Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты ГОСТ Р 59709-2022

Мониторинг информационной безопасности, мониторинг ИБ по ГОСТ Р 59709-2022

Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей [ГОСТ Р 59547-2021, пункт 3.7]

Примечание - Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга, в рамках которого осуществляется сбор информации о событиях ИБ и иных данных мониторинга из различных источников [из 35 ГОСТ Р 59709-2022]

Данные мониторинга по ГОСТ Р 59709-2022

Данные о состоянии объектов мониторинга ИБ, а также данные, получаемые из среды функционирования объекта мониторинга и внешних сервисов, которые могут использоваться для выявления уязвимостей и угроз безопасности информации [ГОСТ Р 59547-2021, пункт 3.2]

Примечания

  1. К данным мониторинга могут относиться данные о событиях ИБ, выявленных уязвимостях, результатах контроля соответствия конфигурационных настроек; действиях пользователей; результатах контроля потоков информации, работоспособности программных, технических и программно-технических средств, включая средства защиты информации, а также различные справочные данные.
  2. В деятельности по управлению компьютерными инцидентами данные мониторинга могут использоваться с целью анализа возможности использования уязвимостей информационного ресурса для реализации компьютерных атак, анализа угроз по реализации компьютерных атак и выявления и регистрации компьютерных инцидентов.

[из 36 ГОСТ Р 59709-2022]

Событие информационной безопасности по ГОСТ Р 59709-2022

Зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств ЗИ, или ситуацию, которая может быть значимой для безопасности информации [ГОСТ Р 59547-2021, пункт 3.13] [из 37 ГОСТ Р 59709-2022]

Управление компьютерным инцидентом по ГОСТ Р 59709-2022

Деятельность, направленная на обнаружение и регистрацию, анализ и реагирование на компьютерный инцидент, а также использование полученного при этом опыта для предотвращения повторного возникновения компьютерного инцидента, повышения эффективности процедур реагирования на компьютерный инцидент [из 39 ГОСТ Р 59709-2022]

Локализация компьютерного инцидента по ГОСТ Р 59709-2022

Совокупность действий, направленных на определение и ограничение функционирования информационных ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения [из 46 ГОСТ Р 59709-2022]

Выявление последствий компьютерного инцидента по ГОСТ Р 59709-2022

Совокупность действий, направленных на определение фактов несанкционированного раскрытия, модификации, уничтожения информации или блокирования доступа к ней, а также фактов внесения нарушителем ИБ в информационный ресурс изменений, позволяющих ему осуществлять дальнейшие несанкционированные действия по отношению к защищаемой информации, связанных с зарегистрированным компьютерным инцидентом.

Примечание - В качестве фактов внесения в информационный ресурс изменений следует рассматривать: создание нарушителем ИБ нелегитимной учетной записи пользователя, внедрение в информационный ресурс нештатного программного обеспечения, изменение настроек средств защиты информации и программного обеспечения, а также другие изменения, вносимые нарушителем ИБ в информационный ресурс с целью использования их для осуществления дальнейших несанкционированных действий по отношению к защищаемой информации [из 47 ГОСТ Р 59709-2022]

Ликвидация последствий компьютерного инцидента по ГОСТ Р 59709-2022

Совокупность действий, направленных на восстановление штатного режима функционирования информационных ресурсов после компьютерного инцидента и удаление изменений, внесенных нарушителем ИБ в информационный ресурс [из 48 ГОСТ Р 59709-2022]

Установление причин компьютерного инцидента по ГОСТ Р 59709-2022

Совокупность действий, направленных на определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению [из 49 ГОСТ Р 59709-2022]

Закрытие компьютерного инцидента по ГОСТ Р 59709-2022

Совокупность действий, направленных на проверку результатов выполнения мероприятий (этапов) реагирования на компьютерный инцидент для принятия решения о его закрытии или о необходимости проведения дополнительных действий по реагированию [из 50 ГОСТ Р 59709-2022]

Инвентаризация информационного ресурса по ГОСТ Р 59709-2022

Деятельность, направленная на сбор информации об информационном ресурсе, включая используемые в нем технические, программные и (или) программно-аппаратные средства (программно-технические средства) [из 54 ГОСТ Р 59709-2022]

Решающее правило обнаружения (сигнатура) компьютерной атаки (средства обнаружения компьютерных атак, системы обнаружения вторжений) по ГОСТ Р 59709-2022

Совокупность характерных признаков компьютерной атаки, на основе которой средство обнаружения компьютерных атак (система обнаружения вторжений) принимает решение об обнаружении определенной компьютерной атаки [из 55 ГОСТ Р 59709-2022]

База решающих правил средства обнаружения компьютерных атак, системы обнаружения вторжений по ГОСТ Р 59709-2022

База, содержащая решающие правила обнаружения компьютерной атаки (сигнатуры), с использованием которой средство обнаружения компьютерных атак (система обнаружения вторжений) осуществляет регистрацию признаков различных компьютерных атак [Адаптировано из [3], раздел 1, подраздел 1.5] [из 56 ГОСТ Р 59709-2022]

Бюллетень безопасности по ГОСТ Р 59709-2022

Официальное заявление об угрозах безопасности информации, возникающих при эксплуатации программных или программно-аппаратных средств, с раскрытием информации о соответствующих уязвимостях и (или) содержащее рекомендации по устранению данных угроз [из 59 ГОСТ Р 59709-2022]

Источник данных для выявления признаков возможного возникновения компьютерных инцидентов по ГОСТ Р 59709-2022

Программное или программно-аппаратное средство, осуществляющее регистрацию событий ИБ и иных данных мониторинга, которые могут использоваться для выявления признаков возможного возникновения компьютерных инцидентов [из 62 ГОСТ Р 59709-2022]