Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Инцидент – это неблагоприятное происшествие. Расследование ситуации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Вообще само по себе управление инцидентами не является каким-то «ноу-хау» – чем-то таким новым, чего раньше никто не делал. Все, кто внедрял у себя ISO9001 (та самая система менеджмента качества), знают, что один из обязательных процессов, который должен быть задействован – это процесс «Корректирующие и предупреждающие действия» – об этом процессе в стандарте ISO9001 достаточно хорошо и подробно описано.
Управление инцидентами ITIL — описание проблем и основных шагов
Цикл управления инцидентами состоит из множества действий. Главный элемент в этой цепочке — Service Desk или служба поддержки, которая выступает связующим звеном между ИТ-компанией и пользователями. Без сервис деск работа компании будет неструктурированной, ресурсы будут распределяться неравномерно, а приоритетность решения проблем будет упущена из виду.
Проблемы, которые могут возникнуть, если управление инцидентами организовано неправильно:
- Статус заявки неясен, для конечного пользователя непонятны сроки решения проблемы.
- Неправильное протоколирование прошлых инцидентов.
- Отсутствие документирования решений для повторяющихся/похожих проблем.
- Высокий риск простоев в случае серьезных инцидентов.
- Большие сроки решения проблемы.
- Снижение удовлетворенности клиентов.
Инструкция по управлению инцидентами
Выше мы рассмотрели, как может выглядеть цикл решения инцидентов и как правильно распределить роли отдельных исполнителей. Также собрали для вас базовые рекомендации, которые могут оказаться полезными при организации успешного решения IT Incident в вашей компании:
- Подготовьте несколько вариантов (моделей) создания заявок об инциденте, например, по телефону, на электронную почту, в чат, через портал самообслуживания.
- Сформируйте базу знаний и пополняйте ее готовыми решениями по управлению аналогичными инцидентами.
- Для эффективного сбора информации об инцидентах опубликуйте настраиваемые формы.
- Настройте автоматическую классификацию инцидентов и определение их приоритетности на основании ряда критериев в заявке.
- Создайте уникальные рабочие процессы по управлению серьезными IT Incident.
- Свяжите SLA с инцидентами на основе таких параметров, как приоритетность.
- Техническим специалистам с одинаковыми компетенциями можно автоматически назначать заявки, опираясь на такие алгоритмы, как циклический перебор и балансировка нагрузки.
- Настройте коммуникацию с пользователем на каждом этапе цикла решения инцидентов.
- Удостоверьтесь, что специалисты закрывают инциденты только после того, как найдено эффективное решение с получением обратной связи от конечного потребителя услуги.
Преимущества в управлении инцидентами ITIL с помощью Сервис Деск
Структурированный подход к управлению и работе с инцидентами ITIL с помощью Сервис Деск открывает перед компанией много возможностей:
- хранение всех известных инцидентов центральном репозитории;
- автоматизация классификации инцидентов на основании на таких параметрах, как срочность, отдел, влияние и приоритет;
- сопоставление требований SLA с заявками об инцидентах;
- назначение заявок ИТ-специалистам или группам специалистов;
- сохранение историй процесса изменений;
- поиск решений по IT Incident;
- документирование решений в базе данных по IT Incident и запросам на обслуживание;
- связь с конфигурационными единицами и взаимосвязи с другими инцидентами, запросами на обслуживание и проблемами;
- формирование интерактивных информационных панелей и отчетности для дальнейшего анализа и поиска эффективных решений для устранения IT Incident;
- функционал для уведомления ответственных о событиях при управлении инцидентами;
- возможность досрочного закрытия IT Incident;
- аналитика решений IT Incident по срокам, услугам, ответственным, типам;
- полная автоматизация всего процесса при управлении инцидентами — от подачи заявки до закрытия IT Incident.
Инцидент и несчастный случай
Распространенным заблуждением является путаница между терминами ‘инцидент’ и ‘несчастный случай’. Хотя оба термина могут обозначать непредсказуемые, катастрофические или насильственные действия , между их значениями есть заметные различия
Начнем с того, что инциденты всегда должны происходить в ходе крупного мероприятия или бизнеса, который таким образом прерывается. Это означает, что несчастный случай вполне может быть инцидентом : представим, что во время парада плавсредств по улицам города автомобилист теряет контроль над своим транспортным средством и врезается в другое. В данном случае мы имеем дело с автомобильной аварией и инцидентом на параде плавучих средств
Однако не все инциденты случайны : кулачный бой между двумя подружками невесты во время венчания в церкви – это, конечно, инцидент, который жених и невеста запомнят на всю жизнь, но он ни в коем случае не является случайным, поскольку драка не выходила из-под контроля подружек невесты в любой момент времени. Они могли бы подождать окончания церемонии, а затем свести счеты без ущерба для третьих лиц
Инциденты на производстве
В производственной сфере под инцидентом подразумевается некая поломка или выход из рабочего состояния техники и оборудования. При этом остановка работы должна производиться на срок не более суток. При более длительной задержке рабочего процесса, такое происшествие классифицируется как авария. Кроме того, инцидент и авария различаются масштабами происшествия. При инциденте происходит поломка лишь отдельного механизма или производственной системы.
