Инцидент – это запись о событии в работе программы, связанном с обнаружением возможной утечки информации.
При совпадении содержимого сообщения с данными категории и всеми условиями, заданными в политике, Модуль DLP создает инцидент, говорящий о нарушении этой политики. Если сообщение электронной почты нарушает информационную безопасность одновременно по нескольким политикам, Модуль DLP создает несколько инцидентов согласно количеству нарушенных политик.
Каждый инцидент содержит информацию об объекте инцидента (сообщении, вызвавшем нарушение информационной безопасности), об отправителе и получателях сообщения, нарушенной политике, а также служебную информацию, такую как идентификатор инцидента или время создания инцидента.
Специалист по информационной безопасности обрабатывает созданные программой инциденты.. Обработка инцидента может включать, например, фиксацию факта нарушения и принятие возможных технических или организационных мер по усилению защиты конфиденциальных данных.
Статус инцидента
Статус инцидента отражает стадию его обработки. При создании инцидента ему присваивается статус Новый. В процессе обработки инцидента специалист по информационной безопасности изменяет его статус. Обработка инцидента завершается, когда специалист по информационной безопасности присваивает ему один из статусов со значением Закрыт (<причина>).
Статусы инцидентов
Статус |
Тип |
Значение |
|---|---|---|
Новый |
Открытый |
Новый инцидент. Обработка инцидента не начата. |
В обработке |
Открытый |
Выполняется расследование инцидента. |
Закрыт (обработан) |
Закрытый |
Инцидент успешно обработан, необходимые меры приняты. |
Закрыт (ложное срабатывание) |
Закрытый |
Политика была нарушена, но отправка защищаемых данных была правомочной. Нарушение информационной безопасности отсутствует. Возможно, требуется уточнить параметры политики. |
Закрыт (не инцидент) |
Закрытый |
Политика была нарушена, но отправка защищаемых данных была санкционирована специальным распоряжением. Дополнительных действий не требуется. |
Закрыт (другое) |
Закрытый |
Инцидент закрыт по другим причинам. |
Приоритет инцидента
Приоритет инцидента отражает срочность, с которой инцидент должен быть обработан. Программа присваивает приоритет инциденту при его создании (Низкий, Средний или Высокий). Приоритет присваивается на основании значения, заданного в параметрах нарушенной политики.
Архив инцидентов
Закрытые инциденты могут быть перемещены в архив. Перемещенные в архив инциденты называются архивными. Инциденты, перемещенные в архив, удаляются из списка инцидентов. При необходимости вы можете восстановить инциденты из архива и снова просмотреть их в списке инцидентов.
Архив инцидентов представляет собой файл специального формата с расширением bak. Вы можете создавать неограниченное число архивов инцидентов.
Использование архивов позволяет периодически освобождать список инцидентов от закрытых инцидентов, тем самым оптимально использовать объем базы данных инцидентов без утраты истории их поступления и обработки.
Статистика и отчеты
Программа отображает статистическую информацию о поступивших, находящихся в обработке и закрытых инцидентах. С помощью этой информации можно оценить состояние защиты данных и эффективность работы специалиста по информационной безопасности. На основе этих данных также могут быть сформированы отчеты.