Недопустимые события в информационной безопасности: что они такое, как их идентифицировать и как с ними бороться

Любая современная организация полагается на информационные системы почти так же, как организм на кровеносную систему. Перебои мгновенно отражаются на репутации и кошельке, а иногда и на жизнях людей. Поэтому события, которые способны парализовать процессы, уничтожить данные или обрушить доверие клиентов, относят к категории недопустимых. Ниже разберёмся, о чём именно идёт речь, научимся вовремя замечать первые звоночки и поймём, какие меры помогут «погасить пожар», пока он не перешёл в степень стихийного бедствия.

Понятие недопустимого события: от теории к практике

Термин пришёл из риск-менеджмента. Недопустимое событие — это эпизод или цепочка действий, последствия которых выводят риски за границу «приемлемо»: нарушается конфиденциальность, целостность или доступность ключевой информации. Достаточно вспомнить простой пример: база клиентов с паспортами и телефонами «утекла» в открытый доступ — «красный» уровень угрозы без скидок.

С точки зрения стандартов, определение встречается в ISO/IEC 27005 и в российских методических документах ФСТЭК. Везде упор делается на два критерия: масштаб ущерба и вероятность наступления. Как только комбинация «часто + дорого» превышает установленный порог терпимости, событие признаётся недопустимым.

На практике порог закрепляется в политике безопасности: «потеря доступа к CRM на более чем 30 минут» или «утечка персональных данных более 1000 клиентов». Такая «красная линия» избавляет от бесконечных споров и помогает реагировать без лишней бюрократии.

Классификация недопустимых событий

Чтобы не путаться, удобно раскладывать угрозы по нескольким плоскостям.

• По воздействию: конфиденциальность (утечка), целостность (искажение), доступность (отказ сервиса).
• По источнику: внешние (хакеры, подрядчики), внутренние (сотрудники), комбинированные сценарии.
• По преднамеренности: умышленные (взлом, саботаж) и случайные (ошибка администратора, сбой оборудования).
• По масштабу: локальные, корпоративные, отраслевые (как печально известный массовый шифровальщик WannaCry).

Чёткая классификация помогает строить «карты угроз» и разрабатывать адресные контрмеры. «Поймать всё сразу» нереально, а вот последовательно закрывать красные зоны — вполне.

И последнее: не забывайте, что рейтинги угроз живые. Вчера DDoS стоил вам часа простоя и потерянных заказов, а сегодня та же атака бьёт по системе анализа биржевых сделок и несёт миллионы убытков. Пересматривайте приоритеты хотя бы раз в год или после крупных изменений архитектуры.

Методы идентификации недопустимых событий

Рыбак рыбака видит издалека, а специалист по безопасности — недопустимое событие. Только глядеть приходится не на реку, а на потоки логов и телеметрии.

1. Мониторинг журналов и централизованная SIEM-система. Без корелляции событий по узлам сети риски остаются в «туннельном зрении». SIEM собирает логи, накладывает корреляционные правила и выдаёт тревогу в режиме почти реального времени.
2. Аналитика поведения (UEBA). Алгоритмы машинного обучения ищут отклонения: бухгалтер внезапно выгружает терабайты данных в 3 ночи, разработчик логинится с нехарактерного IP. Ручками такое заметить сложно.
3. Threat hunting и симуляции. «Охотники» ищут следы атак, которые ещё не искажены автоматическими фильтрами, а команды purple team имитируют реальные действия злоумышленников, чтобы проверить живучесть защиты.

Параллельно фиксируются метрики: SLE (единичный потенциальный убыток), ALE (годовой ожидаемый убыток), MTTR (время на восстановление). Они показывают, насколько опасность перешагнула «допустимый» порог.

Для мелких компаний совет один: начинайте хотя бы с централизации логов и четких процедур эскалации. Сложные пилоты UEBA можно подключить позже, когда потоки данных станут плотнее.

Технологические средства борьбы

Инструментов так много, что глаза разбегаются. Однако «соберите всё и сразу» редко работает — бюджет не резиновый, а людей, умеющих крутить каждую консоль, ещё меньше.

• SIEM. Сердце мониторинга. Необязательно брать «гиганта». Есть отечественные SaaS-решения, где цена растёт вместе с объёмом логов.
• IDS/IPS. Сети живут по своим законам, и сигнатурные датчики до сих пор ловят львиную долю «шума» — от слишком разговорчивых червей до брутфорса RDP.
• EDR/XDR. Когда злоумышленник уже внутри, спасают сенсоры на хостах, отслеживающие исполняемые процессы и подозрительные цепочки команд.
• DLP. Умеет контролировать каналы вывода данных наружу, особенно USB и почту. Без него корпоративные секреты утекают «по привычке».

Для оценки зрелости инфраструктуры полезно заглянуть в открытый список CIS Controls — лаконично и по делу. Проверили пункт, внедрили, закрыли — и двигаемся дальше по списку.

Важный совет: чем больше автоматизации, тем строже нужны процессы. Иначе на входе получаем гору «красных» тревог, а на выходе — уставших аналитиков, которые перестают верить в сигналы системы.

Организационные меры и процессы

Техника без людей бессильна: никто не нажмёт красную кнопку отключения сервера, если не понимает, когда и зачем это делать. Поэтому хорошая политика безопасности включает инструкции понятные, а не «копипасту из договоров времён ASCII-терминалов».

Главные блоки процесса:

1. Формализация ответственности. Кто решает, что инцидент критичен? Кто звонит директору в три ночи? Должности и телефоны прописываются заранее.
2. Обучение персонала. Не надейтесь, что все читают ленты экспертов. Регулярные фишинг-тренировки и тесты на внимательность творят чудеса.
3. Учёт активов. Вы удивитесь, сколько «забытых» сервисов висит на публичных IP. Без актуального реестра инфраструктуры бороться с угрозами всё равно что тушить огонь, не зная где искать hydrant.

План реагирования должен быть живым документом. После каждой отработанной ситуации делайте пост-мортем: что сработало, где тормозили, какие данные потеряли. Ошибки — лучший бесплатный преподаватель, если на них не заканчивать обучение.

Правовые и отраслевые требования

Вопрос «нужна ли нам безопасность?» отпадает, когда в дверь стучится проверка. В России действуют 152-ФЗ «О персональных данных», 187-ФЗ «О безопасности критической информационной инфраструктуры», приказы ФСТЭК, Банка России, Роскомнадзора. Для международного бизнеса добавьте GDPR. Штрафы растут — а с ими интерес начальства к темам «конфид-лайн» и «расследование утечек».

Совет простой: выстроить систему так, чтобы она «по умолчанию» выполняла регуляторные требования. Тогда аудит превращается из кошмара в рутинную проверку чек-листов.

Полезны и отраслевые стандарты. Банкам, например, не обойтись без ГОСТ Р 57580, энерго-компаниям — без методик ФСТЭК по АСУ ТП. Универсальным «зонтиком» остаётся линейка ISO 27000.

Реакция на инцидент: от обнаружения к восстановлению

Классический цикл выглядит так:

1. Подготовка. Роли, контакты, резервные каналы связи.
2. Идентификация. Триггер от SIEM или сообщение от сотрудника.
3. Локализация (containment). Ограничиваем «пожар» — секционирование сети, блокировка учётки.
4. Устранение (eradication). Удаляем вредонос, закрываем уязвимость, восстанавливаем файлы из резерва.
5. Восстановление. Проверяем целостность, открываем сервисы пользователям.
6. Анализ (lessons learned). Документируем и улучшаем процессы. Без этого инцидент повторится.

Хорошая практика — заранее иметь шаблоны «playbook». Например, если «звонит» антивирус, а в журнале Process Creation мелькает vssadmin delete shadows, скрипт автоматически запрашивает у EDR опорожнить сеть от соответствующего хэша файла — и только потом зовёт аналитика.

И да: проверяйте резервные копии. Печально слышать от потерпевших: «Всё было на NAS, но никто не заметил, что полгода не прогонялся test-restore». Лучше «лениво» тестировать каждый месяц, чем один раз в кризис понять, что ленту нечем прочитать.

Снижение последствий и вероятности

Профилактика всегда дешевле лечения, даже если кажется дорогой в моменте.

• Резервирование и дублирование. Гибкая схема «3-2-1»: три копии, два носителя, один из них — offline.
• Актуальные патчи. 60 % успешных атак опираются на уязвимости, для которых уже выпущены обновления.
• Сегментация сети. Локализуя трафик, вы удешевляете расследование и не даёте хакерам разгуляться.
• Киберстрахование. Полис не заменит защиту, но поможет удержать бизнес на плаву, пока юристы считают ущерб.

Не забывайте о человеческом факторе: одна непроверенная флешка способна обрушить годовой труд инженеров. Поэтому «холодный» контроль периметра сочетается с «тёплой» корпоративной культурой: сотрудники знают, что безопасность — не пугало, а повседневный инструмент.

Заключение

Недопустимые события — это не метафора страховых актов, а реальный список сценариев, каждый из которых может «выстрелить» в самый неподходящий момент. К счастью, внимание к риск-менеджменту, практика непрерывного мониторинга и грамотные процессы реагирования превращают хаос в управляемую погоду.

Установите понятные пороги допустимости, обновляйте карту угроз, автоматизируйте рутинные задачи и, главное, не бойтесь признавать ошибки — они подсказывают, где броня тоньше, чем казалось. Тогда даже самое громкое «тревога!» будет означать не конец света, а чёткий сигнал к действию.