6.1 Общие положения
В организации, планирующей ведение деятельности по управлению компьютерными инцидентами, должна быть разработана и внедрена политика управления компьютерными инцидентами, которая определяет общий порядок ведения деятельности по управлению компьютерными инцидентами, а также лиц, которые будут принимать участие в данной деятельности, их роли и обязанности.
К процессу разработки политики управления компьютерными инцидентами следует привлекать работников организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.
Политика управления компьютерными инцидентами должна быть согласована или утверждена руководителем организации или уполномоченным им лицом.
6.2 Содержание политики управления компьютерными инцидентами
Политику управления компьютерными инцидентами следует разрабатывать как высокоуровневый документ.
В политике управления компьютерными инцидентами должны быть определены:
- цели ведения деятельности по управлению компьютерными инцидентами;
- информация о ресурсах, в отношении которых будет вестись деятельность по управлению компьютерными инцидентами (зона ответственности);
- общие сведения о том, что для организации является компьютерным инцидентом.
Примечания
1 К компьютерным инцидентам относят инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.
2 Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютерных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их подтверждения.
3 Понятие "признак возможного возникновения компьютерных инцидентов" применяется в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного инцидента;