Из ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами

ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами. Information protection. Computer incidents management. Organization of computer incidents management activities. УДК 004.622:006.354 ОКС 35.020. Редакция от 27.01.2023.

1 Область применения ГОСТ Р 59711-2022

Настоящий стандарт определяет содержание этапов организации деятельности по управлению компьютерными инцидентами.

Настоящий стандарт предназначен как для субъектов ГосСОПКА, самостоятельно осуществляющих управление компьютерными инцидентами в отношении собственных информационных ресурсов, так и для субъектов ГосСОПКА, в зону ответственности которых входят информационные ресурсы, принадлежащие другим субъектам ГосСОПКА.

Примечание - В настоящем стандарте «субъекты ГосСОПКА» названы «организациями» [из 1 Область применения ГОСТ Р 59711-2022]

    10 Материально-техническое оснащение подразделения, ответственного за управление компьютерными инцидентами ГОСТ Р 59711-2022

      10.1 Общие положения ГОСТ Р 59711-2022

      Для обеспечения своевременного и эффективного обнаружения, регистрации и реагирования на компьютерные инциденты в организации должны быть внедрены соответствующие программные и программно-технические средства.

      Организация должна обеспечить, чтобы автоматизированные средства, используемые для управления компьютерными инцидентами, в совокупности осуществляли поддержку, как минимум, следующей деятельности:

      • сбор информации о событиях безопасности и иных данных мониторинга, а также регистрация с использованием собранных данных, компьютерных инцидентов.

      Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляют в соответствии с ГОСТ Р 59547;

      • сбор и обработка сведений, необходимых для формирования рекомендаций по предотвращению компьютерных инцидентов и (или) снижению опасности их последствий.

      Примечание - К таким сведениям относятся сведения о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен, сведения об известных уязвимостях используемого программного обеспечения, сведения о компьютерных сетях, состоящих из управляемых с использованием вредоносного программного обеспечения СВТ, включая сведения об их управляющих серверах;

      • организация и контроль процессов реагирования на компьютерные инциденты, в том числе оповещение специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами;
      • организация взаимодействия (обмена информацией) с внешними организациями;
      • обеспечение защиты собранных данных мониторинга, результатов их обработки, а также результатов реагирования на компьютерные инциденты;
      • обеспечение резервного копирования;
      • подготовка данных для обмена информацией о компьютерных инцидентах с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

      [из 10.1 Общие положения ГОСТ Р 59711-2022]

        10.2 Примеры программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами ГОСТ Р 59711-2022

        В состав программных и программно-технических средств, обеспечивающих деятельность подразделения, ответственного за управление компьютерными инцидентами, могут входить как средства для автоматизации деятельности по управлению компьютерными инцидентами, так и средства, являющиеся источниками событий безопасности.

        К средствам, обеспечивающим деятельность подразделения, ответственного за управление компьютерными инцидентами, могут относиться:

        • средства управления событиями информационной безопасности;
        • средства для предупреждения компьютерных атак;
        • средства управления инцидентами;
        • средства обмена информацией;
        • средства криптографической защиты информации;
        • средства анализа программного обеспечения, сетевого трафика, а также электронных образов носителей информации;
        • средства обнаружения компьютерных атак (система обнаружения вторжений);
        • межсетевые экраны;
        • антивирусные средства;
        • средства резервного копирования и восстановления информации;
        • средства доверенной загрузки;
        • средства контроля съемных машинных носителей информации;
        • средства контроля подключения устройств;
        • средства анализа защищенности;
        • средства защиты от несанкционированного доступа;
        • средства контроля целостности;
        • замкнутая среда предварительного выполнения программ.

        [из 10.2 Примеры программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами ГОСТ Р 59711-2022]

          11 Организация обучения и информирования в части управления компьютерными инцидентами ГОСТ Р 59711-2022

          В рамках обучения и информирования в области информационной безопасности работников организации целесообразно предусматривать получение знаний в области управления компьютерными инцидентами.

          Для специалистов подразделения, ответственного за управление компьютерными инцидентами, а также специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами, должен быть разработан отдельный план обучения. Каждой группе специалистов, участвующих в деятельности по управлению компьютерными инцидентами, может потребоваться разный уровень подготовки в зависимости от выполняемых ими задач в соответствии с планом реагирования на компьютерные инциденты.

          В процессе проведения обучения (инструктажей, курсов и т.п.) до специалистов, участвующих в деятельности по управлению компьютерными инцидентами, должна быть доведена следующая информация:

          • порядок выполнения действий, предусмотренных планом реагирования на компьютерные инциденты;
          • порядок ведения (составления) отчетности;
          • перечень полномочий и ограничений в рамках деятельности по управлению компьютерными инцидентами.

