Типы инцидентов

Общие сведения

Типы инцидентов содержат сведения об угрозах, на основе которых создаются инциденты. В платформе каждый инцидент всегда принадлежит к определенному типу инцидента.

В платформе предоставляется большой набор предустановленных типов, но существует возможность добавлять, актуализировать и настраивать типы инцидентов самостоятельно.

Тип инцидента всегда принадлежит к одному из трех типов уязвимостей:

• нарушение политики - это наступление условий, нарушающих политику безопасности эксплуатации актива (задуманную службой безопасности);
• сетевая аномалия - актив проявляет сетевую активность, которую проявлять не должен;
• уязвимость - у злоумышленника есть возможность получить контроль (полный или частичный) над активом.

Работа с типами инцидентов включает в себя следующие процессы:

1. Просмотр и анализ типа инцидента.
2. Создание типа инцидента.
3. Редактирование типа инцидента.
4. Написать ответственному.
5. Импорт типов инцидентов.
6. Экспорт типов инцидентов.
7. Удаление типа инцидента.

Просмотр и анализ типа инцидента

Для работы с типами инцидентов перейдите в раздел Инциденты → Типы инцидентов. Для просмотра типа инцидента выберите его из списка (см. рисунок 1).

Рисунок 1 – Раздел "Типы инцидентов"

В боковой панели отображается следующая информация о типах инцидентов:

• Оценка риска – цветовое и цифровое обозначение уровня угрозы;
• Название типа инцидента;
• Уникальный идентификатор типа инцидента (короткая версия);
• Тип уязвимости – наименование типа уязвимости к которой относится угроза: нарушение политики, сетевая аномалия, уязвимость;
• Дата и время последнего изменения.

В рабочей области помимо информации, отображаемой в боковой панели, отображается следующая информация:

• Признак соответствия ПО: да, нет. Параметр определяет используется данный тип инцидентов для создания инцидентов при оценке соответствия ПО (подробнее см. раздел Оценка соответствия ПО);
• Сводка – краткое описание угрозы;
• Описание – подробное описание угрозы;
• Последствия реализованной угрозы – описание последствий, которые могут возникнуть, если угроза была реализована;
• Рекомендации по устранению угрозы – описание действий, которые рекомендуется предпринять для устранения угрозы;
• Рекомендации по уменьшению риска – список основных действий, которые рекомендуется предпринять для предотвращения реализации угрозы;
• Таблица со списком инцидентов, которые были созданы с признаком принадлежности к данному типу инцидента.

Создание типа инцидента

1. Нажмите кнопку .. Откроется форма "Создание типа инцидента" (см. рисунок 2).

   

   Рисунок 2 – Форма "Создание типа инцидента"

2. Укажите на форме следующую информацию:

   • в поле Название укажите название типа инцидента;
   • в поле Тип уязвимости из выпадающего списка выберите тип угрозы к которой будет относится тип инцидента: нарушение политики, сетевая аномалия, уязвимость;

   • при необходимости использовать данный тип инцидентов для создания инцидентов при оценке соответствия ПО включите соответствующий переключатель;

     Примечание: для создания инцидентов при оценке соответствия ПО требуется лишь один тип инцидента с данным признаком.

   • в поле Сводка укажите краткое описание угрозы;

   • в поле Описание укажите подробное описание угрозы;
   • в поле Последствия укажите описание последствий, которые могут возникнуть, если угроза будет реализована;
   • в поле Рекомендации по устранению угрозы укажите перечень действий, которые необходимо выполнить для устранения угрозы;
   • в поле Рекомендации по уменьшению риска укажите перечень действий, которые необходимо предпринять для предотвращения возникновения угрозы;
   • в поле Внутренняя заметка укажите дополнительные сведения предназначенные для внутреннего использования;
   • в поле Оценка риска задайте цифровое обозначение уровня угрозы;
   • в поле Комментарий укажите дополнительные сведения.

3. Нажмите кнопку Создать.

Редактирование типа инцидента

1. Выберите в боковой панели необходимый тип инцидента и нажмите кнопку Редактировать.
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.

Написать ответственному

1. Выберите в боковой панели необходимый тип инцидента и нажмите кнопку Написать ответственному. Откроется окно "Новое сообщение" (см. рисунок 3).

   

   Рисунок 3 – Окно "Новое сообщение"

2. Укажите в окне следующую информацию:

   • в поле Получатель из выпадающего списка выберите получателя сообщения;
   • в поле Заголовок укажите тему сообщения;
   • в поле Сообщение укажите текст сообщения.

3. Нажмите кнопку Отправить. Для просмотра списка полученных/отправленных сообщений необходимо перейти в Профиль пользователя → Сообщения.

4. К сообщению будет автоматически прикреплена ссылка на соответствующую карточку типа инцидента.

Импорт типов инцидентов

1. Нажмите на кнопку и из выпадающего списка выберите пункт Импортировать.
2. В открывшемся окне укажите путь к архиву с данными.
3. Нажмите кнопку Открыть.

Экспорт типов инцидентов

1. Нажмите на кнопку и из выпадающего списка выберите пункт Экспортировать все.
2. Будет сформирован архив с типами инцидентов в формате .zip.
3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление типа инцидента

1. Выберите из списка необходимый тип инцидента, в рабочей области нажмите кнопку и из выпадающего списка выберите пункт Удалить.
2. Подтвердите удаление в открывшемся окне.
3. Тип инцидента будет удален из платформы.

Массовые действия над типами инцидентов

Над типами инцидентов доступны следующие массовые действия:

• Экспортировать – экспорт выбранных типов инцидентов;
• Удалить – удаление выбранных типов инцидентов;
• Удалить все – удаление всех типов инцидентов.

Для выполнения массового действия выполните следующие шаги:

1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора объектов (см. рисунок 4).

   

   Рисунок 4 – Массовые действия над фильтрами

2. Выберите типы инцидентов.

3. Нажмите на соответствующую кнопку.
4. Завершите действие в открывшемся окне.