Проблемы реагирования на инциденты информационной безопасности в современных условиях

ВВЕДЕНИЕ

Актуальность темы и доказательство актуальности. Информация в современном мире является крайне важным ресурсом и инструментом. С ее помощью ведутся войны, проводятся избирательные компании и заключаются многомиллионные контракты. В нашем веке информационных технологий информация играет очень важную роль. Неправомерное искажение или фальсификация, любое повреждение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон многим субъектам, участвующим в процессах автоматизированного информационного взаимодействия. Именно поэтому очень важно защищать ее.Согласно федеральному закону № 149 «Об информации, информационных технологиях и о защите информации: защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;соблюдение конфиденциальности информации ограниченного доступа;реализацию права на доступ к информации».Данная работа имеет своей целью изучение проблем реагирования на инциденты информационной безопасности в современных условиях.Задачи рассматриваемые в реферате:Изучить понятие «информационная безопасность».Проанализировать угрозы и проблемы информационной безопасности предприятия.Разработать план реагирования на инциденты информационной безопасности.Объектом поиска является информационная безопасность предприятия.Предмет поиска – анализ мер по повышению информационной безопасности предприятия.Научная новизна раскрываемых вопросов. При написании данной работы были использованы современные научные и учебные источники. В основе работы были взяты труды таких авторов как: А. В. Васильков, Н. В. Гришина, П. Н. Девянин, Л. Л. Ефимова.Структура. Данная работа состоит из введения, основной части, заключения и списка использованных источников и литературы.Понятие «информационная безопасность»Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.Основные составляющие информационной безопасности:Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации.Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).Целостность можно подразделить на:Статическую (понимаемую как неизменность информационных объектов)Динамическую (относящуюся к корректному выполнению сложных действий)Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.Важность и сложность проблем информационной безопасностиИнформационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.Для иллюстрации этого положения ограничимся несколькими примерами:1. В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин «информационная безопасность» используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.2. Американский ракетный крейсер «Йорктаун» был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.3. В середине июля 1997 года корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару.4. Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом отправила от имени своей жертвы электронное письмо с отказом от стипендии.Стоит также рассмотреть основные определения и критерии классификации угроз.Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.Подчеркнем, что само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать – вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.Угрозы можно классифицировать по нескольким критериям:по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера).Способы реагирования на инциденты информационной безопасностиСлучаи с нарушением в информационной безопасности одно из самых нежелательных и нежданных событий в любой отрасли. Такие нарушения могут скомпрометировать деловые операции и поставить под угрозу защиту любой информации, которая предназначена для определённого круга лиц. Реагирование на инциденты является важной частью системы информационной безопасности в любой современной организации. Инциденты, связанные с нарушением информационной безопасностью в финансовых организациях, могут привести к прямым финансовым потерям. Поэтому сотрудники отдела информационной безопасности организации должны уметь полностью выявлять и проводить анализ любых атак, свершения незаконных действий. В случае, если усилия по управлению рисками терпят неудачу, существует реагирование на инциденты, чтобы реагировать на такие события. Реагирование на инциденты должно быть в первую очередь ориентировано на те элементы, которые, по нашему мнению, могут причинить нам большие потери. Реакция на такие инциденты должна основываться, насколько это возможно или практически возможно, на документированных планах реагирования на инциденты, которые регулярно пересматриваются, тестируются и практикуются теми, от кого ожидается их принятие в случае фактического