Для обеспечения своевременного и эффективного обнаружения, регистрации и реагирования на компьютерные инциденты в организации должны быть внедрены соответствующие программные и программно-технические средства.
Организация должна обеспечить, чтобы автоматизированные средства, используемые для управления компьютерными инцидентами, в совокупности осуществляли поддержку, как минимум, следующей деятельности:
- сбор информации о событиях безопасности и иных данных мониторинга, а также регистрация с использованием собранных данных, компьютерных инцидентов.
Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляют в соответствии с ГОСТ Р 59547;
- сбор и обработка сведений, необходимых для формирования рекомендаций по предотвращению компьютерных инцидентов и (или) снижению опасности их последствий.
Примечание - К таким сведениям относятся сведения о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен, сведения об известных уязвимостях используемого программного обеспечения, сведения о компьютерных сетях, состоящих из управляемых с использованием вредоносного программного обеспечения СВТ, включая сведения об их управляющих серверах;
- организация и контроль процессов реагирования на компьютерные инциденты, в том числе оповещение специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами;
- организация взаимодействия (обмена информацией) с внешними организациями;
- обеспечение защиты собранных данных мониторинга, результатов их обработки, а также результатов реагирования на компьютерные инциденты;
- обеспечение резервного копирования;
- подготовка данных для обмена информацией о компьютерных инцидентах с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.
[из 10.1 Общие положения ГОСТ Р 59711-2022]