Контакты
Подписка 2026

Использование IRP в качестве ядра для процесса управления инцидентами ИБ

Илья Петров, 27/08/21

Главная идея использования IRP-системы заключается в максимальной автоматизации полного цикла обработки инцидентов, включая реагирование, расследование и устранение негативных последствий.

Автор: Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage

Для того чтобы выстроить эффективный процесс управления инцидентами ИБ, необходимо выполнить ряд мероприятий:

  • сформировать единую конфигурационную базу ИТ-активов защищаемого объекта и обеспечить ее поддержку в актуальном состоянии (в Innostage IRP это автоматизируется благодаря модулю "Управление ИТ-активами");
  • выстроить на базе IRP процессы учета, расследования и реагирования на инциденты ИБ, включая корректирующие воздействия на элементы ИТ-инфраструктуры или отправки команд на существующие СрЗИ, например блокирование сетевых портов на средстве МЭ (в Innostage IRP автоматизируется благодаря модулю "Управление инцидентами ИБ");
  • организовать деятельность по устранению уязвимостей и контролю за этим процессом с возможностью формирования отчетных документов (в Innostage IRP автоматизируется благодаря подсистеме "Управление уязвимостями");
  • организовать передачу информации о компьютерных атаках и инцидентах ИБ на объектах КИИ в центр ГосСОПКА (в Innostage IRP автоматизируется благодаря модулю "Взаимодействие с ГосСОПКА");
  • настроить вычисление и контроль изменений ключевых показателей эффективности процессов информационной безопасности компании для отслеживания общего уровня ИБ (в Innostage IRP автоматизируется благодаря модулю "Визуализации ключевых показателей эффективности").

Как проверить эффективность IRP

IRP как средство автоматизации и единая точка взаимодействия специалистов различных линий SOC и других задействованных подразделений заказчика должна повышать эффективность управления инцидентами. При выборе решения IRP, по нашей практике, важно обратить внимание на ряд ключевых моментов, которые позволят измерить пользу и эффект от внедрения.

  1. Использование IRP должно позволять снизить общее время обработки инцидента и, как следствие, обеспечить рост производительности команды SOC или группы реагирования. Тут на помощь приходит целый арсенал инструментов:
    а) возможности использования автоматизированных сценариев реагирования (плейбуков), в рамках которых необходимые действия по работе с инцидентом детализированы до уровня понятных задач, часть которых выполняется автоматизировано;
    б) возможности автоматизации типовых действий аналитиков SOC, которые обычно выполняются вручную, например обогащение информации по инциденту данными о затронутом ИТ-активе, о проверке вредоносности выявленного индикатора компрометации и прочими данными;
    в) возможности объединения однотипных инцидентов и их массового закрытия, применения для них единых сценариев реагирования;
    г) возможностей ведения базы знаний решенных инцидентов для быстрого поиска подходящих решений и предоставления аналитики по схожести текущего инцидента с ранее решенным.
  2. Использование IRP должно позволять снизить требования к квалификации части персонала SOC, прежде всего персонала первой линии, то есть снизить "порог входа" в виде знаний и навыков, которыми должен обладать сотрудник. В этой части IRP, во-первых, должна обладать интуитивно понятным и удобным интерфейсом, чтобы сотрудники могли быстро разобраться и включиться в процесс работы, во-вторых, автоматизировать типовые действия по типовым инцидентам и давать набор понятных инструкций в рамках плейбуков, разработанных "старшими товарищами" команды SOC – аналитиками и экспертами.
  3. Применение IRP должно повысить прозрачность и измеряемость работы SOC и процесса управления инцидентами в целом. Должен увеличиваться контроль эффективности работы команды SOC с инцидентами за счет отслеживания метрик эффективности и визуализации ключевых показателей.
  4. Архитектура IRP должна позволять учесть организационную структуру компании и особенности реализации тех или иных процессов. В частности, зачастую для крупных распределенных компаний важна возможность размещения на уровне дочерних обществ полнофункциональных инсталляций IRP, подчиненных центральной, например в случае слабых каналов связи между центром и дочерними обществами. Это позволяет организовать полноценную автоматизацию реагирования на уровне дочерних обществ, например в случае инцидентов на объектах КИИ, где требуется вовлечение локальных служб эксплуатации в процесс реагирования на инциденты.
  5. IRP должна реализовывать сервисную изолированность при автоматизированном реагировании на инцидент.
  6. Функционал IRP должен развиваться и наполняться сценариями реагирования, в том числе за счет практического использования решения в различных SOC.

Особенность процесса разработки и развития платформы Innostage IRP заключается в наличии в ГК собственного коммерческого SOC CyberArt, команда которого на практике испытывает функционал продукта и дает полезную обратную связь с учетом своей ежедневной практики отражения киберугроз. Это позволяет постоянно дорабатывать и развивать возможности Innostage IRP, делая продукт более гибким и эффективным.

CyberART, входящий в группу компаний Innostage, является оператором сервисов киберзащиты, отвечающим за противодействие современным компьютерным угрозам, и обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты, включая взаимодействие с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о сотрудничестве с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.

В качестве примера стоит привести недавнее добавление функции автоматической проверки выявленного индикатора компрометации в TI-системах и на внешних ресурсах, таких как VirusTotal.com. Результаты этих проверок теперь отображаются в карточке инцидента автоматически, вместо того чтобы аналитик выполнял их каждый раз вручную, что помогает сэкономить время и дает возможность сосредоточиться на глубокой аналитике инцидента.

Innostage IRP – это ядро нашего коммерческого SOC, который одновременно является и одним из наших ключевых заказчиков в части формулирования требований к функционалу системы и источником идей развития. В то же время Innostage IRP используется и во внутренних SOC ряда компаний. Функционал решения Innostage IRP позволяет решать актуальные задачи информационной безопасности за счет гибкой архитектуры (см. рис. 1).


Рис. 1. Архитектура Innostage IRP

Innostage IRP в свете импортозамещения

Innostage IRP является российской разработкой, в ближайшее время ожидается включение продукта в реестр российского ПО. В свете активного развития цифровизации и ускорения процесса перехода на отечественные решения и продукты в ГК Innostage хорошо понимают серьезность задач, стоящих за импортозамещением.

На данном этапе мы в активно вкладываемся в развитие дополнительного функционала платформы Innostage IRP, чтобы еще более точно отвечать запросам российского бизнеса, госструктур и субъектов КИИ.

Заключение

Innostage IRP помогает поддержать в организации правильные процессы ИБ, а также избавить от лишних затрат, соблюдая законодательство в сфере вопросов защиты КИИ, так как может использоваться в качестве ядра для создания SOC и быть ядром центров ГосСОПКА.

Гибкость архитектуры Innostage IRP позволяет добавлять дополнительный функционал в конкретные проекты с учетом индивидуальных запросов заказчиков. Такой подход дает возможность накапливать значительный опыт, лучше понимать потребности бизнеса и эффективно развивать продукт.

Автоматизация процессов реагирования позволяет сократить время реагирования на инциденты, значительно уменьшить влияние человеческого фактора, освободить время высококвалифицированных и высокооплачиваемых специалистов для решения более значимых задач, а самое главное – эффективно реагировать на возникающие киберугрозы.

Темы:УправлениеЖурнал "Информационная безопасность" №3, 2021InnostageIRP
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Зрелость ИБ – в необходимости адаптироваться быстрее угроз
    Пока вы готовите отчет для аудита, инфраструктура успевает измениться, подрядчики ухитряются обновиться, а атакующие – освоить новые техники проникновения. И выигрывает не тот, у кого больше средств защиты, а тот, кто способен быстрее адаптироваться к изменениям. Зрелость ИБ измеряется не процентом защищенности, а скоростью реакции системы на новые угрозы.
  • Почему вы хотите одной кнопки безопасности?
    Ольга Попова, главный юрист продуктовой группы Контур.Эгида и Staffcop
    Киберугрозы становятся все изощреннее, и руководители мечтают о простом решении -- волшебной кнопке, которая одним нажатием обеспечит полную защиту компании. Возможно ли это в принципе?
  • Киберинцидент как юридический факт
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай.
  • Как перейти на ущерб-ориентированный подход
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса.
  • Система управления ИБ в интересах бизнеса: от теории к практике
    Ольга Папина, эксперт продуктовой команды R-Vision SGRC
    В 2025 г. информационная безопасность перестала быть исключительно технической функцией. Для бизнеса она теперь является фактором устойчивости – от того, как выстроено управление ИБ, напрямую зависят непрерывность процессов, выполнение обязательств перед клиентами и способность компании масштабироваться без потери контроля.
  • Управление кибербезопасностью в 2026 году: какие метрики нужны CISO и CEO
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давай посмотрим, какая система метрик закрывает запросы обеих сторон.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...