Про оформление инцидентов: как говорить, чтобы вас слушали

Привет, Хабр! Меня зовут Иван Костыря, и я работаю в команде SOC UserGate. Сегодня хочу поделиться с вами мыслями о том, как правильно оформлять и доносить информацию об инцидентах информационной безопасности. Кроме очевидных моментов, что надо обнаружить, сдержать, нейтрализовать и восстановиться, есть ещё и весьма сложная задача — составить грамотный и информативный отчёт. Каждый аналитик, администратор и инженер по-разному видит нужный уровень информирования и по-разному относится к глубине и детальности описания происходящего. В рамках данной статьи постараюсь озвучить некоторые важные пункты, на которых стоит заострить внимание, чтобы сформировать более профессиональный отчёт о случившемся. Эта тема кажется простой только на первый взгляд, но на практике именно качество коммуникации нередко определяет успех или провал в реагировании на инциденты. Первое, о чём стоит сказать, — информационная безопасность строится на фактах. Факты нужно не только собирать, но и правильно доносить до разных аудиторий — от команды реагирования до топ-менеджмента. Неправильно оформленный отчёт может привести к неверным решениям, потере времени и ресурсов, а в худшем случае — к эскалации инцидента. Прежде чем говорить о коммуникации, определимся с терминами: