5 Стадии управления компьютерными инцидентами ГОСТ Р 59710-2022

5.1 Краткое описание ГОСТ Р 59710-2022

Для достижения целей, изложенных в 4.2, структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами включает в себя четыре стадии:

Высокоуровневое представление этих стадий показано на рисунке 2.

- Рисунок 2 - Стадии управления компьютерными инцидентами

Рисунок 2 - Стадии управления компьютерными инцидентами

- Рисунок 3 - Общий порядок ведения деятельности по управлению компьютерными инцидентамиРисунок 3 - Общий порядок ведения деятельности по управлению компьютерными инцидентами

Серия стандартов по управлению компьютерными инцидентами включает:

  1. настоящий стандарт - охватывает все четыре стадии;
  2. ГОСТ Р 59711 - охватывает стадию «организация деятельности по управлению компьютерными инцидентами»;
  3. ГОСТ Р 59712 - охватывает стадии:
    1. обнаружение и регистрация компьютерных инцидентов;
    2. реагирование на компьютерные инциденты;
    3. анализ результатов деятельности по управлению компьютерными инцидентами.

На рисунке 3 показан общий порядок ведения деятельности по управлению компьютерными инцидентами с детализацией стадий их управления [из 5.1 Краткое описание ГОСТ Р 59710-2022]

5.2 Организация деятельности по управлению компьютерными инцидентами ГОСТ Р 59710-2022

Эффективное управление компьютерными инцидентами требует соответствующего планирования и подготовки. Для организации деятельности по управлению компьютерными инцидентами организация должна выполнить следующие мероприятия:

  • разработать политику управления компьютерными инцидентами;
  • разработать план реагирования на компьютерные инциденты;
  • определить подразделение, ответственное за управление компьютерными инцидентами;
  • организовать взаимодействие с подразделениями внутри организации и с внешними организациями;
  • реализовать материально-техническое оснащение подразделения, ответственного за управление компьютерными инцидентами;
  • организовать обучение и информирование в части управления компьютерными инцидентами;
  • провести тренировки по отработке мероприятий плана реагирования на компьютерные инциденты.

[из 5.2 Организация деятельности по управлению компьютерными инцидентами ГОСТ Р 59710-2022]

5.3 Обнаружение и регистрация компьютерных инцидентов ГОСТ Р 59710-2022

Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга из различных источников.

Примечание - В состав собираемых данных помимо информации о зарегистрированных событиях безопасности, как правило, входят инвентаризационные данные, данные о сетевой активности, новостные ленты, касающиеся текущей политической, социальной или экономической деятельности (обстановки), которая может повлиять на активность, связанную с компьютерными инцидентами, информация о тенденциях, связанных с компьютерными инцидентами, о новых векторах атак и текущих индикаторах атак (индикаторах компрометации).

Стадия управления компьютерными инцидентами «обнаружение и регистрация компьютерных инцидентов» состоит из двух последовательных этапов:

  • регистрация признаков возможного возникновения компьютерных инцидентов.

Примечания

  1. Регистрация признаков возможного возникновения компьютерных инцидентов осуществляется как неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации), так и автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
  2. При автоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов информация о данном зарегистрированном признаке передается из средства управления событиями информационной безопасности в средство управления инцидентами, где на основании поступившей информации, автоматически формируется карточка признака возможного возникновения компьютерного инцидента.

При неавтоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов специалист подразделения, ответственного за управление компьютерными инцидентами, самостоятельно регистрирует данный признак в средстве управления инцидентами (заполняет карточку признака возможного возникновения компьютерного инцидента);

  • подтверждение компьютерных инцидентов.

Примечание - На этапе «подтверждение компьютерных инцидентов» проводится оценка информации, связанной с событиями безопасности, на основании которых был зарегистрирован признак возможного возникновения компьютерных инцидентов, для определения характера влияния на информационные ресурсы с целью принятия решения о регистрации компьютерного инцидента. При необходимости осуществляется сбор и внесение дополнительной информации. В случае подтверждения компьютерного инцидента осуществляется его регистрация и создание карточки компьютерного инцидента.

В рамках функционирования ГосСОПКА формат и содержание карточек компьютерных инцидентов, компьютерных атак и уязвимостей определяется организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами [из 5.3 Обнаружение и регистрация компьютерных инцидентов ГОСТ Р 59710-2022]

5.4 Реагирование на компьютерные инциденты ГОСТ Р 59710-2022

Реагирование на компьютерные инциденты осуществляют специалисты подразделения, ответственного за управление компьютерными инцидентами, и специалисты смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами, входящие в состав рабочих групп реагирования на компьютерные инциденты.

В ходе реагирования на компьютерный инцидент должны быть выполнены следующие этапы:

Примечание - В карточке компьютерного инцидента может отсутствовать информация о полном множестве элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент. Поэтому крайне важно до начала этапа «локализация компьютерного инцидента» определить полное множество элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент и внести эту информацию в карточку компьютерного инцидента;

  • локализация компьютерного инцидента.

Примечание - На этапе «локализация компьютерного инцидента» специалисты подразделения, ответственного за управление компьютерными инцидентами, должны определить, находится ли компьютерный инцидент под контролем. Если компьютерный инцидент находится под контролем, то выполняются последующие этапы реагирования. Если компьютерный инцидент не находится под контролем или ожидается, что он окажет серьезное воздействие на критические процессы (приведет к серьезным последствиям) организации, целесообразно направить обращения в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами, об оказании содействия в реагировании на компьютерный инцидент.

Компьютерный инцидент считается находящимся под контролем, если удалось принять меры, которые позволили предотвратить вовлечение в инцидент новых элементов информационной инфраструктуры и увеличение масштаба негативных последствий;

Примечание - На этапе «выявление последствий компьютерного инцидента» выполняются процедуры по выявлению признаков негативного воздействия компьютерного инцидента на информационные ресурсы;

Примечание - На этапе «ликвидация последствий компьютерных инцидентов» выполняются процедуры по восстановлению штатного функционирования информационных ресурсов и обрабатываемой им информации;

Примечания

  1. На каждом из этапов стадии «реагирование на компьютерные инциденты» специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты), должны осуществлять проверку качества и достаточности выполненных действий по реагированию на компьютерный инцидент и при необходимости создавать задания на доработку выполненных действий, а также принимать решение о возврате на предыдущий этап реагирования.
  2. Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты) осуществляют следующую деятельность:

При осуществлении контроля выполнения этапов реагирования на компьютерные инциденты специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), должен принимать решение о необходимости привлечения организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Отдельными этапами в рамках стадии «реагирование на компьютерные инциденты» являются:

  • фиксация материалов, связанных с возникновением компьютерного инцидента;
  • установление причин и условий возникновения компьютерного инцидента.

Данные этапы могут проводиться параллельно с остальными этапами реагирования и даже после этапа «закрытие компьютерного инцидента». Выполнение данных этапов не влияет на закрытие компьютерного инцидента.

Помимо перечисленных этапов реагирования организация должна решать следующие ключевые задачи:

  • определение принципа очередности реагирования на компьютерные инциденты.

Примечание - Очередность реагирования на компьютерные инциденты должна определяться с учетом уровня их влияния и приоритетов;

  • обеспечение документирования всех действий вовлеченных сторон и, в частности, специалистов подразделения, ответственного за управление компьютерными инцидентами, для последующего анализа и оценки;
  • безопасное хранение зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые требуются для установления причин и условий возникновения компьютерных инцидентов;
  • информирование о возникновении компьютерного инцидента и обмен информацией с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Вся собранная информация, относящаяся к компьютерному инциденту, должна быть отражена в карточке компьютерного инцидента и быть максимально полной. Это позволяет качественно проводить анализ результатов деятельности по управлению компьютерными инцидентами [из 5.4 Реагирование на компьютерные инциденты ГОСТ Р 59710-2022]

5.5 Анализ результатов деятельности по управлению компьютерными инцидентами ГОСТ Р 59710-2022

Заключительная стадия управления компьютерными инцидентами «Анализ результатов деятельности по управлению компьютерными инцидентами» осуществляется после того, как компьютерный инцидент был закрыт. Данная стадия включает в себя следующие этапы:

Примечание - Приобретение и накопление опыта по результатам деятельности по управлению компьютерными инцидентами предусматривает идентификацию методов и способов обнаружения и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов.

Идентифицированная информация может быть использована при доработке (актуализации) документации в части управления компьютерными инцидентами;

Примечание - Разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов осуществляется с целью предотвращения их повторного возникновения;

Примечание - Оценка результатов и эффективности реагирования на компьютерные инциденты предусматривает проведение анализа процессов, процедур, форматов отчетов и состава рабочих групп при реагировании на компьютерные инциденты и оценки их эффективности. Организация должна периодически проводить комплексную оценку результатов и эффективности реагирования на компьютерные инциденты.

На основе оценки результатов и эффективности реагирования на компьютерные инциденты осуществляется (при необходимости) доработка (актуализация) документации в части управления компьютерными инцидентами;

На стадии «анализ результатов деятельности по управлению компьютерными инцидентами» организация также должна решать следующие ключевые задачи:

[из 5.5 Анализ результатов деятельности по управлению компьютерными инцидентами ГОСТ Р 59710-2022]