5.1 Общие положения ГОСТ Р 59712-2022
Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга из различных источников.
Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.
Стадия «обнаружение и регистрация компьютерных инцидентов» включает в себя следующие этапы:
- регистрация признаков возможного возникновения компьютерных инцидентов;
- подтверждение компьютерных инцидентов.
[из 5.1 Общие положения ГОСТ Р 59712-2022]
5.2 Регистрация признаков возможного возникновения компьютерных инцидентов ГОСТ Р 59712-2022
Регистрация признаков возможного возникновения компьютерных инцидентов может осуществляться как автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов, так и неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации).
Примечание - Понятие «признак возможного возникновения компьютерных инцидентов» применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения [из 5.2 Регистрация признаков возможного возникновения компьютерных инцидентов ГОСТ Р 59712-2022]
5.2.1 Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом ГОСТ Р 59712-2022
Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом осуществляется с использованием средства управления событиями информационной безопасности на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
Правила регистрации признаков возможного возникновения компьютерных инцидентов должны позволять реализовать один или совокупность следующих методов анализа, направленных на выявление причинно-следственной связи между событиями безопасности и иными данными мониторинга:
- сигнатурные методы, основанные на сопоставлении конкретных признаков и условий взаимосвязей событий безопасности и иных данных мониторинга;
- бессигнатурные методы, основанные на выявлении статистической и иной зависимости между событиями безопасности и иными данными мониторинга и формировании профилей функционирования информационных ресурсов.
Примечание - Профиль функционирования формируется по результатам поведенческого анализа, который содержит набор атрибутов и их значений. Такие данные характеризуют работу конкретного приложения в среде функционирования в определенный промежуток времени.
Сигнатурные методы анализа включают правила регистрации признаков возможного возникновения компьютерных инцидентов, создание и настройку которых осуществляет специалист подразделения, ответственного за управление компьютерными инцидентами.
Бессигнатурные методы анализа реализуются разработчиком средства управления событиями информационной безопасности в программном коде средства, алгоритмы которых не могут быть изменены специалистом подразделения, ответственного за управление компьютерными инцидентами.
Примечание - Правила регистрации признаков возможного возникновения компьютерных инцидентов могут содержать условия отбора событий безопасности и иных данных мониторинга в виде отдельных логических операций, например конъюнкция («И»), дизъюнкция («ИЛИ»), отрицание («НЕ») и их комбинаций, критерии срабатывания правила, учитывающие количественные, временные и иные характеристики событий безопасности и иных данных мониторинга, а также результаты их сравнения («больше», «меньше», «равно» и иные). Правила регистрации признаков возможного возникновения компьютерных инцидентов также могут содержать операторы выполнения действий в зависимости от соответствия переменных (объектов, принимающих несколько значений) заданному условию, циклические и иные операторы, позволяющие повысить эффективность и точность описания критериев отбора событий безопасности и иных данных мониторинга.
Решение о наличии или отсутствии признака возможного возникновения компьютерного инцидента принимается на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
При автоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов информация о данном зарегистрированном признаке передается из средства управления событиями информационной безопасности в средство управления инцидентами, где на основании поступившей информации автоматически формируется карточка признака возможного возникновения компьютерного инцидента [из 5.2.1 Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом ГОСТ Р 59712-2022]
5.2.2 Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом ГОСТ Р 59712-2022
Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом осуществляется специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации. Неавтоматизированная регистрация признаков возможного возникновения компьютерных инцидентов осуществляется в средстве управления инцидентами путем внесения в карточку признака возможного возникновения компьютерного инцидента необходимой информации [из 5.2.2 Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом ГОСТ Р 59712-2022]
5.3 Подтверждение компьютерных инцидентов ГОСТ Р 59712-2022
Подтверждение компьютерного инцидента осуществляется в ходе проведения проверки зарегистрированного признака возможного возникновения компьютерного инцидента.
Такая проверка проводится специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты).
1 Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты) осуществляют следующую деятельность:
- проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;
- регистрация компьютерных инцидентов в случае их подтверждения;
- контроль выполнения этапов реагирования на компьютерные инциденты.
При осуществлении контроля выполнения этапов реагирования на компьютерные инциденты специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), должен принимать решение о необходимости привлечения организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.
2 В рамках функционирования ГосСОПКА организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.
