6.1 Общие положения ГОСТ Р 59711–2022
В организации, планирующей ведение деятельности по управлению компьютерными инцидентами, должна быть разработана и внедрена политика управления компьютерными инцидентами, которая определяет общий порядок ведения деятельности по управлению компьютерными инцидентами, а также лиц, которые будут принимать участие в данной деятельности, их роли и обязанности.
К процессу разработки политики управления компьютерными инцидентами следует привлекать работников организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.
Политика управления компьютерными инцидентами должна быть согласована или утверждена руководителем организации или уполномоченным им лицом [из 6.1 Общие положения ГОСТ Р 59711-2022]
6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711–2022
Политику управления компьютерными инцидентами следует разрабатывать как высокоуровневый документ.
В политике управления компьютерными инцидентами должны быть определены:
- цели ведения деятельности по управлению компьютерными инцидентами;
- информация о ресурсах, в отношении которых будет вестись деятельность по управлению компьютерными инцидентами (зона ответственности);
- общие сведения о том, что для организации является компьютерным инцидентом.
- К компьютерным инцидентам относят инциденты, характеризующиеся наличием факта нарушения и (или) прекращения функционирования информационных ресурсов субъектов ГосСОПКА, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе субъектов ГосСОПКА информации, необходимой для обеспечения критических процессов (ее конфиденциальности, целостности или доступности), в том числе произошедших в результате компьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов.
- Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютерных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их подтверждения.
- Понятие «признак возможного возникновения компьютерных инцидентов» применяется в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного инцидента;
- высокоуровневый обзор или визуализация процесса управления компьютерными инцидентами в части стадий «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
- описание организационной структуры подразделения, ответственного за управление компьютерными инцидентами, в том числе ролей специалистов подразделения, их обязанностей и полномочий.
[из 6.2 Содержание политики управления компьютерными инцидентами ГОСТ Р 59711-2022]
7.1 Общие положения ГОСТ Р 59711–2022
План реагирования на компьютерные инциденты должен содержать подробные пошаговые инструкции к действиям, выполняемым на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты», с учетом организационной структуры организации, особенностей ее информационной инфраструктуры, применяемых программных и программно-технических средств, типов компьютерных инцидентов, их приоритетов и уровней влияния.
- В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осуществляющая координацию деятельности в части управления компьютерными инцидентами. Организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами, является Национальный координационный центр по компьютерным инцидентам.
- Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложениях А и Б.
- План реагирования на компьютерные инциденты может включать различные приложения, например инструкции, регламенты и иные документы, в соответствии с которыми осуществляется деятельность по обнаружению, регистрации, принятию решений и действий, связанных с реагированием на компьютерные инциденты.
Разработку плана реагирования на компьютерные инциденты должен координировать руководитель подразделения, ответственного за управление компьютерными инцидентами, и она должна быть выполнена с учетом положений политики управления компьютерными инцидентами.
Для разработки плана реагирования на компьютерные инциденты должны привлекаться работники организации, которые могут принимать участие в деятельности по управлению компьютерными инцидентами.
Примечание - К процессу согласования плана могут быть привлечены иные лица, определенные руководителем организации или уполномоченным им лицом.
Разработанный план должен быть согласован с руководителем подразделения, ответственного за управление компьютерными инцидентами, и утвержден руководителем организации или уполномоченным им лицом и в порядке информирования представлен в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами [из 7.1 Общие положения ГОСТ Р 59711-2022]
7.2 Содержание плана реагирования на компьютерные инциденты ГОСТ Р 59711–2022
План реагирования на компьютерные инциденты должен включать:
а) общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и реагирования на них, включая:
- технические характеристики и состав контролируемых информационных ресурсов организации;
- перечень типов компьютерных инцидентов, которые в организации требуется обнаруживать и регистрировать с указанием их уровней влияния, приоритетов и конкретных способов обнаружения и регистрации.
Примечание - Перечень типов компьютерных инцидентов, которые в организации требуется обнаруживать и регистрировать, формируют на основании установленных в утвержденной политике управления компьютерными инцидентами сведений о том, что для организации является компьютерным инцидентом.
Также может быть предусмотрен дополнительный тип компьютерных инцидентов (например, «прочее»). Его цель состоит в том, чтобы обеспечить регистрацию компьютерных инцидентов, не соответствующих ни одному из определенных ранее типов компьютерных инцидентов;
3) порядок формирования состава рабочих групп реагирования на компьютерные инциденты.
