6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711-2022

Политику управления компьютерными инцидентами следует разрабатывать как высокоуровневый документ.

В политике управления компьютерными инцидентами должны быть определены:

  • цели ведения деятельности по управлению компьютерными инцидентами;
  • информация о ресурсах, в отношении которых будет вестись деятельность по управлению компьютерными инцидентами (зона ответственности);
  • общие сведения о том, что для организации является компьютерным инцидентом.

Примечания

  1. К компьютерным инцидентам относят инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.
  2. Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютерных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их подтверждения.
  3. Понятие «признак возможного возникновения компьютерных инцидентов» применяется в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного инцидента;
    • высокоуровневый обзор или визуализация процесса управления компьютерными инцидентами в части стадий «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
    • описание организационной структуры подразделения, ответственного за управление компьютерными инцидентами, в том числе ролей специалистов подразделения, их обязанностей и полномочий.

[из 6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711-2022]