К настоящему времени в мире в основном завершено построение ИТ-инфраструктуры и для ИТ-сообщества наступила пора сосредоточиться на проблемах защиты обращающейся в ней информации.
В современных условиях важным для успешного противодействия киберугрозам ИБ-специалисты разных стран признают сокращение времени реагирования на кибератаки, налаживание приемлемого для всех участников процесса противодействия киберугрозам информационного обмена и организацию борьбы с целенаправленными многоплановыми и продолжительными по времени действия угрозами.
Среди наиболее важных аспектов в обмене данными при расследовании ИБ-инцидентов называются: ограничения, связанные с конфиденциальностью подлежащих передаче данных; несогласованность между участниками обмена в требованиях к представлению данных с позиций конфиденциальности; различия в национальных оценках и критериях конфиденциальности данных; отсутствие гарантированного соответствия национальным законам при трансграничном взаимодействии.
Группа специалистов Internet Engineering Task Force (IETF) разработала документ Incident Object Decription Exchange Format (IODEF), который существует в статусе рабочего предложения (RFC) этого сообщества. Документ с помощью XML-структур описывает представление данных, используемых в информационном обмене по поводу ИБ-инцидентов. IODEF помогает автоматизировать информационный обмен об ИБ-событиях гражданским организациям, силовым службам и группам ИБ-специалистов без опасений нарушения условий конфиденциальности передаваемых сведений.
Предложения, содержащиеся в документе IODEF, хорошо ложатся в основу систем управления расследованиями ИБ-инцидентов, которые учитывают требования специалистов к консолидации данных об ИБ-инцидентах, их ранжированию, временной и пространственной реконструкции развития кибератак и оперативности реагирования на кибератаки. Эти системы могут работать как самостоятельно, так и входить в состав центров оперативного управления ИБ (SOC) разного масштаба - региональных, корпоративных, национальных.
IODEF новый стандарт киберкриминалистики.