Системы реагирования на инциденты

Системы IRP (Incident Response Platform) и SOAR (Security Orchestration, Automation and Response) — это инструменты, с помощью которых банк формализует процессы реагирования на инциденты: от фиксации до восстановления.  Платформы интегрируются с SIEM, DLP, EDR, IAM, firewall и другими системами, обеспечивая автоматическое исполнение плейбуков (инструкций) при возникновении угроз.

Ключевые функции:

• Обнаружение инцидентов через сигналы от SIEM, IDS/IPS, EDR и других источников;
• Классификация по критичности, типу, зоне воздействия и потенциальному ущербу;
• Автоматическое выполнение реакций: изоляция хоста, блокировка IP, отзыв доступа и др.;
• Запуск процедур уведомления, расследования, эскалации и документирования;
• Управление инцидентами по жизненному циклу (incident lifecycle management);
• Хранение истории реагирования, формирование отчётности, поддержка RCA (root cause analysis);
• Интеграция с внешними CERT/SOC и соблюдение стандартов NIST, ISO 27035, SWIFT CSP.

Кто работает с системой внутри банка:

• SOC / CSIRT (оперативная группа реагирования)
• Служба информационной безопасности
• ИТ-инфраструктура и DevSecOps
• Служба внутреннего аудита и риск-менеджмент
• Digital-команда и владельцы систем (при инцидентах в бизнес-продуктах)

Владельцы системы:

• Chief Information Security Officer (CISO) — стратегическое реагирование
• SOC-менеджер — оперативное управление и анализ
• CIO/CTO — инфраструктура, интеграции, SLA на восстановление