ГОСТ Р 59710-2022 Защита информации. Управление компьютерными инцидентами. Общие положения

     4 Общие положения

4.1 Общие принципы управления компьютерными инцидентами

Для обнаружения компьютерных инцидентов используют результаты проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга, необходимых для поиска признаков возможного возникновения компьютерных инцидентов. Такие признаки представляют собой совокупность зарегистрированных событий безопасности и иных данных мониторинга, а также условий, при которых такая совокупность зарегистрированных событий безопасности и иных данных мониторинга может свидетельствовать о возможном возникновении компьютерного инцидента. Для сбора событий безопасности и иных данных мониторинга и последующего поиска признаков возможного возникновения компьютерных инцидентов, как правило, применяют средства управления событиями информационной безопасности. Такие средства позволяют осуществлять сбор, нормализацию, агрегацию событий безопасности и иных данных мониторинга и на основании настроенных правил (далее - правила регистрации признаков возможного возникновения компьютерных инцидентов) проводить автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга.

Примечания

1 Понятие "признак возможного возникновения компьютерных инцидентов" применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения.

2 Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.