Аварии же обычно сопровождаются более серьёзными разрушениями оборудования, производственных цехов и инфраструктуры. Аварии, кроме того, могут сопровождаться выбросами опасных и вредных веществ, гибелью и тяжёлыми ранениями большого количества людей, серьёзными разрушениями построек. Подобным авариям присваивается более высокая степень опасности – уровень техногенной катастрофы.
Коллизия, прежде всего, воспринимается личностями как противоречие целей. Можно выделить континиум, основываясь на:
- вклад внешней ситуации;
- роль субъективных факторов.
В континиум входят два противоположных полюса. Первый содержит конфликты, которые включают в себя внешние причины:
- происходящее становится конфликтогенным;
- индивидуальные особенности субъектов практически теряют значимость;
- ситуация вызывает одинаковую реакцию у субъектов.
Т.е. на данном полюсе все участники, с теоретической точки зрения, будут понимать происходящее как развитие конфликта.
Второй полюс содержит конфликтные ситуации, которые вызваны субъективными факторами, которые говорят о том, что:
- нет основания развитию столкновений;
- субъекты склонны видеть в ситуации конфликт.
Таким образом, если конфликтная ситуация ближе к первому полюсу, то индивидуальные особенности оппонентов играют меньшую роль. И наоборот: человеческий фактор в развитие конфликта будет играть первостепенную роль в случае приближения ко второму, личностному полюсу.
Эффект от внедрения процесса управления проблемами
Перечислим наиболее важные полезные качества, которые приобретаются в результате внедрения процесса управления проблемами.
- Качество служб. Управление проблемами помогает поддерживать непрерывный цикл постоянного повышения качества ИТ-служб.
- Сокращение числа инцидентов. Процесс управления проблемами является инструментом для сокращения числа возникающих инцидентов, отрицательно влияющих на бизнес организации.
- Непрерывное решение. В результате работы процесса сокращается число и влияние на бизнес уже решенных проблем и известных ошибок.
- Усовершенствованное обучение. Процесс основывается на концепции использования накопленных знаний из прошлого и предоставляет возможности для анализа трендов и предотвращения сбоев, либо снижения их значимости и влияния на основной бизнес.
- Увеличение числа инцидентов, разрешаемых при первом обращении. Это достигается путем предоставления в распоряжение Service Desk рекомендаций по путям предотвращения и обхода возникающих инцидентов.
В свою очередь, отказ от реализации процесса сулит ряд неприятностей. Действующая исключительно «по факту» служба поддержки начинает действовать только тогда, когда услуга уже не доступна. Складывается инфраструктура, предполагающая применение пользователями ИТ-средств самостоятельно. Неэффективная, дорогая и слабо мотивированная служба поддержки многократно решает одни и те же проблемы, никак не учитывая предыдущий опыт.
Комиссия, которая расследует инциденты и аварии
В том случае если на производстве случается происшествие, собирается специальная комиссия, которая определяет порядок расследования инцидентов и аварий. Комиссию назначает совет правления предприятия. В ее состав должно входить нечётное число сотрудников. Такая система существует для того, чтобы мнения членов комиссии не разделились поровну, из-за чего следствие могло бы затянуться.
Комиссия выявляет причины инцидентов. В первую очередь она устанавливает лиц, которые имели отношение к аварии или инциденту. Далее следует определить степень повреждений, а также размер нанесённого ущерба. После этого комиссия составляет план по ликвидации последствий аварии.
Стоит напомнить, что после происшествия сотрудники предприятия должны в первую очередь немедленно сообщить об инциденте или аварии соответствующим органам. Работа, проведённая по факту нарушения или инцидента, оформляется и фиксируется в специально заготовленный нормативно-правовой акт. В нём должно быть указано время, место, а также суть инцидента. План действий по ликвидации аварии также вносят в акт. Данные из акта заносят в журнал происшествий. Все процедуры по выявлению, устранению, а также оформлению инцидентов и аварий должны быть выполнены в указанный срок – десять дней с момента начала расследования.
Авария и инцидент могут привести к серьёзным последствиям, поэтому каждые полгода на предприятиях проводят проверки всех сотрудников. Оценивается уровень их профессионализма и ответственности.
Действия и происшествия, влекущие за собой инцидент
Вопрос о том, что такое авария или инцидент на опасном производственном объекте, не такой запутанный сам по себе. Что действительно сложно, так это понять, почему и что привело к такому результату.