          Обучение должно сопровождаться конкретными упражнениями и тестированием для специалистов подразделения, ответственного за управление компьютерными инцидентами, а также специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами.

          В дальнейшем на регулярной основе должны быть проведены инструктажи [из 11 Организация обучения и информирования в части управления компьютерными инцидентами ГОСТ Р 59711-2022]

            12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022

            В ходе деятельности по управлению компьютерными инцидентами должны быть запланированы и проведены на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Тренировки должны предусматривать как моделирование различных сценариев, которые могут варьироваться от серьезных (сложных) компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атак, сбоев или неисправностей, так и проведение теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. В тренировках должны принимать участие как специалисты подразделения, ответственного за управление компьютерными инцидентами, так и специалисты смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами.

            Все участники тренировок должны быть проинформированы о том, что они имеют дело с действиями, имитирующими компьютерный инцидент. Данная информация необходима для того, чтобы исключить действия по реагированию, приводящие к негативным последствиям для критических процессов организации.

            Примечание - Для проведения тренировок могут быть применены тестовые системы, в которых могут быть имитированы компьютерные атаки и (или) особенности контролируемых информационных ресурсов. Такие тестовые системы также могут быть использованы для тестирования программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами.

            Информирование участников может не осуществляться в случае проведения тренировок в контролируемых условиях, препятствующих влиянию тренировок на критические процессы организации.

            Тренировки могут быть проведены в форме:

            • обсуждения (дискуссии);
            • командных тренингов;
            • практического занятия;
            • смешанной (использование всех трех форм).

            Выбор формы тренировки зависит от цели, которую планируется достичь, а также от наличия времени и ресурсов.

            Тренировка преследует следующие основные цели:

            • подтверждение применимости на практике плана реагирования на компьютерные инциденты и выявление потенциальных недостатков;
            • проверка готовности специалистов, участвующих в деятельности по управлению компьютерными инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты;
            • тестирование существующих процессов и процедур реагирования на компьютерные инциденты.

            При разработке организацией плана реагирования на компьютерные инциденты или его актуализации проводят тренировки для проверки его применимости. После введения плана реагирования на компьютерные инциденты в действие проводят тренировки для проверки готовности специалистов подразделения, ответственного за управление компьютерными инцидентами, и специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами. После того как существующие процессы и процедуры отработаны, должны быть проведены периодические тренировки для подтверждения актуальности плана реагирования на компьютерные инциденты.

            В таблице 2 представлены формы тренировок и цели, для которых они могут быть проведены.

            Таблица 2 - Формы тренировок и цели

            Цель проведения тренировки

            Форма проведения тренировки

            Подтверждение применимости на практике плана реагирования на компьютерные инциденты и выявление потенциальных недостатков

            обсуждения (дискуссии); командные тренинги

            Проверка готовности специалистов, участвующих в деятельности по управлению компьютерными инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты

            обсуждения (дискуссии); командные тренинги; практические занятия

            Тестирование существующих процессов и процедур реагирования на компьютерные инциденты

            командные тренинги; практические занятия

            При планировании тренировок необходимо учитывать следующие вопросы:

            • проводится ли тренировка в рамках одной организации или будут участвовать внешние организации;
            • специалисты каких подразделений организации будут участвовать в тренировках.

            Для успешного проведения тренировок необходимо выполнить ряд задач, основные из которых представлены ниже:

            • краткое ознакомление участников с целями проведения тренировок;
            • распределение ролей и обязанностей между участниками;
            • обеспечение сопровождения участников в процессе тренировок;
            • предоставление временных ресурсов, необходимых для проведения тренировок, в том числе для проведения анализа результатов тренировок;
            • разработка отчетных материалов по результатам проведения тренировок и их доведение до всех участников тренировок.

            [из 12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]

              2 Нормативные ссылки ГОСТ Р 59711-2022

              В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

              [из 2 Нормативные ссылки ГОСТ Р 59711-2022]

                3 Термины и определения ГОСТ Р 59711-2022

                В настоящем стандарте применены термины по ГОСТ Р 59709 и ГОСТ Р 59547 [из 3 Термины и определения ГОСТ Р 59711-2022]

                  4 Сокращения ГОСТ Р 59711-2022

                  В настоящем стандарте применены следующие сокращения:

                  [из 4 Сокращения ГОСТ Р 59711-2022]

                    5 Общие положения ГОСТ Р 59711-2022

                    Стадия «организация деятельности по управлению компьютерными инцидентами» в рамках деятельности по управлению компьютерными инцидентами состоит из следующих этапов:

                    [из 5 Общие положения ГОСТ Р 59711-2022]

                      Страницы

                      Подписка на Из ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами