В приложении Б приведено описание подхода к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты.
Представленный подход может быть уточнен в соответствии с потребностями организации, ведущей деятельность по управлению компьютерными инцидентами [из Приложение Б (обязательное) - Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты ГОСТ Р 59711-2022]
Б.1 Общие положения ГОСТ Р 59711-2022
Подход к определению приоритетов компьютерных инцидентов основан на использовании следующих характеристик регистрируемых компьютерных инцидентов:
- значимость элементов информационной инфраструктуры, на которых обнаружены признаки зарегистрированного компьютерного инцидента;
- масштаб компьютерного инцидента.
Подход к определению приоритетов компьютерных инцидентов также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте.
По каждому критерию установлено не более трех приоритетов:
- высокий;
- средний;
- низкий.
Итоговый приоритет компьютерного инцидента оценивают как максимальный приоритет среди определенных по разным критериям. Например, если по критерию «значимость элементов информационной инфраструктуры» приоритет компьютерного инцидента определен как высокий, а по критерию «масштаб компьютерного инцидента» как средний, то итоговый приоритет компьютерного инцидента определяют как высокий.
Приоритеты не зависят от уровней влияния компьютерных инцидентов и могут использоваться совместно с ними для определения очередности отработки компьютерных инцидентов. Порядок определения очередности реагирования на компьютерные инциденты приведен в таблице Б.1.
Таблица Б.1 - Порядок определения очередности реагирования на компьютерные инциденты
Очередь реагирования | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Уровень влияния компьютерного инцидента | Критический | Высокий | Высокий | Средний | Средний | Средний | Низкий | Низкий | Низкий |
Приоритет компьютерного инцидента | высокий | высокий | средний | высокий | средний | низкий | высокий | средний | низкий |
[из Б.1 Общие положения ГОСТ Р 59711-2022]
Б.2 Значимость элементов информационной инфраструктуры ГОСТ Р 59711-2022
В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от значимости СВТ, на которых обнаружены признаки данного компьютерного инцидента. Значимость СВТ определяют в зависимости от функционирующих на данном СВТ сервисов, содержащейся на нем информации и (или) возможности распространения компьютерного инцидента на более значимые СВТ.
К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации либо компьютерные инциденты, признаки которых обнаружены на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.
К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, с которых компьютерный инцидент наиболее быстро может распространиться на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации, либо на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.
К низкому приоритету рекомендуется относить остальные компьютерные инциденты.
Примечание - Важно отличать приоритет от уровня влияния, так как уровень влияния определяется критичностью затронутого компьютерным инцидентом процесса, а при определении приоритета учитывают и другие критические процессы, функционирующие на тех же СВТ [из Б.2 Значимость элементов информационной инфраструктуры ГОСТ Р 59711-2022]
Б.З Масштаб компьютерного инцидента ГОСТ Р 59711-2022
В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от количества СВТ, на которых обнаружены признаки зарегистрированного компьютерного инцидента.
К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 30 % и более процентах СВТ.
К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 10-30 % СВТ.
К низкому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены менее чем на 10 % СВТ [из Б.З Масштаб компьютерного инцидента ГОСТ Р 59711-2022]