7 Разработка плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022

7.1 Общие положения ГОСТ Р 59711-2022

План реагирования на компьютерные инциденты должен содержать подробные пошаговые инструкции к действиям, выполняемым на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты», с учетом организационной структуры организации, особенностей ее информационной инфраструктуры, применяемых программных и программно-технических средств, типов компьютерных инцидентов, их приоритетов и уровней влияния.

Примечания

  1. В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осуществляющая координацию деятельности в части управления компьютерными инцидентами. Организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.
  2. Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б.
  3. План реагирования на компьютерные инциденты может включать различные приложения, например инструкции, регламенты и иные документы, в соответствии с которыми осуществляется деятельность по обнаружению, регистрации, принятию решений и действий, связанных с реагированием на компьютерные инциденты.

Разработку плана реагирования на компьютерные инциденты должен координировать руководитель подразделения, ответственного за управление компьютерными инцидентами, и она должна быть выполнена с учетом положений политики управления компьютерными инцидентами.

Для разработки плана реагирования на компьютерные инциденты должны привлекаться работники организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.

Примечание - К процессу согласования плана могут быть привлечены иные лица, определенные руководителем организации или уполномоченным им лицом.

Разработанный план должен быть согласован с руководителем подразделения, ответственного за управление компьютерными инцидентами, и утвержден руководителем организации или уполномоченным им лицом и в порядке информирования представлен в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами [из 7.1 Общие положения ГОСТ Р 59711-2022]

7.2 Содержание плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022

План реагирования на компьютерные инциденты должен включать:

а) общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и реагирования на них, включая:

  1. технические характеристики и состав контролируемых информационных ресурсов организации;
  2. перечень типов компьютерных инцидентов, которые в организации требуется обнаруживать и регистрировать с указанием их уровней влияния, приоритетов и конкретных способов обнаружения и регистрации.

Примечание - Перечень типов компьютерных инцидентов, которые в организации требуется обнаруживать и регистрировать, формируют на основании установленных в утвержденной политике управления компьютерными инцидентами сведений о том, что для организации является компьютерным инцидентом.

Также может быть предусмотрен дополнительный тип компьютерных инцидентов (например, «прочее»). Его цель состоит в том, чтобы обеспечить регистрацию компьютерных инцидентов, не соответствующих ни одному из определенных ранее типов компьютерных инцидентов;

3) порядок формирования состава рабочих групп реагирования на компьютерные инциденты.

Примечание - Состав рабочих групп реагирования на компьютерные инциденты может зависеть:

  • от информационного ресурса, в котором зарегистрирован компьютерный инцидент (в составе рабочей группы реагирования на компьютерные инциденты должны быть специалисты подразделений, ответственных за эксплуатацию информационного ресурса, на котором произошел компьютерный инцидент, так как только эти специалисты обладают правами доступа к информационному ресурсу, позволяющими выполнять все необходимые действия по реагированию на компьютерный инцидент);
  • территориального расположения информационного ресурса (реагирование на компьютерные инциденты, произошедшие на территориально удаленных объектах, целесообразно проводить с привлечением специалистов, находящихся на этих объектах);
  • типа компьютерного инцидента (при реагировании на определенные типы компьютерных инцидентов может возникать необходимость привлечения специалистов, обладающих определенными экспертными знаниями и (или) умениями);

4) перечень лиц, привлекаемых к реагированию на компьютерные инциденты, а также их функции и обязанности;

5) порядок осуществления доступа к информации о ходе реагирования на компьютерный инцидент и к данным мониторинга, на основании которых он зарегистрирован, работников организации, входящих в состав рабочей группы реагирования на компьютерные инциденты.

Примечание - Совместное использование информации о ходе реагирования на компьютерный инцидент и данных мониторинга, на основании которых он зарегистрирован, всеми участниками процесса по реагированию на компьютерный инцидент обеспечит повышение эффективности реагирования;

6) установленные сроки выполнения этапов реагирования на компьютерные инциденты.

Примечание - Сроки выполнения этапов реагирования на компьютерные инциденты устанавливают с учетом их уровней влияния;

7) порядок принятия решения о необходимости привлечения к реагированию на компьютерный инцидент организации, осуществляющей координацию деятельности по управлению компьютерными инцидентами.

Примечания

1 На основании данного порядка специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), будет понимать, при каких обстоятельствах требуется привлечение организации, осуществляющей координацию деятельности по управлению компьютерными инцидентами. Например, это может потребоваться, когда компьютерный инцидент не может быть взят под контроль или ожидается, что он будет иметь критические последствия для организации.

2 Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты), осуществляют следующую деятельность:

  • проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;
  • регистрация компьютерных инцидентов в случае их подтверждения;
  • контроль выполнения этапов реагирования на компьютерные инциденты.

3 Компьютерный инцидент считается «находящимся под контролем», если удалось принять меры, которые позволили предотвратить вовлечение в инцидент новых элементов информационной инфраструктуры и увеличение масштаба негативных последствий;

8) порядок регистрации действий, выполняемых на стадии «реагирование на компьютерные инциденты».

Примечание - Порядок регистрации действий, выполняемых на стадии «реагирование на компьютерные инциденты» должен предусматривать регистрацию всех действий, выполняемых на каждом этапе стадии «реагирование на компьютерный инцидент», так как после закрытия компьютерного инцидента данная информация может быть полезной для приобретения и накопления опыта, который может использоваться для предотвращения повторного возникновения компьютерных инцидентов и повышения эффективности процедур реагирования на компьютерные инциденты;

9) порядок проведения мероприятий по реагированию на компьютерные инциденты совместно с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Примечание - Подпункты 7 и 9 пункта а) «Общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и реагирования на них» не являются обязательными для включения в план реагирования на компьютерные инциденты. При включении данных пунктов в план проект плана, до его утверждения, должен быть представлен в федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования ГосСОПКА;

б) порядок обнаружения и регистрации компьютерных инцидентов, включая:

1) перечень и описание правил регистрации признаков возможного возникновения компьютерных инцидентов.

Примечание - Описание правила регистрации признаков возможного возникновения компьютерного инцидента должно содержать перечень событий безопасности и иных данных мониторинга, а также связей между ними и дополнительных условий, на основании которых принимают решение о регистрации такого признака;

2) порядок приема специалистами подразделения, ответственного за управление компьютерными инцидентами, сведений об обнаруженных признаках возможного возникновения компьютерных инцидентов от работников организации;

3) порядок проведения проверки фактов возникновения компьютерных инцидентов;

4) формы карточек компьютерных инцидентов, которые формируют при регистрации компьютерных инцидентов разных типов.

Примечание - В формах карточек должны быть определены поля, которые заполняются автоматическим способом, и поля, которые заполняют специалисты, входящие в состав рабочих групп реагирования на компьютерные инциденты;

5) перечень и формы отчетов, формируемых на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».

Примечание - В рамках деятельности по управлению компьютерными инцидентами могут быть сформированы различные статистические отчеты по зарегистрированным компьютерным инцидентам, отчеты с показателями эффективности работы рабочих групп реагирования на компьютерные инциденты, сводные отчеты о результатах деятельности по реагированию на компьютерные инциденты за различные периоды времени и иные отчеты, состав которых должен быть определен в плане;

в) порядок реагирования на компьютерные инциденты, включая:

1) порядок определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

2) порядок локализации компьютерных инцидентов.

Примечание - При локализации компьютерного инцидента применяют меры, направленные на ограничение функционирования информационных ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения. Примерами таких мер являются отключение СВТ, на которых обнаружены признаки компьютерных инцидентов, от локальной вычислительной сети, отключение служб или процессов, уязвимости которых используются для распространения вредоносного программного обеспечения, блокирование потоков информации на межсетевых экранах. Меры, принимаемые при локализации компьютерных инцидентов, определяют для установленных в плане реагирования на компьютерные инциденты типов компьютерных инцидентов;

3) ситуации, при которых требуется прекратить действия по реагированию на компьютерный инцидент.