Примечание - Состав рабочих групп реагирования на компьютерные инциденты может зависеть:
- от информационного ресурса, в котором зарегистрирован компьютерный инцидент (в составе рабочей группы реагирования на компьютерные инциденты должны быть специалисты подразделений, ответственных за эксплуатацию информационного ресурса, на котором произошел компьютерный инцидент, так как только эти специалисты обладают правами доступа к информационному ресурсу, позволяющими выполнять все необходимые действия по реагированию на компьютерный инцидент);
- территориального расположения информационного ресурса (реагирование на компьютерные инциденты, произошедшие на территориально удаленных объектах, целесообразно проводить с привлечением специалистов, находящихся на этих объектах);
- типа компьютерного инцидента (при реагировании на определенные типы компьютерных инцидентов может возникать необходимость привлечения специалистов, обладающих определенными экспертными знаниями и (или) умениями);
4) перечень лиц, привлекаемых к реагированию на компьютерные инциденты, а также их функции и обязанности;
5) порядок осуществления доступа к информации о ходе реагирования на компьютерный инцидент и к данным мониторинга, на основании которых он зарегистрирован, работников организации, входящих в состав рабочей группы реагирования на компьютерные инциденты.
Примечание - Совместное использование информации о ходе реагирования на компьютерный инцидент и данных мониторинга, на основании которых он зарегистрирован, всеми участниками процесса по реагированию на компьютерный инцидент обеспечит повышение эффективности реагирования;
6) установленные сроки выполнения этапов реагирования на компьютерные инциденты.
Примечание - Сроки выполнения этапов реагирования на компьютерные инциденты устанавливают с учетом их уровней влияния;
7) порядок принятия решения о необходимости привлечения к реагированию на компьютерный инцидент организации, осуществляющей координацию деятельности по управлению компьютерными инцидентами.
Примечания
1 На основании данного порядка специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), будет понимать, при каких обстоятельствах требуется привлечение организации, осуществляющей координацию деятельности по управлению компьютерными инцидентами. Например, это может потребоваться, когда компьютерный инцидент не может быть взят под контроль или ожидается, что он будет иметь критические последствия для организации.
2 Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты), осуществляют следующую деятельность:
- проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;
- регистрация компьютерных инцидентов в случае их подтверждения;
- контроль выполнения этапов реагирования на компьютерные инциденты.
3 Компьютерный инцидент считается «находящимся под контролем», если удалось принять меры, которые позволили предотвратить вовлечение в инцидент новых элементов информационной инфраструктуры и увеличение масштаба негативных последствий;
8) порядок регистрации действий, выполняемых на стадии «реагирование на компьютерные инциденты».
Примечание - Порядок регистрации действий, выполняемых на стадии «реагирование на компьютерные инциденты» должен предусматривать регистрацию всех действий, выполняемых на каждом этапе стадии «реагирование на компьютерный инцидент», так как после закрытия компьютерного инцидента данная информация может быть полезной для приобретения и накопления опыта, который может использоваться для предотвращения повторного возникновения компьютерных инцидентов и повышения эффективности процедур реагирования на компьютерные инциденты;
9) порядок проведения мероприятий по реагированию на компьютерные инциденты совместно с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.
Примечание - Подпункты 7 и 9 пункта а) «Общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и реагирования на них» не являются обязательными для включения в план реагирования на компьютерные инциденты. При включении данных пунктов в план проект плана, до его утверждения, должен быть представлен в федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования ГосСОПКА;
б) порядок обнаружения и регистрации компьютерных инцидентов, включая:
1) перечень и описание правил регистрации признаков возможного возникновения компьютерных инцидентов.
Примечание - Описание правила регистрации признаков возможного возникновения компьютерного инцидента должно содержать перечень событий безопасности и иных данных мониторинга, а также связей между ними и дополнительных условий, на основании которых принимают решение о регистрации такого признака;
2) порядок приема специалистами подразделения, ответственного за управление компьютерными инцидентами, сведений об обнаруженных признаках возможного возникновения компьютерных инцидентов от работников организации;
3) порядок проведения проверки фактов возникновения компьютерных инцидентов;
4) формы карточек компьютерных инцидентов, которые формируют при регистрации компьютерных инцидентов разных типов.
Примечание - В формах карточек должны быть определены поля, которые заполняются автоматическим способом, и поля, которые заполняют специалисты, входящие в состав рабочих групп реагирования на компьютерные инциденты;
5) перечень и формы отчетов, формируемых на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».
Примечание - В рамках деятельности по управлению компьютерными инцидентами могут быть сформированы различные статистические отчеты по зарегистрированным компьютерным инцидентам, отчеты с показателями эффективности работы рабочих групп реагирования на компьютерные инциденты, сводные отчеты о результатах деятельности по реагированию на компьютерные инциденты за различные периоды времени и иные отчеты, состав которых должен быть определен в плане;
в) порядок реагирования на компьютерные инциденты, включая:
1) порядок определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;
2) порядок локализации компьютерных инцидентов.
Примечание - При локализации компьютерного инцидента применяют меры, направленные на ограничение функционирования информационных ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения. Примерами таких мер являются отключение СВТ, на которых обнаружены признаки компьютерных инцидентов, от локальной вычислительной сети, отключение служб или процессов, уязвимости которых используются для распространения вредоносного программного обеспечения, блокирование потоков информации на межсетевых экранах. Меры, принимаемые при локализации компьютерных инцидентов, определяют для установленных в плане реагирования на компьютерные инциденты типов компьютерных инцидентов;
3) ситуации, при которых требуется прекратить действия по реагированию на компьютерный инцидент.
Примечание - К таким ситуациям могут относиться случаи, при которых действия по реагированию на компьютерный инцидент, например, связанные с приостановкой или прекращением функционирования информационного ресурса, могут негативно влиять на критические процессы организации. Для каждой из таких ситуаций должна быть предусмотрена необходимость привлечения руководства организации, экспертных организаций, организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами, иных лиц и (или) организаций для определения и (или) выполнения дальнейших действий по реагированию на компьютерный инцидент;
4) порядок контроля процесса реагирования на компьютерные инциденты со стороны специалистов, ответственных за реагирование на компьютерные инциденты (руководителей рабочих групп реагирования на компьютерные инциденты).
Примечание - Контроль предусматривает отслеживание сроков реагирования на компьютерные инциденты и проверку результатов реагирования на компьютерные инциденты для принятия решения об их закрытии или возврате на один из предыдущих этапов реагирования. Если в ходе контроля реагирования на компьютерные инциденты установлено, что имеются проблемы по локализации и ликвидации последствий компьютерного инцидента, и предполагается, что он будет оказывать серьезные негативные воздействия на критические процессы организации, то целесообразно направить обращение в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами, об оказании содействия в реагировании на компьютерный инцидент;
5) порядок действий в процессе выявления и ликвидации последствий компьютерных инцидентов;
6) порядок закрытия компьютерных инцидентов;
7) порядок фиксации материалов, связанных с возникновением компьютерных инцидентов, и установления причин и условий их возникновения.
[из 7.2 Содержание плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]
7.3 Применение плана реагирования на компьютерные инциденты ГОСТ Р 59711–2022
К деталям плана реагирования на компьютерные инциденты должны иметь доступ только специалисты подразделения, ответственного за управление компьютерными инцидентами. Для других работников организации, привлекаемых к реагированию на компьютерные инциденты, на основании плана реагирования на компьютерные инциденты необходимо разрабатывать отдельные инструкции, определяющие их функции и задачи в рамках реагирования на компьютерные инциденты, которые должны содержать только касающиеся соответствующих работников сведения. Например, такими задачами могут быть:
- отключение информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры (отдельное СВТ, входящее в состав комплекса программно-технических средств), вовлеченного в компьютерный инцидент, при локализации компьютерного инцидента;
- мониторинг состояния информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры, вовлеченного в компьютерный инцидент, при локализации компьютерного инцидента;
- определение перечня удаленных или поврежденных в результате компьютерного инцидента объектов при выявлении последствий компьютерных инцидентов;
- фиксация материалов, связанных с возникновением компьютерного инцидента (цифровых свидетельств);
- восстановление информационного ресурса в целом, его отдельного сегмента, сервиса или элемента информационной инфраструктуры, вовлеченного в компьютерный инцидент из резервных копий (как способа восстановления работоспособности), или выполнение иных процедур восстановления;
- передача информации о компьютерных инцидентах специалистам смежных подразделений, а также внешним организациям, в том числе в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами.
Каждому работнику организации, привлекаемому к реагированию на компьютерные инциденты, могут быть определены одна или несколько ролей в рамках деятельности по реагированию на компьютерные инциденты.
В процессе реагирования на компьютерные инциденты работникам организации, привлекаемым к реагированию на компьютерные инциденты, необходимо предоставлять доступ к информации, полученной по результатам реагирования на компьютерные инциденты, только в случае необходимости и только в необходимом объеме [из 7.3 Применение плана реагирования на компьютерные инциденты ГОСТ Р 59711-2022]
7.4 Обработка информации ограниченного доступа ГОСТ Р 59711–2022
Отчетные материалы, формируемые в ходе деятельности по управлению компьютерными инцидентами, могут содержать информацию ограниченного доступа, поэтому при ведении деятельности по управлению компьютерными инцидентами важно обеспечить защиту такой информации.
