6.4.1. В организации БС РФ рекомендуется установить и документировать регламенты выполнения деятельности на следующих этапах:
- стадия обнаружения и оповещения о событиях ИБ;
- стадия оценки событий ИБ, обнаружения инцидента ИБ и оповещения об инциденте ИБ;
- стадия сбора и фиксации информации об инциденте ИБ;
- стадия закрытия инцидента ИБ.
Указанные регламенты разрабатываются службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения бизнес-процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждаются руководством организации БС РФ, например куратором ГРИИБ.
6.4.2. В регламенты обнаружения и оповещения о событиях ИБ рекомендуется включать:
- детальный перечень событий ИБ, при обнаружении которых работники организации БС РФ осуществляют оповещение оператора-диспетчера ГРИИБ;
- детальное описание способов первичного документирования информации о событиях ИБ работниками организации БС РФ, выявившими событие ИБ;
- детальное описание процедур оповещения оператора-диспетчера ГРИИБ и передачи оператору-диспетчеру ГРИИБ документов, содержащих информацию об обнаруженных событиях ИБ;
- детальное описание процедур регистрации оператором-диспетчером ГРИИБ информации об обнаруженном событии ИБ;
- описание порядка хранения информации о событиях ИБ, в том числе в электронном виде.
6.4.3. При формировании перечня событий ИБ рекомендуется осуществлять группирование событий ИБ по уровням информационной инфраструктуры организации БС РФ.
Основными источниками событий ИБ являются:
- технические и программные средства мониторинга ИБ и контроля эксплуатации применяемых защитных мер;
- работники организации БС РФ, выявляющие события ИБ;
- клиенты и партнеры организации БС РФ, включая работников сторонних организаций, имеющих доступ к информационным активам, находящихся под управлением (в распоряжении) организации БС РФ.
6.4.4. В качестве источников информации о событиях ИБ организации БС РФ, формируемых техническими и программными средствами мониторинга ИБ и контроля эксплуатации применяемых защитных мер, рекомендуется использовать:
- регистрационные журналы систем управления, контроля и мониторинга ИБ;
- системные журналы операционных систем;
- системные журналы систем управления базами данных;
- регистрационные журналы прикладного программного обеспечения;
- регистрационные журналы активного сетевого оборудования;
- регистрационные журналы применяемых средств защиты информации, в том числе средств защиты информации от несанкционированного доступа, средств защиты от воздействия вредоносного кода, регистрационные журналы специализированных программно-технических средств обнаружения вторжений и сетевых атак, программного обеспечения проверки целостности файлов;
- информацию специализированных устройств контроля физического доступа, в том числе телевизионных систем охранного наблюдения, систем контроля и управления доступом и охранной сигнализации.
6.4.5. Перечень событий ИБ, выявляемых работниками организации БС РФ, клиентами и партнерами организации БС РФ, составляется экспертным методом и регулярно пересматривается и корректируется, в том числе в связи с возможным появлением новых угроз ИБ, информационных активов, видов деятельности.
Для определения перечня событий ИБ может быть использован примерный перечень типов событий ИБ, приведенный в приложении 1 к настоящему документу, который рекомендуется скорректировать применительно к специфике деятельности конкретной организации БС РФ.
6.4.6. Способы первичного документирования информации о событиях ИБ должны обеспечивать придание юридической значимости собираемой информации, для чего рекомендуется руководствоваться следующими принципами: