Типовые инциденты информационной безопасности и процедуры реагирования

Введение

Данный документ содержит описание типовых инцидентов информационной безопасности (ИБ), которые могут возникнуть в процессе эксплуатации ИТ-решения, а также регламентированные процедуры реагирования на них.

Документ охватывает инциденты, связанные с:

  • прикладным уровнем приложения

  • механизмами аутентификации и авторизации

  • сетевым взаимодействием компонентов системы

Цель документа — обеспечить возможность своевременного обнаружения, анализа и устранения инцидентов ИБ, а также минимизации потенциального ущерба.

Типовые инциденты ИБ

Несанкционированный доступ к системе

Описание: Попытка или успешное получение доступа к системе с использованием украденных или подобранных учётных данных.

Признаки:

  • множественные неуспешные попытки входа

  • вход в нехарактерное время

  • фиксация событий "logged in failed" в логах

Пример события лога:

Tue, 21 Apr 2026 11:46:07 GMT Auth:Login:Post User "admin" logged in failed with message:  { message: 'Incorrect password' }

Реагирование:

  • блокировка учётной записи

  • принудительная смена паролей

Подмена или удаление логов

Описание: Несанкционированное изменение, удаление или искажение логов системы.

Признаки:

  • разрывы в логах

  • отсутствие записей за определённый период

  • следы доступа к log-файлам

Реагирование:

  • ограничение доступа к лог-файлам

  • проверка прав доступа (chmod)

  • восстановление логов из резервных копий (если возможно)

Несанкционированный доступ к функциям администрирования

Описание:
Несанкционированный доступ к административным функциям системы Бипиум, позволяющим управлять пользователями, правами доступа и настройками каталогов.

Признаки:

  • выполнение административных действий пользователем без соответствующих прав

  • изменение ролей и прав доступа без согласованных действий

  • изменение структуры каталогов без согласованных действий

  • создание или удаление пользователей без подтверждённой администратором

  • аномальная активность в логах (резкое увеличение операций управления системой)

Реагирование:

  • немедленная блокировка подозрительной учетной записи

  • проверка ролей и прав доступа пользователей

  • анализ логов административных действий

  • принудительная смена учетных данных администраторов

Заключение

Представленные сценарии инцидентов охватывают основные угрозы информационной безопасности.

Реализация описанных процедур позволяет обеспечить своевременное обнаружение и реагирование на инциденты, а также минимизировать последствия возможных атак.