6.1 Общие положения ГОСТ Р 59712-2022
Стадия «реагирование на компьютерные инциденты» состоит из следующих последовательных этапов:
- определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;
- локализация компьютерного инцидента;
- выявление последствий компьютерного инцидента;
- ликвидация последствий компьютерного инцидента;
- закрытие компьютерного инцидента.
Отдельными этапами в рамках стадии «реагирование на компьютерные инциденты» являются:
- фиксация материалов, связанных с возникновением компьютерного инцидента;
- установление причин и условий возникновения компьютерного инцидента.
Примечание - Данные этапы могут проводиться параллельно с остальными этапами реагирования и даже после этапа «закрытие компьютерного инцидента». Выполнение данных этапов не влияет на закрытие компьютерного инцидента.
Описание этапов «фиксация материалов, связанных с возникновением компьютерного инцидента» и «установление причин и условий возникновения компьютерного инцидента» представлено в разделе 7 [из 6.1 Общие положения ГОСТ Р 59712-2022]
6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022
На этапе «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры, на которых имеются признаки зарегистрированного компьютерного инцидента, с целью их дальнейшей локализации.
На рисунке 1 представлена схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры».
Рисунок 1 – Схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры»
Для определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры следует изучить состояние элементов информационной инфраструктуры.
Изучение состояния элементов информационной инфраструктуры допускается осуществлять с использованием программных и (или) программно-технических средств, предназначенных:
а) для получения доступа к файловой системе;
б) получения доступа к журналам регистрации событий безопасности:
- операционной системы (ОС);
- средств защиты информации (антивирусные средства, средства обнаружения компьютерных атак и иные средства защиты информации);
- прикладного программного обеспечения (ПО);
в) сканирования файловой системы с целью выявления вредоносного ПО;
г) проведения инвентаризации;
д) проведения анализа уязвимостей;
е) оценки работоспособности и производительности элементов информационной инфраструктуры;
ж) получения информации из службы каталогов;
и) получения параметров сетевых настроек и информации о сетевой активности элементов информационной инфраструктуры;
к) анализа сетевого трафика, циркулирующего между элементами информационной инфраструктуры, а также другими функционирующими в сети Интернет ресурсами, в том числе зафиксированного в момент возникновения компьютерного инцидента (при наличии такой возможности);
л) обнаружения компьютерных атак.
[из 6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022]
6.3 Локализация компьютерного инцидента ГОСТ Р 59712-2022
На этапе «локализация компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на ограничение функционирования элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент, с целью предотвращения его дальнейшего распространения.
На рисунке 2 представлена схема организационного процесса этапа «локализация компьютерного инцидента».
Рисунок 2 - Схема организационного процесса этапа «локализация компьютерного инцидента»
К примерам возможных действий, которые могут выполняться при локализации компьютерных инцидентов, можно отнести:
- применение блокировок (использование межсетевого экрана).
Примечание - Блокировки с использованием межсетевых экранов используются для предотвращения несанкционированного воздействия. Например, с использованием межсетевого экрана можно заблокировать информационные потоки с IP-адресов, с которых распространяется вредоносное ПО, шпионское ПО, а также IP-адресов почтовых ретрансляторов, источников фишинга и спама. Почтовые блокировки включают в себя фильтрацию вложений, строк темы и адреса отправителей. Для предотвращения доступа к неразрешенным или вредоносным веб-сайтам или хостам (узлам) могут применяться блокировки URL-адресов и доменных имен;
- отключение (изоляция, исключение).
Примечание - Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от локальной вычислительной сети может предотвратить заражение остальной части информационной инфраструктуры. Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от сети Интернет или любых других общедоступных сетей связи может предотвратить несанкционированный доступ и, соответственно, нарушение конфиденциальности, целостности и доступности информации. В некоторых случаях целесообразно осуществлять мониторинг вредоносной активности, ограничив при этом возможности злоумышленника атаковать другие информационные ресурсы;
- выключение.
Примечание - Если дальнейшее функционирование элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) приведет к уничтожению (потере) данных, может быть принято решение о прекращении функционирования элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом). Следует учитывать, что выключение элемента информационной инфраструктуры может отрицательно сказаться на работе конкретных пользователей, сервисов и различных критических процессов. Данное решение должно приниматься в координации с соответствующим руководителем и (или) ответственными за эксплуатацию информационных ресурсов организации;
- изменения маршрутизации.
Примечание - Изменения маршрутизации осуществляются с целью устранения маршрута, по которому действует злоумышленник, препятствуя ему в получении доступа к информационным ресурсам, которые могут являться объектами атаки, а также блокирования механизмов передачи (распространения) вредоносного ПО;
- отключение или блокирование процессов.
Примечание - В данном случае осуществляется отключение или блокирование процессов, которые могли быть использованы злоумышленником;
- отключение учетных записей пользователей.
Примечание - В данном случае осуществляется отключение учетных записей пользователей, которые могли быть использованы злоумышленником.
Любые изменения в информационных ресурсах, включая действия по локализации компьютерного инцидента, могут привести к потере (уничтожению) информации, связанной с возникновением компьютерного инцидента (цифровых свидетельств). Следует убедиться, что вся информация, необходимая для установления причин и условий возникновения компьютерных инцидентов (цифровые свидетельства), собрана в полном объеме перед внесением каких-либо системных изменений [из 6.3 Локализация компьютерного инцидента ГОСТ Р 59712-2022]
6.4 Выявление последствий компьютерного инцидента ГОСТ Р 59712-2022
На этапе «выявление последствий компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на выявление признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент.
