ГОСТ Р 59709-2022
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
УПРАВЛЕНИЕ КОМПЬЮТЕРНЫМИ ИНЦИДЕНТАМИ
Термины и определения
Information protection. Computer incident management. Terms and definitions
ОКС 35.020
Дата введения 2023-02-01
1 РАЗРАБОТАН Федеральным государственным казенным учреждением "Войсковая часть 43753" (в/ч 43753), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2022 г. N 1375-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
В настоящем стандарте стандартизованы термины в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты для их дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов.
Установленные в настоящем стандарте термины расположены в систематизированном порядке, отражающем систему понятий в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации.
Приведенные определения можно, при необходимости, изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.
Стандартизированные термины набраны полужирным шрифтом, а их краткие формы, представленные аббревиатурой, - светлым.
Настоящий стандарт содержит термины и определения основных понятий, используемых в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, применяемых в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Термины, установленные в настоящем стандарте, предназначены для применения во всех видах документации, входящей в область применения стандарта.
Настоящий стандарт необходимо применять совместно с ГОСТ Р 27.102, ГОСТ Р 59547.
Термины, приведенные в настоящем стандарте, соответствуют положениям [1].
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 27.102 Надежность в технике. Надежность объекта. Термины и определения
ГОСТ Р 59547 Защита информации. Мониторинг информационной безопасности. Общие положения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети "Интернет" или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
1 государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; ГосСОПКА: Единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Силы государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
2 силы государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; силы ГосСОПКА: Национальный координационный центр по компьютерным инцидентам (НКЦКИ), центры ГосСОПКА, а также подразделения и должностные лица субъектов ГосСОПКА, которые осуществляют деятельность в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
3 субъекты государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; субъекты ГосСОПКА: Государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных соглашений, а также регламентов взаимодействия осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Примечание - Порядок заключения соглашений и регламентов взаимодействия определяют документы уполномоченного федерального органа исполнительной власти.
4 национальный координационный центр по компьютерным инцидентам; НКЦКИ: Организация, осуществляющая на национальном уровне координацию деятельности сил субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также обмен информацией о компьютерных инцидентах с уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
5 зона ответственности (субъекта ГосСОПКА): Совокупность информационных ресурсов, в отношении которых субъект ГосСОПКА обеспечивает обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
6 центр государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; центр ГосСОПКА: Форма организации сил и средств ГосСОПКА по ведомственному, корпоративному, отраслевому и (или) территориальному принципам.
7 специалист по взаимодействию с персоналом и пользователями (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий прием сообщений от персонала и пользователей информационных ресурсов и подготовку информации для предоставления в НКЦКИ.
8 специалист по обнаружению компьютерных атак и инцидентов (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий анализ событий информационной безопасности (ИБ) с целью обнаружения компьютерных атак и инцидентов, а также регистрацию компьютерных атак и инцидентов.
9 специалист по обслуживанию средств центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; специалист по обслуживанию средств центра ГосСОПКА: Сотрудник центра ГосСОПКА, осуществляющий обеспечение функционирования средств, размещаемых в центре ГосСОПКА, а также дополнительных средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
10 специалист по оценке защищенности: Сотрудник, осуществляющий анализ возможности использования обнаруженных уязвимостей информационного ресурса для реализации компьютерных атак.
11 специалист по реагированию на компьютерные инциденты (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий координацию действий по локализации компьютерного инцидента, выявлению и ликвидации его последствий (приведению информационной инфраструктуры (ИИ) в штатный режим работы (функционирования)).
12 специалист по установлению причин компьютерных инцидентов (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий анализ компьютерных инцидентов с целью установления причин их возникновения, анализ последствий инцидентов и подготовку перечня компьютерных инцидентов для представления в НКЦКИ.
13 аналитик (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий анализ информации о зарегистрированных компьютерных инцидентах, анализ возможностей реализации угроз, связанных с компьютерными атаками, оценку обстановки, прогнозирование развития угроз реализации компьютерных атак, разработку рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов.
14 технический эксперт (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий экспертную поддержку в соответствии со специализацией (вредоносное программное обеспечение, применение специализированных технических средств, оценка защищенности и т.п.), формирование предложений по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов.