инцидента. Процесс реагирования на высоком уровне состоит из: подготовка;обнаружение и анализ; сдерживание; искоренение;восстановление; деятельность после инцидента. Подготовительный этап реагирования на инцидент состоит из всех действий, которые можно выполнить до самого инцидента, чтобы лучше справиться с ним. Это, как правило, включает в себя разработку политики и процедур, регулирующих реагирование на инциденты и их обработку, проведение обучения для тех, кто должен сообщать об инцидентах, проведение учений по реагированию на инциденты, разработку и ведение документации и многие другие подобные мероприятия. Важность этого этапа реагирования на инциденты не следует недооценивать. Без надлежащей подготовки крайне маловероятно, что реакция на инцидент будет успешной и/или в том направлении, в котором мы ожидаем ее развития. Время определяет, что нужно сделать, кто должен это сделать и как это сделать. Фаза обнаружения и анализа – это когда действие начинает происходить в процессе реагирования на инцидент. На этом этапе возможно обнаружить возникновение проблемы и решение, действительно ли это инцидент, чтобы можно было отреагировать на него соответствующим образом. Часть обнаружения этой фазы часто является результатом мониторинга или оповещения на основе результатов работы инструмента или службы безопасности. Это может быть вывод из системы обнаружения вторжений, антивирусного программного обеспечения, журналов брандмауэра, прокси журналов, оповещений от средства мониторинга информации и событий безопасности. Аналитическая часть этой фазы часто представляет собой комбинацию автоматизации от инструмента или услуги и человеческого суждения. Хотя часто можно использовать своего рода пороговое значение, чтобы сказать, что число событий X за данный промежуток времени является нормальным или что определенная комбинация событий не является нормальной (два неудачных входа, за которыми следует успех, за которыми следует смена пароля, за которыми следует создание новой учетной записи), часто будет нуждаться в человеческом вмешательстве в определенный момент при обсуждении реакции на инцидент. Такое вмешательство человека часто включает в себя проверку журналов, выводимых различными устройствами безопасности, сети и инфраструктуры, контакт со стороной, сообщившей об инциденте, и общую оценку ситуации. Это может быть дорого, если работа происходит с командой аналитиков, поэтому автоматизация как можно большего числа функций является ключевой. Когда обработчик инцидента оценит ситуацию, он определит, является ли проблема инцидентом или нет, проведет первоначальную оценку критичности инцидента (если таковая имеется) и свяжется с любыми дополнительными ресурсами, необходимыми для перехода к следующему этапу. Сдерживание, искоренение и восстановление. На этапе локализации, ликвидации и восстановления происходит большая часть работы по фактическому разрешению инцидента, по крайней мере в краткосрочной перспективе. Сдерживание включает в себя принятие мер для обеспечения того, чтобы ситуация не причинила больше вреда, чем она уже нанесла, или по крайней мере уменьшить любой продолжающийся вред. Если проблема связана с тем, что зараженный вредоносным ПО сервер активно контролируется удаленным злоумышленником, это может означать отключение сервера от сети, введение правил брандмауэра для блокировки злоумышленника и обновление сигнатур или правил в системе предотвращения вторжений для остановки трафика от вредоносного ПО. В случае с вредоносным сервером уже изолировали систему и отключили ее от командной и управляющей сети. Теперь нужно будет удалить вредоносную программу с сервера и убедиться, что она не существует в другом месте среды. Это может включать в себя дополнительную проверку других узлов в среде, чтобы убедиться, что вредоносное ПО отсутствует, а также проверку журналов на сервере и действий атакующих устройств в сети, чтобы определить, с какими другими системами зараженный сервер был в контакте. С вредоносными программами, особенно очень, это может быть сложной задачей, чтобы гарантировать. Противник постоянно разрабатывает контрмеры к самым современным инструментам и методологиям обеспечения безопасности. Всякий раз, когда возникают сомнения относительно того, действительно ли вредоносное ПО или злоумышленники были изгнаны из нашей среды, стоит проявлять осторожность, балансируя воздействие на операции. Каждое событие требует оценки риска. Наконец, нужно восстановить лучшее состояние, в котором находилась до инцидента или, возможно, до начала проблемы, если не обнаружили проблему сразу. Это может включать