Все задачи ИБ так или иначе сводятся к управлению инцидентами, поэтому понятие инцидента - принципиальный вопрос, на который нужно знать четкий ответ, прежде чем предпринимать какие-либо мероприятия по обеспечению ИБ на предприятии. Если обратиться к ГОСТР 59709 - 2022 "Защита информации. УПРАВЛЕНИЕ КОМПЬЮТЕРНЫМИ ИНЦИДЕНТАМИ. Термины и определения", то в нем можно встретить следующее определение инцидента, ставшее классическим, которое обычно все и имеют в виду, говоря об инцидентах ИБ: Непредвиденное или нежелательное событие (группа событий) ИБ, которое привело (могут привести) к нарушению функционирования...

Инцидент почти всегда начинается одинаково. Срабатывает мониторинг, прилетает алерт, в чате уведомление об инциденте и через минуту там уже с десяток людей. Присутствующие пытаются помочь (или делают вид), все пишут, предлагают решения, в то же время кто-то уже шатает кластер, кто-то шевелит витую пару под стулом, другой бегает в панике с валидолом под языком… С виду - активная работа, все вовлечены. По факту - шум. Опасность здесь даже не в потере времени, а потери будут и достаточно ощутимые. Но хуже другое. В хаосе начинаются параллельные правки и действия. Кто-то подкручивает конфиг, кто-то делает откат, кто-то деплоит «маленький фикс на всякий случай», кто-то добавляет правил на WAFе...