15 специалист [методист] (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий нормативно-правовое и методическое сопровождение деятельности центра ГосСОПКА.
16 руководитель (центра ГосСОПКА): Сотрудник центра ГосСОПКА, осуществляющий управление деятельностью центра ГосСОПКА, а также организующий взаимодействие с НКЦКИ, внесение изменений в соответствующие локальные нормативные акты и методические документы организации.
Средства государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
17 средства государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; средства ГосСОПКА: Технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак, технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак, технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак, технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, технические, программные, программно-аппаратные и иные средства обмена информацией, для которых имеется документальное подтверждение соответствия требованиям, установленным в нормативных правовых актах и методических документах ФСБ России.
Примечание - С учетом определений, представленных в 18-22.
18 технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак; средства обнаружения: Средства, предназначенные для управления сбором и анализом данных о регистрируемых событиях ИБ и иных данных с целью своевременного выявления компьютерных инцидентов, произошедших в том числе в результате компьютерных атак.
Примечание - Средства обнаружения реализуют функции по управлению событиями ИБ для обнаружения реализации компьютерных атак и другие функции в соответствии с нормативными правовыми актами и методическими документами ФСБ России. В качестве средств обнаружения могут, например, использоваться средства управления событиями ИБ.
19 технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак; средства предупреждения: Средства, предназначенные для сбора и обработки сведений, необходимых для формирования рекомендаций, направленных на ликвидацию, снижение вероятности реализации и тяжести последствий компьютерных атак.
20 технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак; средства ликвидации последствий: Средства, предназначенные для управления процессами регистрации компьютерных инцидентов, произошедших в том числе в результате компьютерных атак, а также управления процессами реагирования на компьютерные инциденты.
Примечание - Средства ликвидации последствий реализуют функции по управлению компьютерными инцидентами для ликвидации последствий компьютерных атак и другие функции в соответствии с нормативными правовыми актами и методическими документами ФСБ России. В качестве средств ликвидации последствий могут выступать средства управления инцидентами.
21 технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи; средства ППКА: Средства, предназначенные для обнаружения в сетях электросвязи, используемых для организации взаимодействия информационных ресурсов, признаков компьютерных атак по значениям служебных полей протоколов сетевого взаимодействия, а также осуществления сбора, накопления и статистической обработки результатов такого обнаружения.
22 технические, программные, программно-аппаратные и иные средства обмена информацией; средства обмена: Средства, предназначенные для обеспечения передачи, приема и целостности при передаче и приеме информации, необходимой субъектам ГосСОПКА при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты.
Информационные ресурсы
23 информационная инфраструктура (субъекта ГосСОПКА); ИИ: Информационные ресурсы, а также сети электросвязи, используемые для организации их взаимодействия.
24 информационные ресурсы (входящие в зону ответственности субъекта ГосСОПКА): Информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.
25 элементы информационной инфраструктуры (субъекта ГосСОПКА), элементы ИИ: Программно-технические средства (средства вычислительной техники), обладающие функциями хранения, обработки и (или) передачи информации, входящие в состав ИИ.
Компьютерные атаки и компьютерные инциденты
26
инцидент информационной безопасности; инцидент ИБ: Непредвиденное или нежелательное событие (группа событий) ИБ, которое привело (могут привести) к нарушению функционирования информационного ресурса или возникновению угроз безопасности информации или нарушению требований по защите информации. [Адаптировано из [2], приложение N 1] |
27 компьютерный инцидент: Факт нарушения и (или) прекращения функционирования информационного ресурса, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе информации, в том числе произошедший в результате компьютерной атаки.
Примечание - Компьютерные инциденты представляют собой подмножество инцидентов ИБ, которое характеризуется подтвержденным фактом нарушения и (или) прекращения функционирования информационного ресурса, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе информации.
28 карточка компьютерного инцидента: Документ установленной формы, предназначенный для формализованного описания компьютерных инцидентов.
29 тип компьютерного инцидента: Классификация разновидностей компьютерных инцидентов.