Точный
Статус документа
Статус документа
Текст

ГОСТ Р 59712-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

УПРАВЛЕНИЕ КОМПЬЮТЕРНЫМИ ИНЦИДЕНТАМИ

Руководство по реагированию на компьютерные инциденты

Information protection. Computer incident management. Guide to responding to computer incident



ОКС 35.020

Дата введения 2023-02-01

Предисловие

     

1 РАЗРАБОТАН Федеральным государственным казенным учреждением "Войсковая часть 43753" (в/ч 43753), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2022 г. N 1378-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение


Серия стандартов "Управление компьютерными инцидентами" определяет единый структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами в рамках функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

В соответствии с ГОСТ Р 59710 структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами предусматривает следующие стадии управления компьютерными инцидентами:

- организация деятельности по управлению компьютерными инцидентами;

- обнаружение и регистрация компьютерных инцидентов;

- реагирование на компьютерные инциденты;

- анализ результатов деятельности по управлению компьютерными инцидентами.

Настоящий стандарт определяет содержание этапов, выполняемых на следующих стадиях:

- обнаружение и регистрация компьютерных инцидентов;

- реагирование на компьютерные инциденты;

- анализ результатов деятельности по управлению компьютерными инцидентами.

     1 Область применения

Настоящий стандарт определяет содержание этапов, выполняемых на следующих стадиях управления компьютерными инцидентами:

- обнаружение и регистрация компьютерных инцидентов;

- реагирование на компьютерные инциденты;

- анализ результатов деятельности по управлению компьютерными инцидентами.

Настоящий стандарт предназначен как для субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), самостоятельно осуществляющих управление компьютерными инцидентами в отношении собственных информационных ресурсов, так и для субъектов ГосСОПКА, в зону ответственности которых входят информационные ресурсы, принадлежащие другим субъектам ГосСОПКА (далее - организации).

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 59547 Защита информации. Мониторинг информационной безопасности. Общие положения

ГОСТ Р 59709 Защита информации. Управление компьютерными инцидентами. Термины и определения

ГОСТ Р 59710 Защита информации. Управление компьютерными инцидентами. Общие положения

ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59709 и ГОСТ Р 59547.

     4 Общие положения

Настоящий стандарт определяет содержание трех стадий управления компьютерными инцидентами, которые включают в себя соответствующие этапы:

а) обнаружение и регистрация компьютерных инцидентов:

1) регистрация признаков возможного возникновения компьютерных инцидентов;

2) подтверждение компьютерных инцидентов;

б) реагирование на компьютерные инциденты:

1) определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

2) локализация компьютерного инцидента;

3) выявление последствий компьютерного инцидента;

4) ликвидация последствий компьютерного инцидента;

5) закрытие компьютерного инцидента;

6) фиксация материалов, связанных с возникновением компьютерного инцидента;

7) установление причин и условий возникновения компьютерного инцидента;

в) анализ результатов деятельности по управлению компьютерными инцидентами:

1) приобретение и накопление опыта по результатам управления компьютерными инцидентами;

2) разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов;

3) оценка результатов и эффективности реагирования на компьютерные инциденты.

     5 Обнаружение и регистрация компьютерных инцидентов

5.1 Общие положения

Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга из различных источников.

Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.

Стадия "обнаружение и регистрация компьютерных инцидентов" включает в себя следующие этапы:

- регистрация признаков возможного возникновения компьютерных инцидентов;

- подтверждение компьютерных инцидентов.

5.2 Регистрация признаков возможного возникновения компьютерных инцидентов

Регистрация признаков возможного возникновения компьютерных инцидентов может осуществляться как автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов, так и неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации).

Примечание - Понятие "признак возможного возникновения компьютерных инцидентов" применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения.

5.2.1 Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом

Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом осуществляется с использованием средства управления событиями информационной безопасности на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.

Правила регистрации признаков возможного возникновения компьютерных инцидентов должны позволять реализовать один или совокупность следующих методов анализа, направленных на выявление причинно-следственной связи между событиями безопасности и иными данными мониторинга:

- сигнатурные методы, основанные на сопоставлении конкретных признаков и условий взаимосвязей событий безопасности и иных данных мониторинга;

- бессигнатурные методы, основанные на выявлении статистической и иной зависимости между событиями безопасности и иными данными мониторинга и формировании профилей функционирования информационных ресурсов.

Примечание - Профиль функционирования формируется по результатам поведенческого анализа, который содержит набор атрибутов и их значений. Такие данные характеризуют работу конкретного приложения в среде функционирования в определенный промежуток времени.

Сигнатурные методы анализа включают правила регистрации признаков возможного возникновения компьютерных инцидентов, создание и настройку которых осуществляет специалист подразделения, ответственного за управление компьютерными инцидентами.

Бессигнатурные методы анализа реализуются разработчиком средства управления событиями информационной безопасности в программном коде средства, алгоритмы которых не могут быть изменены специалистом подразделения, ответственного за управление компьютерными инцидентами.

Примечание - Правила регистрации признаков возможного возникновения компьютерных инцидентов могут содержать условия отбора событий безопасности и иных данных мониторинга в виде отдельных логических операций, например конъюнкция ("И"), дизъюнкция ("ИЛИ"), отрицание ("НЕ") и их комбинаций, критерии срабатывания правила, учитывающие количественные, временные и иные характеристики событий безопасности и иных данных мониторинга, а также результаты их сравнения ("больше", "меньше", "равно" и иные). Правила регистрации признаков возможного возникновения компьютерных инцидентов также могут содержать операторы выполнения действий в зависимости от соответствия переменных (объектов, принимающих несколько значений) заданному условию, циклические и иные операторы, позволяющие повысить эффективность и точность описания критериев отбора событий безопасности и иных данных мониторинга.

Решение о наличии или отсутствии признака возможного возникновения компьютерного инцидента принимается на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.

При автоматизированном способе регистрации признака возможного возникновения компьютерных инцидентов информация о данном зарегистрированном признаке передается из средства управления событиями информационной безопасности в средство управления инцидентами, где на основании поступившей информации автоматически формируется карточка признака возможного возникновения компьютерного инцидента.

5.2.2 Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом

Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом осуществляется специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации. Неавтоматизированная регистрация признаков возможного возникновения компьютерных инцидентов осуществляется в средстве управления инцидентами путем внесения в карточку признака возможного возникновения компьютерного инцидента необходимой информации.

5.3 Подтверждение компьютерных инцидентов

Подтверждение компьютерного инцидента осуществляется в ходе проведения проверки зарегистрированного признака возможного возникновения компьютерного инцидента.

Такая проверка проводится специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты).

Доступ к полной версии документа ограничен
Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.
Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».