Примечание - К таким ситуациям могут относиться случаи, при которых действия по реагированию на компьютерный инцидент, например, связанные с приостановкой или прекращением функционирования информационного ресурса, могут негативно влиять на критические процессы организации. Для каждой из таких ситуаций должна быть предусмотрена необходимость привлечения руководства организации, экспертных организаций, организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами, иных лиц и (или) организаций для определения и (или) выполнения дальнейших действий по реагированию на компьютерный инцидент;

4) порядок контроля процесса реагирования на компьютерные инциденты со стороны специалистов, ответственных за реагирование на компьютерные инциденты (руководителей рабочих групп реагирования на компьютерные инциденты).

Примечание - Контроль предусматривает отслеживание сроков реагирования на компьютерные инциденты и проверку результатов реагирования на компьютерные инциденты для принятия решения об их закрытии или возврате на один из предыдущих этапов реагирования. Если в ходе контроля реагирования на компьютерные инциденты установлено, что имеются проблемы по локализации и ликвидации последствий компьютерного инцидента, и предполагается, что он будет оказывать серьезные негативные воздействия на критические процессы организации, то целесообразно направить обращение в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами, об оказании содействия в реагировании на компьютерный инцидент;

5) порядок действий в процессе выявления и ликвидации последствий компьютерных инцидентов;

6) порядок закрытия компьютерных инцидентов;

7) порядок фиксации материалов, связанных с возникновением компьютерных инцидентов, и установления причин и условий их возникновения.

[из 7.2 Содержание плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]

7.3 Применение плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022

К деталям плана реагирования на компьютерные инциденты должны иметь доступ только специалисты подразделения, ответственного за управление компьютерными инцидентами. Для других работников организации, привлекаемых к реагированию на компьютерные инциденты, на основании плана реагирования на компьютерные инциденты необходимо разрабатывать отдельные инструкции, определяющие их функции и задачи в рамках реагирования на компьютерные инциденты, которые должны содержать только касающиеся соответствующих работников сведения. Например, такими задачами могут быть:

  • отключение информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры (отдельное СВТ, входящее в состав комплекса программно-технических средств), вовлеченного в компьютерный инцидент, при локализации компьютерного инцидента;
  • мониторинг состояния информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры, вовлеченного в компьютерный инцидент, при локализации компьютерного инцидента;
  • определение перечня удаленных или поврежденных в результате компьютерного инцидента объектов при выявлении последствий компьютерных инцидентов;
  • фиксация материалов, связанных с возникновением компьютерного инцидента (цифровых свидетельств);
  • восстановление информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры, вовлеченного в компьютерный инцидент из резервных копий (как способа восстановления работоспособности), или выполнение иных процедур восстановления;
  • передача информации о компьютерных инцидентах специалистам смежных подразделений, а также внешним организациям, в том числе в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами.

Каждому работнику организации, привлекаемому к реагированию на компьютерные инциденты, могут быть определены одна или несколько ролей в рамках деятельности по реагированию на компьютерные инциденты.

В процессе реагирования на компьютерные инциденты работникам организации, привлекаемым к реагированию на компьютерные инциденты, необходимо предоставлять доступ к информации, полученной по результатам реагирования на компьютерные инциденты, только в случае необходимости и только в необходимом объеме [из 7.3 Применение плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]

7.4 Обработка информации ограниченного доступа ГОСТ Р 59711-2022

Отчетные материалы, формируемые в ходе деятельности по управлению компьютерными инцидентами, могут содержать информацию ограниченного доступа, поэтому при ведении деятельности по управлению компьютерными инцидентами важно обеспечить защиту такой информации.

Если в ходе деятельности по управлению компьютерными инцидентами используются данные мониторинга, получаемые из информационных ресурсов, защита которых осуществляется в соответствии с законодательством Российской Федерации, то защита таких данных и результатов их обработки (карточки компьютерных инцидентов и иные отчеты) также должна осуществляться в соответствии с законодательством Российской Федерации.

Защита информации должна быть обеспечена и при организации взаимодействия с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами [из 7.4 Обработка информации ограниченного доступа ГОСТ Р 59711-2022]