в себя восстановление устройств или данных с резервного носителя, перестройку систем, перезагрузку приложений или любые другие аналогичные действия. Кроме того, нужно смягчить вектор атаки, который был использован. Опять же, это может быть более болезненная задача, чем кажется на первый взгляд, основанная на потенциально неполном или неясном знании ситуации вокруг инцидента и того, что именно произошло. Так же стоит проверить, что носитель резервной копии на самом деле чист и свободен или заражен, носитель резервной копии может быть полностью испорчен, бит установки приложения может отсутствовать, файлы конфигурации могут быть недоступны, и любой из ряда подобных проблем. Деятельность после инцидента, как и подготовка, – В фазе активности после инцидента, часто называемой посмертной (латинское слово «после смерти»), пытаемся определить, что именно произошло, почему это произошло, и что мы можем сделать, чтобы это не повторилось. Это не просто технический обзор, поскольку могут потребоваться изменения в политике или инфраструктуре. Цель этой фазы состоит не в том, чтобы указать или возложить вину, а в том, чтобы в конечном счете предотвратить или уменьшить воздействие будущих подобных инцидентов. Так же стоит отметить, что стоит периодически производить лекционные занятия с сотрудниками организации с целью устранения ряда незаконных проникновений на данную организацию.План реагирования на инциденты безопасностиПлан реагирования на инциденты кибербезопасности – это набор инструкций, призванных помочь компаниям подготовиться к инцидентам сетевой безопасности, обнаружить их, отреагировать на них и восстановиться после них. Большинство планов ориентированы на технологию и касаются таких вопросов, как обнаружение вредоносных программ, кража данных и перебои в обслуживании. Однако любая значительная кибератака может повлиять на организацию в различных сферах деятельности, поэтому план должен охватывать такие области, как HR, финансы, обслуживание клиентов, коммуникации с сотрудниками, юридические вопросы, страхование, связи с общественностью, регулирующие органы, поставщики, партнеры, местные власти и другие внешние организации. Существуют отраслевые стандарты реагирования на инциденты, разработанные такими организациями, как NIST и SANS, которые содержат общие рекомендации по реагированию на активный инцидент. Однако план реагирования на инциденты организации должен быть гораздо более конкретным и действенным – в нем подробно описано, кто, что и когда должен делать. В статье составлен контрольный список, в котором указаны ключевые компоненты плана. Любая организация, имеющая цифровые активы (компьютеры, серверы, облачные сервисы, данные и т. д.), потенциально может подвергнуться кибератаке или утечке данных. Создание плана реагирования на инциденты кибербезопасности поможет подготовиться к неизбежному и оснастить команду средствами реагирования до, во время и после кибератаки. В идеале план реагирования на инциденты безопасности должен использоваться на постоянной основе, как живой документ, для осуществления повторяющихся действий по обнаружению и реагированию (поиск угроз, расследование кибер-инцидентов, реагирование на инциденты и устранение/восстановление). Выполняя постоянные действия по обнаружению и реагированию на инциденты, можно улучшить гигиену IT и безопасности и лучше защитить организацию от неизвестных угроз, скрытых злоумышленников и, возможно, предотвратить утечку данных. Процесс планирования реагирования на инциденты разделен на несколько этапов: Подготовка – это первый этап планирования реагирования на инциденты и, пожалуй, самый важный для защиты вашего бизнеса и цифровых активов. На этапе подготовки важно задокументировать и объяснить роли и обязанности команды инфраструктуры, в том числе установить основную политику безопасности, на основе которой будет разрабатываться план. Важно при этом:Определить, достаточно ли в настоящее время IT-ресурсов для реагирования на атаку или потребуется поддержка сторонних организаций. Распределить роли и обязанности всех заинтересованных сторон, включая IT, HR, внутренние коммуникации, поддержку клиентов, юридическую службу, PR и консультантов. Составить схему рабочего процесса реагирования на инцидент между различными заинтересованными сторонами. Когда привлекается отдел кадров? Когда привлекается юридическая служба? Когда оповещаются СМИ? Когда привлекаются внешние органы? Определить нормативные требования по кибербезопасности для организации по всем функциям и разработайте руководство по взаимодействию с правоохранительными и другими государственными