Важно! У такого происшествия, как инцидент, всегда находятся причины, почему оно возникло. К этому могут привести многие действия работника, а также различные сложившиеся ситуации, которые не зависели от человека.
Чаще всего отмечают следующие характерные ситуации:
- халатное отношение трудящегося к процессу – наиболее распространенной ситуацией является именно человеческий фактор, когда работник не в состоянии грамотно оценить риск или просто не способен относиться серьезно к проделываемым действиям. Из-за подобного отношения и происходят инциденты;
- еще одним ключевым фактором является опасность процесса. Надо понимать, что инцидент на производстве это в первую очередь нарушение техники безопасности конкретного предприятия, которую трудящиеся могу не соблюдать по самым разнообразным поводам, начиная от простого незнания ее и заканчивая нахождением в состоянии алкогольного опьянения;
- независящие от человека факторы – непригодное техническое качество выданного оборудования, плохие погодные условия, случайное стечение обстоятельств и подобные вещи. Случаются истории, когда нельзя заранее предусмотреть все исходы, и винить работника в этом нет смысла;
- некомпетентность кадров – нередки на практике моменты, когда уполномоченное лицо не справляется с должностными обязанностями, что срывает работу и приводит к различным инцидентам в компании. Данного пункта можно избежать, если проводить регулярные курсы повышения квалификации.
Авария или инцидент: в чем заключается разница?
При возникновении серьезного происшествия на промышленном предприятии важно правильного определить, что произошло. Для этого существуют такие понятия:
Инцидент – отказ технических устройств или серьезное повреждение на опасном производстве. К данным ситуациям относятся отклонения от стандартного режима работы.
Основное различие заключается в том, что авария на опасном производственном объекте имеет более тяжелые последствия. Под ней понимают нарушение функционирования объекта в результате поломок, взрыва, разрушения конструкции. Возможны значительные жертвы и нанесение вреда здоровью сотрудников. Негативному воздействию подвергается окружающая среда.
В качестве инцидента называют нарушение стандартного функционирования производства или отклонение от технологического процесса. Здесь не бывает таких серьезных последствий, а работа восстанавливается гораздо быстрее.
Не зависимо от класса опасности эксплуатируемого ОПО, организация должна разработать локальный документ определяющий порядок проведения расследований и учета инцидентов. Как правило его называют Положение о порядке технического расследования причин инцидентов или сокращенно ПРИ.
Важно правильно определить и квалифицировать происшествие. Основание для отнесения к конкретной категории – причиненный ущерб. Он выражается в длительности простоя как всего предприятия, так и отдельной зоны. Как правило, аварии приводят к приостановке работ на срок от суток и более. При этом не исключены человеческие жертвы и фиксируются серьезные разрушения, требующие длительных восстановительных работ.
На предприятии может случиться происшествие с признаками аварии и инцидента. В этом случае преимущественным считается отнесение к аварии до дальнейших разбирательств.
Экспертная организация. Оказываем услуги в области экологической и промышленной безопасности. С самого начала деятельности ориентируемся на предоставление максимально качественных услуг. Приобрели репутацию компетентного и надежного партнера.
Моя сеть – моя крепость
Мы рассмотрели этапы целевой атаки со стороны киберпреступников – теперь посмотрим, как она выглядит со стороны сотрудников ИБ-службы атакуемой компании. Базовые принципы работы специалистов ИБ, по сути, аналогичны: тщательная подготовка и поэтапная стратегия. Но их действия и используемые инструменты, разумеется, кардинально отличаются, ведь цели перед сотрудниками ИБ стоят совсем другие, а именно:
style="">- Уменьшение ущерба от атаки;
- Максимально быстрое восстановление исходного состояния ИС;
- Создание инструкций по недопущению подобных инцидентов в будущем.
Эти цели достигаются на двух основных этапах – расследования инцидента и восстановления системы. При расследовании требуется определить:
style="">- Начальный вектор атаки;
- Вредоносное ПО, эксплойты и другие средства, используемые атакующими;
- Цель атаки (затронутые сети, системы и данные);
- Размеры ущерба (в том числе репутационного), нанесенного организации;
- Стадию атаки (завершена она или нет, достигнуты ли цели);
- ВременнЫе рамки (начало и конец атаки, время ее обнаружения и время реагирования службы ИБ).
Регламент реагирования на инциденты информационной безопасности
Поскольку инциденты безопасности представляют собой множества инструментов и методов, устранять их необходимо комплексно. Во всех случаях цель состоит в том, чтобы ликвидировать или разрешить инцидент как можно быстрее.
