5.3 Подтверждение компьютерных инцидентов ГОСТ Р 59712-2022

Подтверждение компьютерного инцидента осуществляется в ходе проведения проверки зарегистрированного признака возможного возникновения компьютерного инцидента.

Такая проверка проводится специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты).

Примечания

1 Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты) осуществляют следующую деятельность:

При осуществлении контроля выполнения этапов реагирования на компьютерные инциденты специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), должен принимать решение о необходимости привлечения организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

2 В рамках функционирования ГосСОПКА организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.

Регистрируемые признаки возможного возникновения компьютерных инцидентов распределяются между специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты), в порядке очереди и (или) с учетом предварительно определенных типов компьютерных инцидентов, и (или) географического местоположения информационных ресурсов, в которых регистрируются признаки возможного возникновения компьютерных инцидентов.

Примечание - В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осуществляющая координацию деятельности в части управления компьютерными инцидентами.

Проверка факта возникновения компьютерного инцидента предусматривает выполнение следующих процедур:

а) анализ информации, содержащейся в карточке признака возможного возникновения компьютерного инцидента.

Примечание - При анализе информации, содержащейся в карточке признака возможного возникновения компьютерного инцидента, проводят оценку информации, связанной с событиями безопасности, на основании которых был зарегистрирован признак возможного возникновения компьютерных инцидентов, для определения характера влияния на информационные ресурсы с целью принятия решения о регистрации компьютерного инцидента. При необходимости осуществляют сбор и внесение дополнительной информации. В случае подтверждения компьютерного инцидента осуществляют его регистрацию и создают карточку компьютерного инцидента.

В рамках функционирования ГосСОПКА формат и содержание карточек компьютерных инцидентов, компьютерных атак и уязвимостей определяется организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами;

б) сбор дополнительной информации, требуемой для подтверждения факта возникновения компьютерного инцидента (при необходимости), в ходе которого могут выполняться:

  1. опрос пользователей информационных ресурсов, вовлеченных в компьютерный инцидент;
  2. опрос специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, вовлеченных в компьютерный инцидент;
  3. получение данных о функционировании сервисов, обеспечивающих реализацию критических процессов организации;
  4. проверка журналов событий на предмет наличия свидетельств о несанкционированном просмотре, изменении или удалении информации;
  5. иные действия, позволяющие получить информацию, необходимую для принятия решения о регистрации компьютерного инцидента.

Примечание - Карточка признака возможного возникновения компьютерного инцидента должна содержать информацию обо всех событиях безопасности и иных данных мониторинга, которые послужили основанием для регистрации признака возможного возникновения компьютерного инцидента.

Для проведения проверки факта возникновения компьютерного инцидента специалисту, ответственному за реагирование на компьютерный инцидент (руководителю рабочей группы реагирования на компьютерные инциденты), требуется следующая информация:

  • подтверждающая или опровергающая факт приведения информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов;
  • подтверждающая или опровергающая факт нарушения безопасности информации, необходимой для обеспечения критических процессов (нарушение ее конфиденциальности, целостности и (или) доступности);

в) принятие решения о регистрации компьютерного инцидента, его приоритете и уровне влияния.

Примечания

1 Регистрация компьютерного инцидента осуществляется, если в ходе проверки подтвержден факт возникновения компьютерного инцидента. При регистрации компьютерного инцидента следует создавать карточку компьютерного инцидента.

Регистрация компьютерного инцидента не осуществляется, если в ходе проверки установлено, что регистрация признака возможного возникновения компьютерного инцидента является ложной.

Если в ходе проверки было установлено, что причиной регистрации признака возможного возникновения компьютерного инцидента является компьютерная атака, в случаях, если компьютерный инцидент не регистрируется, то должна формироваться карточка компьютерной атаки и карточка уязвимости.

2 Приоритеты и уровни влияния компьютерного инцидента могут определяться вместе с регистрацией признака возможного возникновения компьютерного инцидента при срабатывании правила, но они должны подтверждаться специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерные инциденты), и при необходимости уточняться.

Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б ГОСТ Р 59711-2022.

После подтверждения факта возникновения компьютерного инцидента осуществляется немедленное уведомление специалистов, входящих в состав рабочей группы, назначенной для реагирования на зарегистрированный компьютерный инцидент.

Примечание - Назначение рабочих групп для реагирования на компьютерный инцидент может осуществляться автоматически средством управления инцидентами для каждого типа компьютерного инцидента или не автоматически специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерные инциденты).

Одновременно с уведомлением специалистов, входящих в состав рабочей группы, назначенной для реагирования на зарегистрированный компьютерный инцидент, должно осуществляться уведомление организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами, с направлением карточки компьютерного инцидента (в случае регистрации компьютерного инцидента) или карточек компьютерной атаки и уязвимости, которые могли быть использованы при проведении компьютерной атаки (если в ходе проверки признака возможного возникновения компьютерного инцидента было установлено, что причиной его регистрации является компьютерная атака, в случаях если компьютерный инцидент не регистрируется) [из 5.3 Подтверждение компьютерных инцидентов ГОСТ Р 59712-2022]