органами в случае инцидента. Хранить привилегированные учетные данные, включая пароли и ключи SSH, в надежном централизованном хранилище. Автоматически менять привилегированные учетные данные, изолировать сессии привилегированных учетных записей для временных сотрудников. Фаза обнаружения при планировании реагирования на инциденты безопасности включает в себя мониторинг, обнаружение, оповещение и отчетность о событиях безопасности. Сюда входит выявление известных, неизвестных и предполагаемых угроз – тех, которые кажутся вредоносными по своей природе, но на момент обнаружения недостаточно данных, чтобы сделать то или иное заключение. При обнаружении зацепки, угрозы или инцидента безопасности команда реагирования на инциденты должна немедленно (если не автоматически с помощью программного обеспечения для реагирования на кибер-инциденты) собрать и задокументировать дополнительную информацию – криминалистические доказательства, артефакты и образцы кода, чтобы определить серьезность, тип и опасность инцидента, а также сохранить эти данные для использования в судебном преследовании злоумышленника (злоумышленников) в более поздний момент времени. Разработать стратегию проактивного обнаружения на основе инструментов, которые могут автоматически сканировать физические и виртуальные хосты, системы и серверы на наличие уязвимых приложений, идентификационных данных или учетных записей. Рассмотреть традиционные решения, такие как антивирусное ПО или инструменты для обнаружения вредоносного ПО. Провести оценку компрометации, чтобы проверить, была ли нарушена сеть, и быстро определить наличие известных вредоносных программ и постоянных угроз «нулевого дня», активных или спящих, которые обошли существующие средства защиты кибербезопасности. Реагирование на инциденты безопасности может принимать различные формы. Действия по реагированию на инциденты могут включать сортировку оповещений от ваших средств защиты конечных точек, чтобы определить, какие угрозы являются реальными, и/или приоритет в устранении инцидентов безопасности. Действия по реагированию на инцидент могут также включать сдерживание и нейтрализацию угрозы (угроз) – изоляцию, выключение или иное «отключение» зараженных систем от вашей сети для предотвращения распространения кибератаки. Кроме того, операции по реагированию на инциденты включают устранение угрозы (вредоносных файлов, скрытых бэкдоров и артефактов), которая привела к инциденту безопасности. Немедленно изолировать системы, сети, хранилища данных и устройства, чтобы минимизировать масштабы инцидента и изолировать его от нанесения широкомасштабного ущерба. Определить, были ли похищены или повреждены конфиденциальные данные, и если да, то каков потенциальный риск для бизнеса. Удалить зараженные файлы и, если необходимо, замените оборудование. Вести полный журнал инцидента и ответных действий, включая время, данные, местоположение и степень ущерба от атаки. Была ли это внутренняя, внешняя атака, системное оповещение или один из методов, описанных ранее? Кто ее обнаружил и как было сообщено об инциденте? Перечислить все источники и время, через которые прошел инцидент. На каком этапе подключилась команда безопасности? Сохранить все детали нарушения для дальнейшего анализа происхождения, воздействия и намерений. Обновить все брандмауэры и сетевую защиту, чтобы зафиксировать доказательства, которые впоследствии можно будет использовать для судебной экспертизы. Привлечь команду юристов и изучите соответствие и риски, чтобы выяснить, не влияет ли инцидент на какие-либо нормативные акты. Действия после инцидента (восстановление и последующие действия) включают устранение риска безопасности, анализ и отчет о произошедшем, обновление информации об угрозах с учетом новой информации о том, что хорошо, а что плохо, обновление плана с учетом уроков, извлеченных из инцидента безопасности, а также подтверждение и повторное подтверждение того, что среда действительно свободна от угрозы (угроз). Важно помнить, что разработка плана реагирования на инциденты в сфере кибербезопасности не является одноразовым мероприятием. К сожалению, без регулярных тренингов по реагированию на инциденты и учений, включая сценарии кибератак в реальном времени, организации и их команды IT-безопасности могут внезапно обнаружить, что хакеры, которые меняют свои стратегии атак и выбор вредоносных программ, не справляются с задачей. То, что сработало в прошлом, может не сработать завтра. Правильный план реагирования на инциденты безопасности должен быть «живым» документом, который не отстает от быстро меняющегося ландшафта угроз.