Давайте рассмотрим общие инструменты и методы, которые организации могут использовать для реагирования на инциденты безопасности:
- Соберите команду специалистов. Скоординируйте команду экспертов по безопасности, которые оценят серьезность инцидента, свяжутся с руководством и предпримут меры по смягчению последствий.
- Выявите и оцените инцидент. Определите, что было украдено. Найдите сеть, через которую была нанесена атака и изолируйте ее. Так вы предотвратите распространение инцидента и его последствий. При этом сохраните все данные из зараженной сети для последующего анализа.
- Восстановите сети. Если системы или сети настолько сильно повреждены, что с ними невозможно работать, то запустите полное аварийное восстановление.
- Сообщите об атаке тем лицам, чьи данные были украдены. Если данные клиента или компании были украдены во время инцидента информационной безопасности, то уведомите пострадавших о нарушении.
- Найдите виновного в инциденте, если возможно. Если злонамеренное действие было совершено сотрудником компании, уведомите об этом отдел кадров, чтобы можно было принять соответствующие меры.
- Разберите инцидент безопасности на конкретные шаги. Как только инцидент безопасности будет устранен, посмотрите, что произошло, как это произошло и какие шаги можно предпринять, чтобы избежать подобных инцидентов в будущем.
Классификация инцидентов
Аномалии, с которыми сталкиваются предприятия можно классифицировать по следующим признакам:
- Тип информационной угрозы;
- Уровень тяжести инцидентов для работы организации;
- Преднамеренность появления угрозы безопасности данных;
- Вероятность возникновения повторного «заражения» программного обеспечения;
- Нарушенные политики ИБ;
- Уровень системы организационных структур, обеспечивающих работу и развитие информационного пространства;
- Трудности обнаружения;
- Сложность устранения выявленной угрозы, которая может нарушить сохранность ценных данных компании.
Как правило, взаимодействия в данном процессе принимают одну из двух форм. Это либо сообщения о статусе инцидента или проблемы, которые предоставляются различным группам и/или отдельным лицам на основе утвержденных правил и шаблонов, либо сообщения о запросах, которые требуют от получателя определенных действий, обычно содержащих кроме фактического запроса/требования еще ссылку на инцидент, номер телефона пользователя или иную ссылку на него.
Многие компании полагаются на возможности автоматической рассылки сообщений, предоставляемые программным обеспечением. Такие сообщения рассылаются в соответствии с жесткими регламентами для поддержания эскалации. Сообщения о статусе из программных систем, как правило, порождаются из данных, введенных в поля карточки инцидента. Поэтому такие сообщения часто неполны и похожи на шифровку из-за того, что используемые для построения автоматических сообщений поля могут обновляться нерегулярно своевременной информацией или автоматически заполняются программными средствами мониторинга с использованием жаргона сообщений об ошибках.
Для исправления этих недостатков автоматические возможности коммуникации дополняются, особенно в случае инцидентов высокого уровня важности, сообщениями составленными вручную.
Классификация инцидентов
Сперва необходимо дать определение терминам «событие» и «инцидент». Согласно ГОСТ Р 18044-2007:
— событием информационной безопасности (information security event) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности;
— инцидентом информационной безопасности (information security incident) считается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям, ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации [2].
В данном разделе проведен анализ представленной статистики инцидентов информационной безопасности за 2014 год среди 58 крупнейших организаций из различных отраслей. Выяснилось, что более 50% организаций ежегодно сталкиваются с инцидентами ИБ и при этом испытывают существенные проблемы — несмотря на выстроенные процессы обеспечения безопасности. Также были определены наиболее часто встречающиеся типы инцидентов (DoS-атаки и хакерские атаки на внешние приложения) и выявлены приоритетные проблемы обеспечения ИБ.
Таким образом, результаты опроса дают понять, что проблема своевременного и адекватного реагирования на инциденты ИБ стоит достаточно остро, и многие организации нуждаются в гибком решении, которое позволит точно и своевременно реагировать на возникающие инциденты ИБ.
Определение первого ответа на обнаружение инцидента
Как только инцидент обнаружен, основная цель ИТ-группы — сохранить эффективность сети на нормальном уровне производительности, придерживаясь действующих соглашений об уровне обслуживания. ИТ-команда также должна записывать все инциденты, которые не разрешаются немедленно. Если проблема аналогичного характера повторяется, ее следует пометить как проблему с планом исправления системных ошибок, приведших к возникновению проблемы.
Для более обширных корпоративных сетей ИТ-команды могут быть ошеломлены количеством и масштабом инцидентов, происходящих в один и тот же момент времени. Следовательно, чтобы минимизировать потенциальный ущерб, каждый инцидент должен быть ранжирован с точки зрения его срочности, значимости и влияния на критические процессы. Инциденты, получившие высокий рейтинг по всем трем параметрам, должны быть немедленно устранены.