6 Разработка политики управления компьютерными инцидентами ГОСТ Р 59711-2022

6.1 Общие положения ГОСТ Р 59711-2022

В организации, планирующей ведение деятельности по управлению компьютерными инцидентами, должна быть разработана и внедрена политика управления компьютерными инцидентами, которая определяет общий порядок ведения деятельности по управлению компьютерными инцидентами, а также лиц, которые будут принимать участие в данной деятельности, их роли и обязанности.

К процессу разработки политики управления компьютерными инцидентами следует привлекать работников организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.

Политика управления компьютерными инцидентами должна быть согласована или утверждена руководителем организации или уполномоченным им лицом [из 6.1 Общие положения ГОСТ Р 59711-2022]

6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711-2022

Политику управления компьютерными инцидентами следует разрабатывать как высокоуровневый документ.

В политике управления компьютерными инцидентами должны быть определены:

  • цели ведения деятельности по управлению компьютерными инцидентами;
  • информация о ресурсах, в отношении которых будет вестись деятельность по управлению компьютерными инцидентами (зона ответственности);
  • общие сведения о том, что для организации является компьютерным инцидентом.

Примечания

  1. К компьютерным инцидентам относят инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.
  2. Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютерных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их подтверждения.
  3. Понятие «признак возможного возникновения компьютерных инцидентов» применяется в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного инцидента;
    • высокоуровневый обзор или визуализация процесса управления компьютерными инцидентами в части стадий «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
    • описание организационной структуры подразделения, ответственного за управление компьютерными инцидентами, в том числе ролей специалистов подразделения, их обязанностей и полномочий.

[из 6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711-2022]