Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга из различных источников.
Примечание - В состав собираемых данных помимо информации о зарегистрированных событиях безопасности, как правило, входят инвентаризационные данные, данные о сетевой активности, новостные ленты, касающиеся текущей политической, социальной или экономической деятельности (обстановки), которая может повлиять на активность, связанную с компьютерными инцидентами, информация о тенденциях, связанных с компьютерными инцидентами, о новых векторах атак и текущих индикаторах атак (индикаторах компрометации).
Стадия управления компьютерными инцидентами «обнаружение и регистрация компьютерных инцидентов» состоит из двух последовательных этапов:
- регистрация признаков возможного возникновения компьютерных инцидентов.
Примечания
- Регистрация признаков возможного возникновения компьютерных инцидентов осуществляется как неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации), так и автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
- При автоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов информация о данном зарегистрированном признаке передается из средства управления событиями информационной безопасности в средство управления инцидентами, где на основании поступившей информации, автоматически формируется карточка признака возможного возникновения компьютерного инцидента.
При неавтоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов специалист подразделения, ответственного за управление компьютерными инцидентами, самостоятельно регистрирует данный признак в средстве управления инцидентами (заполняет карточку признака возможного возникновения компьютерного инцидента);
- подтверждение компьютерных инцидентов.
Примечание - На этапе «подтверждение компьютерных инцидентов» проводится оценка информации, связанной с событиями безопасности, на основании которых был зарегистрирован признак возможного возникновения компьютерных инцидентов, для определения характера влияния на информационные ресурсы с целью принятия решения о регистрации компьютерного инцидента. При необходимости осуществляется сбор и внесение дополнительной информации. В случае подтверждения компьютерного инцидента осуществляется его регистрация и создание карточки компьютерного инцидента.
В рамках функционирования ГосСОПКА формат и содержание карточек компьютерных инцидентов, компьютерных атак и уязвимостей определяется организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами [из 5.3 Обнаружение и регистрация компьютерных инцидентов ГОСТ Р 59710-2022]