10.1 Общие положения ГОСТ Р 59711-2022
Для обеспечения своевременного и эффективного обнаружения, регистрации и реагирования на компьютерные инциденты в организации должны быть внедрены соответствующие программные и программно-технические средства.
Организация должна обеспечить, чтобы автоматизированные средства, используемые для управления компьютерными инцидентами, в совокупности осуществляли поддержку, как минимум, следующей деятельности:
- сбор информации о событиях безопасности и иных данных мониторинга, а также регистрация с использованием собранных данных, компьютерных инцидентов.
Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляют в соответствии с ГОСТ Р 59547;
- сбор и обработка сведений, необходимых для формирования рекомендаций по предотвращению компьютерных инцидентов и (или) снижению опасности их последствий.
Примечание - К таким сведениям относятся сведения о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен, сведения об известных уязвимостях используемого программного обеспечения, сведения о компьютерных сетях, состоящих из управляемых с использованием вредоносного программного обеспечения СВТ, включая сведения об их управляющих серверах;
- организация и контроль процессов реагирования на компьютерные инциденты, в том числе оповещение специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами;
- организация взаимодействия (обмена информацией) с внешними организациями;
- обеспечение защиты собранных данных мониторинга, результатов их обработки, а также результатов реагирования на компьютерные инциденты;
- обеспечение резервного копирования;
- подготовка данных для обмена информацией о компьютерных инцидентах с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.
[из 10.1 Общие положения ГОСТ Р 59711-2022]
10.2 Примеры программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами ГОСТ Р 59711-2022
В состав программных и программно-технических средств, обеспечивающих деятельность подразделения, ответственного за управление компьютерными инцидентами, могут входить как средства для автоматизации деятельности по управлению компьютерными инцидентами, так и средства, являющиеся источниками событий безопасности.
К средствам, обеспечивающим деятельность подразделения, ответственного за управление компьютерными инцидентами, могут относиться:
- средства управления событиями информационной безопасности;
- средства для предупреждения компьютерных атак;
- средства управления инцидентами;
- средства обмена информацией;
- средства криптографической защиты информации;
- средства анализа программного обеспечения, сетевого трафика, а также электронных образов носителей информации;
- средства обнаружения компьютерных атак (система обнаружения вторжений);
- межсетевые экраны;
- антивирусные средства;
- средства резервного копирования и восстановления информации;
- средства доверенной загрузки;
- средства контроля съемных машинных носителей информации;
- средства контроля подключения устройств;
- средства анализа защищенности;
- средства защиты от несанкционированного доступа;
- средства контроля целостности;
- замкнутая среда предварительного выполнения программ.
[из 10.2 Примеры программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами ГОСТ Р 59711-2022]