При выявлении признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, специалисты, входящие в состав рабочей группы реагирования на компьютерный инцидент, должны провести детальный анализ имеющихся данных о компьютерном инциденте.
На рисунке 3 представлена схема организационного процесса этапа «выявление последствий компьютерного инцидента».
К примерам признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, которые выявляются в ходе анализа имеющихся данных о компьютерном инциденте, можно отнести следующее:
- нештатная сетевая активность элемента информационной инфраструктуры;
- созданные, модифицированные, удаленные файлы, каталоги, параметры настройки ОС, средств защиты информации, прикладного ПО;
- отклонения от эталонных (допустимых) параметров конфигурации ОС, средств защиты информации, прикладного ПО;
- отклонения от эталонного (допустимого) состава прикладного ПО, установленного в ОС;
- отклонения от эталонного (допустимого) содержания системных и защищаемых файлов;
- выполненные потенциально вредоносные команды, в том числе расположенные в оперативной памяти;
- признаки, идентифицирующие источник компьютерной атаки;
- признаки сбоев, перезагрузок, остановок и других нарушений в штатной работе ОС, средств защиты информации, прикладного ПО;
Рисунок 3 - Схема организационного процесса этапа «выявление последствий компьютерного инцидента»
- признаки нарушений функционирования сетевых служб, аномального использования системных ресурсов;
- другая информация, характерная для отдельных типов компьютерных инцидентов и компьютерных атак.
[из 6.4 Выявление последствий компьютерного инцидента ГОСТ Р 59712-2022]
6.5 Ликвидация последствий компьютерного инцидента ГОСТ Р 59712-2022
На этапе «ликвидация последствий компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на устранение последствий негативного влияния компьютерного инцидента на информационный ресурс (по возможности) и (или) восстановление элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) и (или) обрабатываемой в нем информации.
На рисунке 4 представлена схема организационного процесса этапа «ликвидация последствий компьютерного инцидента».
Рисунок 4 - Схема организационного процесса этапа «ликвидация последствий компьютерного инцидента»
К примерам возможных действий, которые могут быть выполнены для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне сети, можно отнести:
а) внесение изменений в параметры настроек ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент;
б) отключение неиспользуемых функций телекоммуникационного оборудования (например, отключение уязвимых сервисов или протоколов, которые использовались для распространения вредоносного ПО);
в) смена аутентификационной информации скомпрометированных учетных записей пользователей:
- на телекоммуникационном оборудовании;
- средствах межсетевого экранирования;
- средствах защиты от компьютерных атак, направленных на отказ в обслуживании;
г) внесение изменений в правила фильтрации межсетевых экранов;
д) внесение изменений в параметры очистки трафика в средствах защиты от компьютерных атак, направленных на отказ в обслуживании;
е) подключение резервных ресурсов (каналы связи, серверное оборудование, виртуальные машины, оборудование из состава запасных инструментов и принадлежностей);
ж) миграция (перемещение) виртуальных машин в сторонние виртуальные инфраструктуры.
К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне прикладного ПО, можно отнести:
- выполнение настройки безопасной конфигурации прикладного или специального ПО, вовлеченного в компьютерный инцидент;
- восстановление из актуальных резервных копий файлов, баз данных, конфигурационных файлов, подвергшихся модификации при компьютерном инциденте;
- восстановление удаленных файлов, в том числе с использованием специальных инструментальных средств;
- удаление ПО, вовлеченного в компьютерный инцидент, и всех его файлов с последующей установкой актуальной версии данного ПО и актуальных обновлений безопасности.
К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне ОС, можно отнести:
- удаление вредоносного ПО;
- отмена изменений, внесенных вредоносным ПО (например, удаление созданных вредоносным ПО файлов, отмена выполненных изменений в конфигурации и настройках ОС, удаление созданных вредоносным ПО учетных записей);
- смена аутентификационной информации для скомпрометированных учетных записей пользователей в ОС;
- восстановление средств защиты информации, функционирующих в среде ОС;
- восстановление ОС в целом;
- настройка безопасной конфигурации средств защиты информации, функционирующих в среде ОС;
- настройка безопасной конфигурации ОС;
- переустановка ОС и прикладного ПО с последующей установкой актуальных обновлений безопасности.
[из 6.5 Ликвидация последствий компьютерного инцидента ГОСТ Р 59712-2022]
6.6 Закрытие компьютерного инцидента ГОСТ Р 59712-2022
Решение о закрытии компьютерного инцидента принимается по результатам проверки специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерный инцидент), в ходе которой определяется полнота выполненных и запротоколированных действий по реагированию на компьютерный инцидент, выполненных на каждом этапе реагирования на компьютерный инцидент.
Карточки компьютерных инцидентов после закрытия соответствующих компьютерных инцидентов не должны удаляться, так как они могут быть использованы в дальнейшем как типовые шаблоны действий по реагированию на аналогичные компьютерные инциденты и при проведении анализа деятельности по их управлению.
Примечание - Карточки закрытых компьютерных инцидентов могут использоваться в качестве типовых шаблонов действий по реагированию на аналогичные компьютерные инциденты в организации с целью формирования базы знаний, доступной специалистам, входящим в состав рабочих групп реагирования на компьютерные инциденты при работе с новыми компьютерными инцидентами [из 6.6 Закрытие компьютерного инцидента ГОСТ Р 59712-2022]