В ходе деятельности по управлению компьютерными инцидентами должны быть запланированы и проведены на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Тренировки должны предусматривать как моделирование различных сценариев, которые могут варьироваться от серьезных (сложных) компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атак, сбоев или неисправностей, так и проведение теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. В тренировках должны принимать участие как специалисты подразделения, ответственного за управление компьютерными инцидентами, так и специалисты смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами.

Все участники тренировок должны быть проинформированы о том, что они имеют дело с действиями, имитирующими компьютерный инцидент. Данная информация необходима для того, чтобы исключить действия по реагированию, приводящие к негативным последствиям для критических процессов организации.

Примечание - Для проведения тренировок могут быть применены тестовые системы, в которых могут быть имитированы компьютерные атаки и (или) особенности контролируемых информационных ресурсов. Такие тестовые системы также могут быть использованы для тестирования программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами.

Информирование участников может не осуществляться в случае проведения тренировок в контролируемых условиях, препятствующих влиянию тренировок на критические процессы организации.

Тренировки могут быть проведены в форме:

• обсуждения (дискуссии);
• командных тренингов;
• практического занятия;
• смешанной (использование всех трех форм).

Выбор формы тренировки зависит от цели, которую планируется достичь, а также от наличия времени и ресурсов.

Тренировка преследует следующие основные цели:

• подтверждение применимости на практике плана реагирования на компьютерные инциденты и выявление потенциальных недостатков;
• проверка готовности специалистов, участвующих в деятельности по управлению компьютерными инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты;
• тестирование существующих процессов и процедур реагирования на компьютерные инциденты.

При разработке организацией плана реагирования на компьютерные инциденты или его актуализации проводят тренировки для проверки его применимости. После введения плана реагирования на компьютерные инциденты в действие проводят тренировки для проверки готовности специалистов подразделения, ответственного за управление компьютерными инцидентами, и специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами. После того как существующие процессы и процедуры отработаны, должны быть проведены периодические тренировки для подтверждения актуальности плана реагирования на компьютерные инциденты.

В таблице 2 представлены формы тренировок и цели, для которых они могут быть проведены.

Таблица 2 - Формы тренировок и цели

При планировании тренировок необходимо учитывать следующие вопросы:

• проводится ли тренировка в рамках одной организации или будут участвовать внешние организации;
• специалисты каких подразделений организации будут участвовать в тренировках.

Для успешного проведения тренировок необходимо выполнить ряд задач, основные из которых представлены ниже:

• краткое ознакомление участников с целями проведения тренировок;
• распределение ролей и обязанностей между участниками;
• обеспечение сопровождения участников в процессе тренировок;
• предоставление временных ресурсов, необходимых для проведения тренировок, в том числе для проведения анализа результатов тренировок;
• разработка отчетных материалов по результатам проведения тренировок и их доведение до всех участников тренировок.

[из 12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]