6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022

На этапе «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры, на которых имеются признаки зарегистрированного компьютерного инцидента, с целью их дальнейшей локализации.

На рисунке 1 представлена схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры».

- Рисунок 1 – Схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры»

Рисунок 1 – Схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры»

Для определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры следует изучить состояние элементов информационной инфраструктуры.

Изучение состояния элементов информационной инфраструктуры допускается осуществлять с использованием программных и (или) программно-технических средств, предназначенных:

а) для получения доступа к файловой системе;

б) получения доступа к журналам регистрации событий безопасности:

  1. операционной системы (ОС);
  2. средств защиты информации (антивирусные средства, средства обнаружения компьютерных атак и иные средства защиты информации);
  3. прикладного программного обеспечения (ПО);

в) сканирования файловой системы с целью выявления вредоносного ПО;

г) проведения инвентаризации;

д) проведения анализа уязвимостей;

е) оценки работоспособности и производительности элементов информационной инфраструктуры;

ж) получения информации из службы каталогов;

и) получения параметров сетевых настроек и информации о сетевой активности элементов информационной инфраструктуры;

к) анализа сетевого трафика, циркулирующего между элементами информационной инфраструктуры, а также другими функционирующими в сети Интернет ресурсами, в том числе зафиксированного в момент возникновения компьютерного инцидента (при наличии такой возможности);

л) обнаружения компьютерных атак.

[из 6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022]