Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом осуществляется с использованием средства управления событиями информационной безопасности на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
Правила регистрации признаков возможного возникновения компьютерных инцидентов должны позволять реализовать один или совокупность следующих методов анализа, направленных на выявление причинно-следственной связи между событиями безопасности и иными данными мониторинга:
- сигнатурные методы, основанные на сопоставлении конкретных признаков и условий взаимосвязей событий безопасности и иных данных мониторинга;
- бессигнатурные методы, основанные на выявлении статистической и иной зависимости между событиями безопасности и иными данными мониторинга и формировании профилей функционирования информационных ресурсов.
Примечание - Профиль функционирования формируется по результатам поведенческого анализа, который содержит набор атрибутов и их значений. Такие данные характеризуют работу конкретного приложения в среде функционирования в определенный промежуток времени.
Сигнатурные методы анализа включают правила регистрации признаков возможного возникновения компьютерных инцидентов, создание и настройку которых осуществляет специалист подразделения, ответственного за управление компьютерными инцидентами.
Бессигнатурные методы анализа реализуются разработчиком средства управления событиями информационной безопасности в программном коде средства, алгоритмы которых не могут быть изменены специалистом подразделения, ответственного за управление компьютерными инцидентами.
Примечание - Правила регистрации признаков возможного возникновения компьютерных инцидентов могут содержать условия отбора событий безопасности и иных данных мониторинга в виде отдельных логических операций, например конъюнкция («И»), дизъюнкция («ИЛИ»), отрицание («НЕ») и их комбинаций, критерии срабатывания правила, учитывающие количественные, временные и иные характеристики событий безопасности и иных данных мониторинга, а также результаты их сравнения («больше», «меньше», «равно» и иные). Правила регистрации признаков возможного возникновения компьютерных инцидентов также могут содержать операторы выполнения действий в зависимости от соответствия переменных (объектов, принимающих несколько значений) заданному условию, циклические и иные операторы, позволяющие повысить эффективность и точность описания критериев отбора событий безопасности и иных данных мониторинга.
Решение о наличии или отсутствии признака возможного возникновения компьютерного инцидента принимается на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.
При автоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов информация о данном зарегистрированном признаке передается из средства управления событиями информационной безопасности в средство управления инцидентами, где на основании поступившей информации автоматически формируется карточка признака возможного возникновения компьютерного инцидента [из 5.2.1 Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом ГОСТ Р 59712-2022]