8.1 Общие положения ГОСТ Р 59712–2022
Стадия «анализ результатов деятельности по управлению компьютерными инцидентами» включает в себя следующие этапы:
- приобретение и накопление опыта по результатам управления компьютерными инцидентами;
- разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов;
- оценка результатов и эффективности реагирования на компьютерные инциденты.
[из 8.1 Общие положения ГОСТ Р 59712-2022]
8.2 Приобретение и накопление опыта по результатам управления компьютерными инцидентами ГОСТ Р 59712–2022
Процесс приобретения и накопления опыта является важной составляющей ведения деятельности по управлению компьютерными инцидентами. После завершения всех этапов реагирования на компьютерный инцидент важно, чтобы организация приобрела и накопила опыт управления компьютерными инцидентами.
Приобретение и накопление опыта по результатам управления компьютерными инцидентами позволяет:
- идентифицировать методы и способы обнаружения и регистрации компьютерных инцидентов и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов;
- доработать (актуализировать) документацию в части управления компьютерными инцидентами, том числе политику управления компьютерными инцидентами и план реагирования на компьютерные инциденты.
Все изменения (корректировки, дополнения), предлагаемые к внесению в план реагирования на компьютерные инциденты, относящиеся к этапам «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты», должны быть надлежащим образом проверены и протестированы, т. е. должны быть проведены тренировки по отработке мероприятий плана реагирования на компьютерные инциденты в соответствии с положениями ГОСТ Р 59711 [из 8.2 Приобретение и накопление опыта по результатам управления компьютерными инцидентами ГОСТ Р 59712-2022]
8.3 Разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712–2022
По результатам реагирования на компьютерные инциденты и установления причин и условий их возникновения следует разрабатывать рекомендации по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов. Такие рекомендации могут включать:
- рекомендации по принятию дополнительных мер защиты информации в соответствии с нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти (ФСБ России и ФСТЭК России), в том числе доработку (актуализацию) и (или) разработку документации, регламентирующей вопросы обеспечения безопасности организации;
- рекомендации по повышению защищенности информационных ресурсов от компьютерных атак;
- рекомендации по устранению технических причин и условий, способствующих проведению деструктивного воздействия на информационные ресурсы.
[из 8.3 Разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712-2022]
8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты ГОСТ Р 59712–2022
После завершения всех этапов реагирования на компьютерный инцидент следует проводить оценку результатов и эффективности предпринятых действий.
Такая оценка направлена на то, чтобы определить, насколько эффективны те или иные процессы и процедуры реагирования на компьютерные инциденты.
Оценку результатов и эффективности действий, предпринятых на каждом этапе реагирования на компьютерный инцидент, целесообразно проводить в отношении компьютерных инцидентов со средним, высоким и критическим уровнями влияния и на основании задокументированных результатов реагирования.
Также, после завершения всех этапов реагирования на компьютерный инцидент, целесообразно проводить рабочие совещания со специалистами всех подразделений, участвующих в деятельности по управлению компьютерными инцидентами на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».
На рабочем совещании целесообразно обсудить следующие вопросы:
- оценка достаточности и эффективности процессов и процедур реагирования на компьютерные инциденты, изложенных в плане;
- предложения по включению в план реагирования на компьютерные инциденты дополнительных процессов и процедур, которые могли бы повысить эффективность действий, выполняемых на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
- предложения по использованию дополнительных инструментальных средств с целью повышения эффективности реагирования и установления причин и условий возникновения компьютерных инцидентов;
- оценка эффективности обмена информацией о компьютерных инцидентах между всеми сторонами, принимающими участие на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».
Примечание - Оценка результатов и эффективности реагирования на компьютерные инциденты может осуществляться на основании следующих показателей:
- среднее время проведения проверки признаков возможного возникновения компьютерных инцидентов;
- среднее время определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;
- среднее время локализации компьютерных инцидентов;
- среднее время выявления последствий компьютерных инцидентов;
- среднее время ликвидации последствий компьютерных инцидентов;
- среднее время реагирования на компьютерные инциденты;
- процент компьютерных инцидентов, для которых были нарушены сроки выполнения этапов реагирования.
[из 8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты ГОСТ Р 59712-2022]
ГОСТ Р 59712–2022 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты
ГОСТ Р 59712-2022 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты. Information protection. Computer incident management.Guide to responding to computer incident. УДК 004.622:006.354 ОКС 35.020. Редакция от 25.01.2023.