Если в ходе деятельности по управлению компьютерными инцидентами используются данные мониторинга, получаемые из информационных ресурсов, защита которых осуществляется в соответствии с законодательством Российской Федерации, то защита таких данных и результатов их обработки (карточки компьютерных инцидентов и иные отчеты) также должна осуществляться в соответствии с законодательством Российской Федерации.
Защита информации должна быть обеспечена и при организации взаимодействия с внешними организациями, в том числе с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами [из 7.4 Обработка информации ограниченного доступа ГОСТ Р 59711-2022]
8.1 Подходы к определению подразделения, ответственного за управление компьютерными инцидентами ГОСТ Р 59711–2022
Одним из важнейших этапов организации деятельности по управлению компьютерными инцидентами является определение в организации соответствующего структурного подразделения, специалисты которого будут выполнять следующие задачи:
- обнаружение и регистрацию компьютерных инцидентов;
- организацию и контроль процессов реагирования на компьютерные инциденты с привлечением специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, и (или) непосредственное выполнение действий по реагированию;
- анализ результатов деятельности по управлению компьютерными инцидентами с целью идентификации методов и способов обнаружения и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов, предотвращения повторного возникновения компьютерных инцидентов и доработки (актуализации) документации в части управления компьютерными инцидентами.
Организация может определить ответственным за управление компьютерными инцидентами существующее штатное подразделение, ответственное за обеспечение безопасности информации и (или) за защиту информации (из состава подразделений (работников) по информационной безопасности организации, находящихся под общим руководством), создать новое подразделение (в составе подразделений (работников) по информационной безопасности организации, находящихся под общим руководством) или присоединиться к зоне ответственности внешнего подразделения, оказывающего услуги по управлению компьютерными инцидентами.
Эффективность деятельности подразделения, ответственного за управление компьютерными инцидентами, зависит от организованного взаимодействия со всеми подразделениями организации, участвующими в деятельности по управлению компьютерными инцидентами.
Подразделение, ответственное за управление компьютерными инцидентами, должно иметь соответствующие полномочия. Принципиально важно, чтобы все подразделения организации были уведомлены о полномочиях специалистов подразделения, ответственного за управление компьютерными инцидентами. Для этих целей в организации должны быть сформированы соответствующие приказы и (или) распоряжения руководителя организации или уполномоченного им лица.
Если для организации деятельности по управлению компьютерными инцидентами планируется создать новое подразделение, целесообразно, чтобы его организационная структура учитывала особенности его зоны ответственности. На рисунке 1 представлены примеры структуры подразделения, ответственного за управление компьютерными инцидентами.
Рисунок 1 - Примеры структуры подразделения, ответственного за управление компьютерными инцидентами
Выделяют следующие типы структур подразделений, ответственных за управление компьютерными инцидентами:
- обособленная;
- иерархическая;
- удаленная (распределенная).
Обособленная структура подразделения, ответственного за управление компьютерными инцидентами, не предусматривает наличие подчиненных подразделений. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами в рамках одной зоны ответственности.
Иерархическая структура подразделения, ответственного за управление компьютерными инцидентами, предусматривает наличие нескольких подразделений, подчиненных головному подразделению. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами в интересах одной организации, имеющей филиалы, или в зону ответственности которых входят информационные ресурсы, принадлежащие другим организациям.
Удаленная (распределенная) структура подразделения, ответственного за управление компьютерными инцидентами, предусматривает удаленную деятельность по управлению компьютерными инцидентами. Такой тип структуры обычно подходит подразделениям, которые ведут деятельность по управлению компьютерными инцидентами на удаленных объектах или в зону ответственности которых входят информационные ресурсы, принадлежащие другим организациям. При таком типе структуры подразделение, ответственное за управление компьютерными инцидентами, привлекает для реагирования на компьютерные инциденты специалистов подразделений, ответственных за эксплуатацию информационных ресурсов на этих удаленных объектах.
Организация может присоединиться (может быть включена) к зоне ответственности субъекта ГосСОПКА, оказывающего услуги по управлению компьютерными инцидентами, на основании договора или соглашения (например, в рамках функционирования ГосСОПКА в соответствии с законодательством Российской Федерации).
Сфера деятельности организации, а также характеристики и масштаб ее информационных ресурсов влияют на состав (объем) и формы оказания требуемых услуг по управлению компьютерными инцидентами [из 8.1 Подходы к определению подразделения, ответственного за управление компьютерными инцидентами ГОСТ Р 59711-2022]