Регистрируемые признаки возможного возникновения компьютерных инцидентов распределяются между специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты), в порядке очереди и (или) с учетом предварительно определенных типов компьютерных инцидентов, и (или) географического местоположения информационных ресурсов, в которых регистрируются признаки возможного возникновения компьютерных инцидентов.
Примечание - В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осуществляющая координацию деятельности в части управления компьютерными инцидентами.
Проверка факта возникновения компьютерного инцидента предусматривает выполнение следующих процедур:
а) анализ информации, содержащейся в карточке признака возможного возникновения компьютерного инцидента.
Примечание - При анализе информации, содержащейся в карточке признака возможного возникновения компьютерного инцидента, проводят оценку информации, связанной с событиями безопасности, на основании которых был зарегистрирован признак возможного возникновения компьютерных инцидентов, для определения характера влияния на информационные ресурсы с целью принятия решения о регистрации компьютерного инцидента. При необходимости осуществляют сбор и внесение дополнительной информации. В случае подтверждения компьютерного инцидента осуществляют его регистрацию и создают карточку компьютерного инцидента.
В рамках функционирования ГосСОПКА формат и содержание карточек компьютерных инцидентов, компьютерных атак и уязвимостей определяется организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами;
б) сбор дополнительной информации, требуемой для подтверждения факта возникновения компьютерного инцидента (при необходимости), в ходе которого могут выполняться:
- опрос пользователей информационных ресурсов, вовлеченных в компьютерный инцидент;
- опрос специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, вовлеченных в компьютерный инцидент;
- получение данных о функционировании сервисов, обеспечивающих реализацию критических процессов организации;
- проверка журналов событий на предмет наличия свидетельств о несанкционированном просмотре, изменении или удалении информации;
- иные действия, позволяющие получить информацию, необходимую для принятия решения о регистрации компьютерного инцидента.
Примечание - Карточка признака возможного возникновения компьютерного инцидента должна содержать информацию обо всех событиях безопасности и иных данных мониторинга, которые послужили основанием для регистрации признака возможного возникновения компьютерного инцидента.
Для проведения проверки факта возникновения компьютерного инцидента специалисту, ответственному за реагирование на компьютерный инцидент (руководителю рабочей группы реагирования на компьютерные инциденты), требуется следующая информация:
- подтверждающая или опровергающая факт приведения информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов;
- подтверждающая или опровергающая факт нарушения безопасности информации, необходимой для обеспечения критических процессов (нарушение ее конфиденциальности, целостности и (или) доступности);
в) принятие решения о регистрации компьютерного инцидента, его приоритете и уровне влияния.
Примечания
1 Регистрация компьютерного инцидента осуществляется, если в ходе проверки подтвержден факт возникновения компьютерного инцидента. При регистрации компьютерного инцидента следует создавать карточку компьютерного инцидента.
Регистрация компьютерного инцидента не осуществляется, если в ходе проверки установлено, что регистрация признака возможного возникновения компьютерного инцидента является ложной.
Если в ходе проверки было установлено, что причиной регистрации признака возможного возникновения компьютерного инцидента является компьютерная атака, в случаях, если компьютерный инцидент не регистрируется, то должна формироваться карточка компьютерной атаки и карточка уязвимости.
2 Приоритеты и уровни влияния компьютерного инцидента могут определяться вместе с регистрацией признака возможного возникновения компьютерного инцидента при срабатывании правила, но они должны подтверждаться специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерные инциденты), и при необходимости уточняться.
Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б ГОСТ Р 59711-2022.
После подтверждения факта возникновения компьютерного инцидента осуществляется немедленное уведомление специалистов, входящих в состав рабочей группы, назначенной для реагирования на зарегистрированный компьютерный инцидент.
Примечание - Назначение рабочих групп для реагирования на компьютерный инцидент может осуществляться автоматически средством управления инцидентами для каждого типа компьютерного инцидента или не автоматически специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерные инциденты).
Одновременно с уведомлением специалистов, входящих в состав рабочей группы, назначенной для реагирования на зарегистрированный компьютерный инцидент, должно осуществляться уведомление организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами, с направлением карточки компьютерного инцидента (в случае регистрации компьютерного инцидента) или карточек компьютерной атаки и уязвимости, которые могли быть использованы при проведении компьютерной атаки (если в ходе проверки признака возможного возникновения компьютерного инцидента было установлено, что причиной его регистрации является компьютерная атака, в случаях если компьютерный инцидент не регистрируется) [из 5.3 Подтверждение компьютерных инцидентов ГОСТ Р 59712-2022]