4 Общие положения ГОСТ Р 59710-2022

4.1 Общие принципы управления компьютерными инцидентами ГОСТ Р 59710-2022

Для обнаружения компьютерных инцидентов используют результаты проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга, необходимых для поиска признаков возможного возникновения компьютерных инцидентов. Такие признаки представляют собой совокупность зарегистрированных событий безопасности и иных данных мониторинга, а также условий, при которых такая совокупность зарегистрированных событий безопасности и иных данных мониторинга может свидетельствовать о возможном возникновении компьютерного инцидента. Для сбора событий безопасности и иных данных мониторинга и последующего поиска признаков возможного возникновения компьютерных инцидентов, как правило, применяют средства управления событиями информационной безопасности. Такие средства позволяют осуществлять сбор, нормализацию, агрегацию событий безопасности и иных данных мониторинга и на основании настроенных правил (далее - правила регистрации признаков возможного возникновения компьютерных инцидентов) проводить автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга.

Примечания

  1. Понятие «признак возможного возникновения компьютерных инцидентов» применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения.
  2. Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.
  3. Некоторые данные мониторинга используют только как аналитические данные при формировании правил регистрации признаков возможного возникновения компьютерных инцидентов. К таким данным мониторинга, например, могут относиться данные об индикаторах компрометации. На основе данных об индикаторах компрометации можно сформировать новое правило, которое предусматривает анализ событий безопасности, ранее не использовавшихся в правилах регистрации признаков возможного возникновения компьютерных инцидентов. Другие данные мониторинга, в первую очередь данные о зарегистрированных событиях безопасности, используют непосредственно для обнаружения и регистрации компьютерных инцидентов как условия для правил регистрации признаков возможного возникновения компьютерных инцидентов.

Для всех зарегистрированных признаков возможного возникновения компьютерных инцидентов необходимо проводить проверку факта их возникновения. Если в ходе проверки подтверждается факт возникновения компьютерного инцидента, то должна осуществляться его регистрация.

Если в ходе проверки не может быть однозначно подтверждено отсутствие факта возникновения компьютерного инцидента, то в этом случае также осуществляется его регистрация. При этом в ходе реагирования на компьютерный инцидент факт его возникновения может быть не подтвержден, что может являться основанием для его закрытия.

Если в ходе проверки подтверждается отсутствие факта возникновения компьютерного инцидента, то в этом случае он не регистрируется. При этом должна быть установлена причина регистрации признака возможного возникновения компьютерного инцидента. Если причиной регистрации признака возникновения компьютерного инцидента являлась компьютерная атака, организация, являющаяся субъектом ГосСОПКА, должна подготовить информацию о компьютерной атаке и уязвимости, которую злоумышленник пытался использовать при проведении этой компьютерной атаки и передать ее в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами в виде карточки компьютерной атаки и карточки уязвимости.

Примечание - В рамках функционирования ГосСОПКА организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.

На рисунке 1 представлен общий подход к обнаружению и регистрации компьютерных инцидентов, реагированию на них и информированию организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

- Рисунок 1 - Общий подход к обнаружению и регистрации компьютерных инцидентов, реагированию на них и информированию организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами

Рисунок 1 - Общий подход к обнаружению и регистрации компьютерных инцидентов, реагированию на них и информированию организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами

К компьютерным инцидентам относятся инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности, обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.

Субъекты ГосСОПКА, являющиеся субъектами критической информационной инфраструктуры, определяют критические процессы в соответствии с законодательством Российской Федерации. Иные субъекты ГосСОПКА определяют критические процессы установленным в организации порядком.

Для эффективного ведения деятельности по управлению компьютерными инцидентами в организации должны быть использованы не только средства управления событиями информационной безопасности, но и средства управления инцидентами, а также специализированные средства, предназначенные для обмена информацией о компьютерных атаках, компьютерных инцидентах и уязвимостях (средства обмена информацией).

Средства управления инцидентами должны обеспечивать автоматизацию процесса реагирования на компьютерные инциденты.

Средства обмена информацией следует использовать для взаимодействия с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, и с иными внешними организациями.

Обмен информацией и взаимодействие с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, и с иными внешними организациями значительно повышает эффективность управления компьютерными инцидентами, так как в некоторых случаях компьютерные инциденты не могут быть разрешены организацией самостоятельно (собственными силами) или могут выходить за пределы зоны ответственности одной организации [из 4.1 Общие принципы управления компьютерными инцидентами ГОСТ Р 59710-2022]

4.2 Цели внедрения структурированного подхода к управлению компьютерными инцидентами ГОСТ Р 59710-2022

Использование структурированного подхода к управлению компьютерными инцидентами направлено на достижение следующих целей:

Повышению эффективности реагирования на компьютерные инциденты способствуют планирование и распределение ресурсов подразделений организации, участвующих в деятельности по управлению компьютерными инцидентами, а также возможность совместного использования информации о зарегистрированных компьютерных инцидентах специалистами подразделения, ответственного за управление компьютерными инцидентами, специалистами смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами, а также организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Кроме того, управление компьютерными инцидентами предусматривает определение очередности реагирования на компьютерные инциденты с учетом их приоритетов и уровней влияния. Реагирование на компьютерные инциденты с учетом их приоритетов и уровней влияния позволяет исключить ситуации, в которых действия по реагированию проводят в режиме «быстрая реакция», когда компьютерные инциденты отрабатываются в порядке их регистрации, что может привести к несвоевременному реагированию на инциденты, оказывающие наибольшее негативное влияние на информационные ресурсы.

Примечание - Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б ГОСТ Р 59711-2022;

Деятельность по управлению компьютерными инцидентами в первую очередь направлена на снижение уровня потенциальных негативных последствий от компьютерных инцидентов для процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям в сфере обеспечения обороны страны, безопасности государства и правопорядка, финансовым потерям или долгосрочным убыткам, возникающим из-за испорченной репутации и потери доверия к организации;

  • предотвращение компьютерных инцидентов

Анализ данных, связанных с компьютерными инцидентами, проводимый в рамках деятельности по управлению компьютерными инцидентами, направлен на выявление закономерностей и тенденций произошедших ранее компьютерных инцидентов, информация о которых может быть использована для приобретения и накопления опыта, а также при разработке рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов с целью предотвращения их повторного возникновения;

  • обеспечение повышения осведомленности (информирования) в области управления компьютерными инцидентами

Деятельность по управлению компьютерными инцидентами предусматривает информирование специалистов, участвующих в управлении компьютерными инцидентами, с учетом полученного опыта [из 4.2 Цели внедрения структурированного подхода к управлению компьютерными инцидентами ГОСТ Р 59710-2022]