Приложение Б (обязательное) - Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты ГОСТ Р 59711-2022

В приложении Б приведено описание подхода к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты.

Представленный подход может быть уточнен в соответствии с потребностями организации, ведущей деятельность по управлению компьютерными инцидентами [из Приложение Б (обязательное) - Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты ГОСТ Р 59711-2022]

Б.1 Общие положения ГОСТ Р 59711-2022

Подход к определению приоритетов компьютерных инцидентов основан на использовании следующих характеристик регистрируемых компьютерных инцидентов:

  • значимость элементов информационной инфраструктуры, на которых обнаружены признаки зарегистрированного компьютерного инцидента;
  • масштаб компьютерного инцидента.

Подход к определению приоритетов компьютерных инцидентов также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте.

По каждому критерию установлено не более трех приоритетов:

  • высокий;
  • средний;
  • низкий.

Итоговый приоритет компьютерного инцидента оценивают как максимальный приоритет среди определенных по разным критериям. Например, если по критерию «значимость элементов информационной инфраструктуры» приоритет компьютерного инцидента определен как высокий, а по критерию «масштаб компьютерного инцидента» как средний, то итоговый приоритет компьютерного инцидента определяют как высокий.

Приоритеты не зависят от уровней влияния компьютерных инцидентов и могут использоваться совместно с ними для определения очередности отработки компьютерных инцидентов. Порядок определения очередности реагирования на компьютерные инциденты приведен в таблице Б.1.

Таблица Б.1 - Порядок определения очередности реагирования на компьютерные инциденты

Очередь реагирования

1

2

3

4

5

6

7

8

9

Уровень влияния компьютерного инцидента

Критический

Высокий

Высокий

Средний

Средний

Средний

Низкий

Низкий

Низкий

Приоритет компьютерного инцидента

высокий

высокий

средний

высокий

средний

низкий

высокий

средний

низкий

[из Б.1 Общие положения ГОСТ Р 59711-2022]

Б.2 Значимость элементов информационной инфраструктуры ГОСТ Р 59711-2022

В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от значимости СВТ, на которых обнаружены признаки данного компьютерного инцидента. Значимость СВТ определяют в зависимости от функционирующих на данном СВТ сервисов, содержащейся на нем информации и (или) возможности распространения компьютерного инцидента на более значимые СВТ.

К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации либо компьютерные инциденты, признаки которых обнаружены на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.

К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, с которых компьютерный инцидент наиболее быстро может распространиться на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации, либо на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.

К низкому приоритету рекомендуется относить остальные компьютерные инциденты.

Примечание - Важно отличать приоритет от уровня влияния, так как уровень влияния определяется критичностью затронутого компьютерным инцидентом процесса, а при определении приоритета учитывают и другие критические процессы, функционирующие на тех же СВТ [из Б.2 Значимость элементов информационной инфраструктуры ГОСТ Р 59711-2022]

Б.З Масштаб компьютерного инцидента ГОСТ Р 59711-2022

В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от количества СВТ, на которых обнаружены признаки зарегистрированного компьютерного инцидента.

К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 30 % и более процентах СВТ.

К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 10-30 % СВТ.

К низкому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены менее чем на 10 % СВТ [из Б.З Масштаб компьютерного инцидента ГОСТ Р 59711-2022]