НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
УПРАВЛЕНИЕ КОМПЬЮТЕРНЫМИ ИНЦИДЕНТАМИ
Организация деятельности по управлению компьютерными инцидентами
Information protection. Computer incidents management. Organization of computer incidents management activities
ОКС 35.020
Дата введения 2023-02-01
1 РАЗРАБОТАН Федеральным государственным казенным учреждением "Войсковая часть 43753", (в/ч 43753), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2022 г. N 1377-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Серия стандартов "Управление компьютерными инцидентами" определяет единый структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами в рамках функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
В соответствии с ГОСТ Р 59710 структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами предусматривает следующие стадии управления компьютерными инцидентами:
- организация деятельности по управлению компьютерными инцидентами;
- обнаружение и регистрация компьютерных инцидентов;
- реагирование на компьютерные инциденты;
- анализ результатов деятельности по управлению компьютерными инцидентами.
Настоящий стандарт определяет содержание этапов организации деятельности по управлению компьютерными инцидентами.
Настоящий стандарт определяет содержание этапов организации деятельности по управлению компьютерными инцидентами.
Настоящий стандарт предназначен как для субъектов ГосСОПКА, самостоятельно осуществляющих управление компьютерными инцидентами в отношении собственных информационных ресурсов, так и для субъектов ГосСОПКА, в зону ответственности которых входят информационные ресурсы, принадлежащие другим субъектам ГосСОПКА.
Примечание - В настоящем стандарте "субъекты ГосСОПКА" названы "организациями".
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования
ГОСТ Р 59547 Защита информации. Мониторинг информационной безопасности. Общие положения
ГОСТ Р 59709 Защита информации. Управление компьютерными инцидентами. Термины и определения
ГОСТ Р 59710 Защита информации. Управление компьютерными инцидентами. Общие положения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
В настоящем стандарте применены термины по ГОСТ Р 59709 и ГОСТ Р 59547.
В настоящем стандарте применены следующие сокращения:
ГосСОПКА | - Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; |
КИИ | - критическая информационная инфраструктура; |
СВТ | - средство вычислительной техники. |
Стадия "организация деятельности по управлению компьютерными инцидентами" в рамках деятельности по управлению компьютерными инцидентами состоит из следующих этапов:
- разработка политики управления компьютерными инцидентами;
- разработка плана реагирования на компьютерные инциденты;
- определение подразделения, ответственного за управление компьютерными инцидентами;
- организация взаимодействия с подразделениями внутри организации и с внешними организациями;
- материально-техническое оснащение подразделения, ответственного за управление компьютерными инцидентами;
- организация обучения и информирования в части управления компьютерными инцидентами;
- проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты.
6.1 Общие положения
В организации, планирующей ведение деятельности по управлению компьютерными инцидентами, должна быть разработана и внедрена политика управления компьютерными инцидентами, которая определяет общий порядок ведения деятельности по управлению компьютерными инцидентами, а также лиц, которые будут принимать участие в данной деятельности, их роли и обязанности.
К процессу разработки политики управления компьютерными инцидентами следует привлекать работников организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.
Политика управления компьютерными инцидентами должна быть согласована или утверждена руководителем организации или уполномоченным им лицом.
6.2 Содержание политики управления компьютерными инцидентами
Политику управления компьютерными инцидентами следует разрабатывать как высокоуровневый документ.
В политике управления компьютерными инцидентами должны быть определены:
- цели ведения деятельности по управлению компьютерными инцидентами;
- информация о ресурсах, в отношении которых будет вестись деятельность по управлению компьютерными инцидентами (зона ответственности);
- общие сведения о том, что для организации является компьютерным инцидентом.
Примечания
1 К компьютерным инцидентам относят инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.
2 Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютерных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их подтверждения.
3 Понятие "признак возможного возникновения компьютерных инцидентов" применяется в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного инцидента;
- высокоуровневый обзор или визуализация процесса управления компьютерными инцидентами в части стадий "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты";
- описание организационной структуры подразделения, ответственного за управление компьютерными инцидентами, в том числе ролей специалистов подразделения, их обязанностей и полномочий.
7.1 Общие положения
План реагирования на компьютерные инциденты должен содержать подробные пошаговые инструкции к действиям, выполняемым на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты", с учетом организационной структуры организации, особенностей ее информационной инфраструктуры, применяемых программных и программно-технических средств, типов компьютерных инцидентов, их приоритетов и уровней влияния.
Примечания
1 В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осуществляющая координацию деятельности в части управления компьютерными инцидентами.
Организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.
2 Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б.
3 План реагирования на компьютерные инциденты может включать различные приложения, например инструкции, регламенты и иные документы, в соответствии с которыми осуществляется деятельность по обнаружению, регистрации, принятию решений и действий, связанных с реагированием на компьютерные инциденты.
Разработку плана реагирования на компьютерные инциденты должен координировать руководитель подразделения, ответственного за управление компьютерными инцидентами, и она должна быть выполнена с учетом положений политики управления компьютерными инцидентами.
Для разработки плана реагирования на компьютерные инциденты должны привлекаться работники организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.
Примечание - К процессу согласования плана могут быть привлечены иные лица, определенные руководителем организации или уполномоченным им лицом.
Разработанный план должен быть согласован с руководителем подразделения, ответственного за управление компьютерными инцидентами, и утвержден руководителем организации или уполномоченным им лицом и в порядке информирования представлен в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами.
7.2 Содержание плана реагирования на компьютерные инциденты
План реагирования на компьютерные инциденты должен включать:
а) общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и реагирования на них, включая:
1) технические характеристики и состав контролируемых информационных ресурсов организации;