до пропуска; отсутствие средств представления статистики и аналитики. Поэтому применение IRP позволяет обеспечить своевременные ответные действия группы реагирования на инциденты информационной безопасности, предоставляя при этом аналитическую информацию и контекст инцидента.

Для эффективной работы IRP должна выполнять следующие функции:

  • Автоматизация процесса управления инцидентами ИБ. Является основной задачей IRP и предназначена для снижения нагрузки на персонал компании, связанный с обеспечением ИБ.
  • Ведение единой базы знаний инцидентов. Содержание в базе информации о зафиксированных инцидентах ИБ позволяет обеспечить регистрацию фактов выявления инцидентов в едином месте и повысить эффективность деятельности группы реагирования на инциденты.
  • Интеграция с существующими в компании средствами защиты посредством механизмов взаимодействия, с целью объединения информации об инцидентах ИБ.
  • Совместная работа между группами реагирования на инциденты, а именно, обеспечение механизмов коммуникации, оповещения о вновь появившихся инцидентах, хранения полученных материалов и его совместного анализа.
  • Автоматизация реагирования на инциденты. Вследствие того, что в некоторых случаях промежуток времени между обнаружением и реакцией на инцидент ИБ должен быть как можно меньше, необходимо как можно больше автоматизировать процесс реагирования на инциденты. Данные процедуры, как правило, включают готовые сценарии реагирования, совокупность технических мероприятий по обработке инцидента.
  • Адаптивность работы. Различие используемой инфраструктуры, средств защиты, процессов управления ИБ в различных компаниях порождает обеспечение адаптивности под группы реагирования на инциденты без участия поставщиков платформы.
  • Отчетность о проделанной работе. В связи с тем, что вопросы инцидентов ИБ рассматриваются руководством компании, регуляторами и контрагентами, существует необходимость визуализации полученной информации в виде диаграмм, наглядных графиков и карт, а также реализации отчета, включающего всю информацию, затрагивающую инциденты ИБ.
  • Интеграция с внешними источниками. Основной задачей является взаимодействие с другими участниками отрасли, экспертами и внешними организациями, а также центром реагирования на компьютерные инциденты (CERT) с целью получения оперативной и актуальной информации для своевременного принятия защитных мер.

В настоящее время готовые решения типа IRP только набирают обороты и наращивают функциональность, рынок IRP является молодым. Однако, даже сейчас среди коммерческих IRP существуют высокая конкуренция, а open-source решения более популярны в сегменте среднего бизнеса.

Список средств защиты

R-Vision
0
0 отзывов
R-Vision Incident Response Platform предназначен для организации управления и оперативного реагирования на инциденты информационной безопасности
Инфосистемы Джет
0
0 отзывов
Интеллектуальная безопасность
0
0 отзывов
Security Vision Incident Response Platform - программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности
CyberBit
0
0 отзывов
IBM
0
0 отзывов
Banque de France
0
0 отзывов