8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты ГОСТ Р 59712-2022

После завершения всех этапов реагирования на компьютерный инцидент следует проводить оценку результатов и эффективности предпринятых действий.

Такая оценка направлена на то, чтобы определить, насколько эффективны те или иные процессы и процедуры реагирования на компьютерные инциденты.

Оценку результатов и эффективности действий, предпринятых на каждом этапе реагирования на компьютерный инцидент, целесообразно проводить в отношении компьютерных инцидентов со средним, высоким и критическим уровнями влияния и на основании задокументированных результатов реагирования.

Также, после завершения всех этапов реагирования на компьютерный инцидент, целесообразно проводить рабочие совещания со специалистами всех подразделений, участвующих в деятельности по управлению компьютерными инцидентами на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».

На рабочем совещании целесообразно обсудить следующие вопросы:

  • оценка достаточности и эффективности процессов и процедур реагирования на компьютерные инциденты, изложенных в плане;
  • предложения по включению в план реагирования на компьютерные инциденты дополнительных процессов и процедур, которые могли бы повысить эффективность действий, выполняемых на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
  • предложения по использованию дополнительных инструментальных средств с целью повышения эффективности реагирования и установления причин и условий возникновения компьютерных инцидентов;
  • оценка эффективности обмена информацией о компьютерных инцидентах между всеми сторонами, принимающими участие на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».

Примечание - Оценка результатов и эффективности реагирования на компьютерные инциденты может осуществляться на основании следующих показателей:

  • среднее время проведения проверки признаков возможного возникновения компьютерных инцидентов;
  • среднее время определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;
  • среднее время локализации компьютерных инцидентов;
  • среднее время выявления последствий компьютерных инцидентов;
  • среднее время ликвидации последствий компьютерных инцидентов;
  • среднее время реагирования на компьютерные инциденты;
  • процент компьютерных инцидентов, для которых были нарушены сроки выполнения этапов реагирования.

[из 8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты ГОСТ Р 59712-2022]