Работа с инцидентами
31 января 2019
ID 88296
Инцидент – запись о событии в работе программы, связанном с возможной утечкой информации. Kaspersky Security создает инциденты в следующих случаях:
- при нарушении политики;
- во время поиска данных на SharePoint.
Каждый инцидент содержит подробную информацию о связанных с ним файлах и пользователях, а также о причинах его создания. Эта информация необходима для анализа и расследования возможных утечек данных.
Процесс работы с инцидентами регламентируется должностными обязанностями специалиста по информационной безопасности и может варьироваться в зависимости от регламента обработки инцидентов, принятого в организации.
Управление процессом работы с инцидентами
Управлять процессом работы с инцидентами можно следующим образом:
- с помощью статусов инцидентов;
Статус инцидента отображает информацию о текущем состоянии инцидента. Изменить статус инцидента можно в любой момент. Информация об изменении статуса инцидента, авторе и времени изменений сохраняется в истории инцидента.
Программа позволяет изменять статус нескольких инцидентов одновременно.
- с помощью комментариев.
Комментарии могут содержать информацию о причинах изменения статуса инцидента, а также о расследовании обстоятельств, связанных с инцидентом.
Добавлять комментарии к инциденту можно во время изменения статуса инцидента или во время просмотра истории инцидента.
Выбор инцидентов для работы
Все созданные инциденты программа добавляет в список инцидентов в узле Инциденты. Вы можете настроить внешний вид списка инцидентов, изменив сведения об инциденте, отображаемые в таблице.
Программа автоматически присваивает инциденту статус Новый в момент его создания. Новые инциденты для работы можно увидеть, обновив список инцидентов.
Для поиска инцидентов по определенным критериям (например, для поиска инцидентов, связанных с одним пользователем) вы можете воспользоваться фильтром инцидентов. Для работы с похожими инцидентами (то есть с инцидентами, сведения о которых совпадают друг с другом) вы можете воспользоваться поиском похожих инцидентов.
Просмотр сведений об инциденте и их обработка
Работу с новыми инцидентами можно начать с просмотра сведений об инциденте.
Инцидентам, взятым в работу, необходимо присвоить статус В обработке. Если в организации работают несколько специалистов по информационной безопасности, это поможет им координировать процесс работы.
Для принятия решения по инциденту необходимо просмотреть контекст нарушения политики. Контекст нарушения отображается в окне сведений об инциденте. Контекст нарушения содержит все фрагменты текста с данными, свидетельствующими о нарушении. Ключевые термины или табличные данные в каждом фрагменте выделены красным цветом. Если контекста нарушения недостаточно для принятия решения по инциденту, вы можете открыть на SharePoint файл, связанный с инцидентом.
При наведении курсора на фрагмент текста, свидетельствующий о нарушении, рядом с курсором отображается всплывающая подсказка с названием подкатегории данных (см. рис. ниже). Подкатегорией называется подчиненная, вложенная категория данных, входящая в состав более крупной категории. Название подкатегории позволяет уточнить область категории, к которой относятся данные.
Название подкатегории отображается во всплывающей подсказке
Вы можете добавить веб-адрес файла, связанного с инцидентом, в исключения. Это поможет снизить количество ложно-положительных инцидентов, созданных при проверке документов-шаблонов (например, унифицированных форм договоров или актов). Программа добавляет веб-адрес файла в исключения следующим образом:
- Если инцидент создан в результате нарушения политики, веб-адрес будет добавлен в исключения к политике. Программа не будет контролировать передачу пользователями файлов на этот адрес.
- Если инцидент создан во время выполнения задачи поиска, веб-адрес будет добавлен в исключения к задаче поиска. Программа не будет проверять файлы, расположенные по этому адресу.
Если инцидент создан во время выполнения задачи поиска в Kaspersky Security 9.0, то вы не можете добавить в исключения веб-адрес файла для задачи поиска.
Если необходимо экспортировать сведения об инциденте для оформления служебной справки, вы можете скопировать сведения об инциденте в буфер обмена.
Завершение работы с инцидентами
По результатам анализа сведений об инциденте, инциденту можно присвоить один из следующих статусов:
- Закрыт (обработан), если работа с инцидентом завершена.
- Закрыт (ложное срабатывание), если нарушение политики было ложно-положительным (например, была допущена ошибка в настройке параметров политики).
- Закрыт (не инцидент), если нарушение политики было допустимо в рамках исключения.
- Закрыт (другое) во всех остальных случаях.
После завершения работы с инцидентами их можно убрать из списка инцидентов, выполнив архивирование.
Рекомендуется выполнить архивирование инцидентов, если количество инцидентов превышает 100 000. При увеличении количества инцидентов до 300 000 Kaspersky Security может работать нестабильно.
Повторное обращение к инцидентам
К инцидентам, добавленным в архив, при необходимости можно обратиться, выполнив восстановление инцидентов. Всем восстановленным инцидентам программа автоматически присваивает статус Архивный.
При завершении работы с этими инцидентами, вы можете удалить их из списка.
