Точный
Статус документа
Статус документа

ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами

     10 Материально-техническое оснащение подразделения, ответственного за управление компьютерными инцидентами

10.1 Общие положения

Для обеспечения своевременного и эффективного обнаружения, регистрации и реагирования на компьютерные инциденты в организации должны быть внедрены соответствующие программные и программно-технические средства.

Организация должна обеспечить, чтобы автоматизированные средства, используемые для управления компьютерными инцидентами, в совокупности осуществляли поддержку, как минимум, следующей деятельности:

- сбор информации о событиях безопасности и иных данных мониторинга, а также регистрация с использованием собранных данных, компьютерных инцидентов.

Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляют в соответствии с ГОСТ Р 59547;

- сбор и обработка сведений, необходимых для формирования рекомендаций по предотвращению компьютерных инцидентов и (или) снижению опасности их последствий.

Примечание - К таким сведениям относятся сведения о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен, сведения об известных уязвимостях используемого программного обеспечения, сведения о компьютерных сетях, состоящих из управляемых с использованием вредоносного программного обеспечения СВТ, включая сведения об их управляющих серверах;



- организация и контроль процессов реагирования на компьютерные инциденты, в том числе оповещение специалистов смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами;

- организация взаимодействия (обмена информацией) с внешними организациями;

- обеспечение защиты собранных данных мониторинга, результатов их обработки, а также результатов реагирования на компьютерные инциденты;

- обеспечение резервного копирования;

- подготовка данных для обмена информацией о компьютерных инцидентах с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

10.2 Примеры программных и программно-технических средств, обеспечивающих деятельность по управлению компьютерными инцидентами

В состав программных и программно-технических средств, обеспечивающих деятельность подразделения, ответственного за управление компьютерными инцидентами, могут входить как средства для автоматизации деятельности по управлению компьютерными инцидентами, так и средства, являющиеся источниками событий безопасности.