Точный
Статус документа
Статус документа

ГОСТ Р 59712-2022 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты

     5 Обнаружение и регистрация компьютерных инцидентов

5.1 Общие положения

Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга из различных источников.

Примечание - Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.

Стадия "обнаружение и регистрация компьютерных инцидентов" включает в себя следующие этапы:

- регистрация признаков возможного возникновения компьютерных инцидентов;

- подтверждение компьютерных инцидентов.

5.2 Регистрация признаков возможного возникновения компьютерных инцидентов

Регистрация признаков возможного возникновения компьютерных инцидентов может осуществляться как автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов, так и неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от работников организации).

Примечание - Понятие "признак возможного возникновения компьютерных инцидентов" применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения.

5.2.1 Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом

Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом осуществляется с использованием средства управления событиями информационной безопасности на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.

Правила регистрации признаков возможного возникновения компьютерных инцидентов должны позволять реализовать один или совокупность следующих методов анализа, направленных на выявление причинно-следственной связи между событиями безопасности и иными данными мониторинга:

- сигнатурные методы, основанные на сопоставлении конкретных признаков и условий взаимосвязей событий безопасности и иных данных мониторинга;