ЗАКЛЮЧЕНИЕ

Таким образом, в данной работе был дана характеристика защиты информации, а также различные теоретические аспекты обеспечения информационной безопасности, понятие политики безопасности и угроз безопасности, необходимые для полноценного понимания системы обеспечения информационной безопасности. Было проведено исследование мер и средств по обеспечению информационной безопасности. Был проведен сравнительный анализ мер и средств крупного и малого предприятий. И на основе этого анализа был разработан план по обеспечению информационной безопасности предприятия.В ходе исследования было выяснено, что защита информации – есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.А понятие информационной безопасности – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.Разработка и систематическая реализация специальных организационных, правовых и образовательных мер, направленных на предупреждение и нейтрализацию информационных угроз в духовной сфере общества, формирование общественного сознания населения в направлении активного противодействия этим угрозам.Эти мероприятия должны в первую очередь включать:Открытое провозглашение и активная пропаганда государственной идеологии общества, которая была бы понятна и приемлема для большинства населения с учетом культурных и исторических традиций развития многонациональной страны;Разработку и внедрение цивилизованных форм воздействия на СМИ с целью их ориентации на распространение духовных ценностей в обществе, отвечающих национальным целям страны, воспитание патриотизма и гражданской ответственности за защиту своих интересов.Таким образом, меры по обеспечению информационной безопасности должны быть комплексными и содержать не столько идеологические и просветительские меры, направленные на соответствующую ориентацию общественного сознания.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

Бабаш, А. В. Информационная безопасность / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. – М.: КноРус, 2013. – 136 c.  Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. – М.: Форум, 2015. – 368 c. Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н.В. Гришина. – М.: Форум, 2015. – 240 c.  Девянин, П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П.Н. Девянин. – М.: Радио и связь, 2013. – 176 c.  Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт / Л.Л. Ефимова, А С. А, Кочерга. – М.: Юнити-Дана, 2013. – 240 c.Партыка, Т. Л. Информационная безопасность / Т. Л. Партыка, И.И. Попов. – М.: Форум, Инфра-М, 2016. – 368 c.  Майорова, Е. В. Методические аспекты реагирования на инциденты информационной безопасности в условиях цифровой экономики / Е. В. Майорова // Петербургский экономический журнал. – 2020. – №1. – URL: https://cyberleninka.ru/article/n/metodicheskie-aspekty-reagirovaniya-na-intsidenty-informatsionnoy-bezopasnosti-v-usloviyah-tsifrovoy-ekonomiki (дата обращения: 13.06.2022).Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. – М.: Мир, 2013. – 336 c.  Отакулов, А. С. Способы реагирования на инциденты информационной безопасности / А. С. Отакулов // E-Scio. – 2020. – №1 (40). – URL: https://cyberleninka.ru/article/n/sposoby-reagirovaniya-na-intsidenty-informatsionnoy-bezopasnosti (дата обращения: 13.06.2022).Сакен, А. С. План реагирования на инциденты безопасности / А. С. Сакен // Молодой ученый. – 2021. – № 21 (363). – С. 116-118.Степанов, Е. А. Информационная безопасность и защита информации. Учебное пособие / Е. А. Степанов, И. К. Корнеев. – М.: ИНФРА-М, 2017. – 304 c.  ФЗ № 149 «Об информации, информационных технологиях и о защите информации».Федоров, А. В. Информационная безопасность в мировом политическом процессе / А. В. Федоров. – М.: МГИМО-Университет, 2017. – 220 с.Ярочкин, В. Безопасность информационных систем / В. Ярочкин. – М.: Ось-89, 2016. – 320 c.