В ходе деятельности по управлению компьютерными инцидентами должны быть запланированы и проведены на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Тренировки должны предусматривать как моделирование различных сценариев, которые могут варьироваться от серьезных (сложных) компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атак, сбоев или неисправностей, так и проведение теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. В тренировках должны принимать участие как специалисты подразделения, ответственного за управление компьютерными инцидентами, так и специалисты смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами.
Все участники тренировок должны быть проинформированы о том, что они имеют дело с действиями, имитирующими компьютерный инцидент. Данная информация необходима для того, чтобы исключить действия по реагированию, приводящие к негативным последствиям для критических процессов организации.
Примечание - Для проведения тренировок могут быть применены тестовые системы, в которых могут быть имитированы компьютерные атаки и (или) особенности контролируемых информационных ресурсов. Такие тестовые системы также могут быть использованы для тестирования программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами.
Информирование участников может не осуществляться в случае проведения тренировок в контролируемых условиях, препятствующих влиянию тренировок на критические процессы организации.
Тренировки могут быть проведены в форме:
- обсуждения (дискуссии);
- командных тренингов;
- практического занятия;
- смешанной (использование всех трех форм).
Выбор формы тренировки зависит от цели, которую планируется достичь, а также от наличия времени и ресурсов.
Тренировка преследует следующие основные цели:
- подтверждение применимости на практике плана реагирования на компьютерные инциденты и выявление потенциальных недостатков;
- проверка готовности специалистов, участвующих в деятельности по управлению компьютерными инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты;
- тестирование существующих процессов и процедур реагирования на компьютерные инциденты.
При разработке организацией плана реагирования на компьютерные инциденты или его актуализации проводят тренировки для проверки его применимости. После введения плана реагирования на компьютерные инциденты в действие проводят тренировки для проверки готовности специалистов подразделения, ответственного за управление компьютерными инцидентами, и специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами. После того как существующие процессы и процедуры отработаны, должны быть проведены периодические тренировки для подтверждения актуальности плана реагирования на компьютерные инциденты.
В таблице 2 представлены формы тренировок и цели, для которых они могут быть проведены.
Таблица 2 - Формы тренировок и цели
Цель проведения тренировки | Форма проведения тренировки |
Подтверждение применимости на практике плана реагирования на компьютерные инциденты и выявление потенциальных недостатков | обсуждения (дискуссии); командные тренинги |
Проверка готовности специалистов, участвующих в деятельности по управлению компьютерными инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты | обсуждения (дискуссии); командные тренинги; практические занятия |
Тестирование существующих процессов и процедур реагирования на компьютерные инциденты | командные тренинги; практические занятия |
При планировании тренировок необходимо учитывать следующие вопросы:
- проводится ли тренировка в рамках одной организации или будут участвовать внешние организации;
- специалисты каких подразделений организации будут участвовать в тренировках.
Для успешного проведения тренировок необходимо выполнить ряд задач, основные из которых представлены ниже:
- краткое ознакомление участников с целями проведения тренировок;
- распределение ролей и обязанностей между участниками;
- обеспечение сопровождения участников в процессе тренировок;
- предоставление временных ресурсов, необходимых для проведения тренировок, в том числе для проведения анализа результатов тренировок;
- разработка отчетных материалов по результатам проведения тренировок и их доведение до всех участников тренировок.
[из 12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]