ГОСТ Р 59710-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

УПРАВЛЕНИЕ КОМПЬЮТЕРНЫМИ ИНЦИДЕНТАМИ

Общие положения

Information protection. Computer incident management. General provisions

ОКС 35.020

Дата введения 2023-02-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным казенным учреждением "Войсковая часть 43753" (в/ч 43753), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2022 г. N 1376-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

С целью обеспечения защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками, создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

В рамках функционирования ГосСОПКА устанавливается единый структурированный подход к организации и ведению деятельности по управлению компьютерными инцидентами, взаимосвязанной с общей деятельностью по обеспечению информационной безопасности в целом, направленный на обеспечение эффективного реагирования на компьютерные инциденты. Такой подход предусматривает реализацию следующих стадий управления компьютерными инцидентами:

- организация деятельности по управлению компьютерными инцидентами;

- обнаружение и регистрация компьютерных инцидентов;

- реагирование на компьютерные инциденты;

- анализ результатов деятельности по управлению компьютерными инцидентами.

Принципы единого структурированного подхода к организации и ведению деятельности по управлению компьютерными инцидентами в рамках функционирования ГосСОПКА определены в следующих стандартах:

а) ГОСТ Р 59710 (настоящий стандарт) - определяет содержание следующих стадий управления компьютерными инцидентами:

1) организация деятельности по управлению компьютерными инцидентами;

2) обнаружение и регистрация компьютерных инцидентов;

3) реагирование на компьютерные инциденты;

4) анализ результатов деятельности по управлению компьютерными инцидентами;

б) ГОСТ Р 59711 - определяет содержание этапов организации деятельности по управлению компьютерными инцидентами, а именно:

1) разработка политики управления компьютерными инцидентами;

2) разработка плана реагирования на компьютерные инциденты;

3) определение подразделения, ответственного за управление компьютерными инцидентами;

4) организация взаимодействия с подразделениями внутри организации и с внешними организациями;

5) материально-техническое оснащение подразделения, ответственного за управление компьютерными инцидентами;

6) организация обучения и информирования в части управления компьютерными инцидентами;

7) проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты;

в) ГОСТ Р 59712 - определяет содержание этапов, выполняемых на стадиях:

1) обнаружение и регистрация компьютерных инцидентов;

2) реагирование на компьютерные инциденты;

3) анализ результатов деятельности по управлению компьютерными инцидентами.

     1 Область применения

Настоящий стандарт является основополагающим для серии стандартов по управлению компьютерными инцидентами в рамках функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). В настоящем стандарте определено содержание стадий управления компьютерными инцидентами.

Настоящий стандарт предназначен как для субъектов ГосСОПКА, самостоятельно осуществляющих управление компьютерными инцидентами в отношении собственных информационных ресурсов, так и для субъектов ГосСОПКА, в зону ответственности которых входят информационные ресурсы, принадлежащие другим субъектам ГосСОПКА (далее - организации).

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 59547 Защита информации. Мониторинг информационной безопасности. Общие положения

ГОСТ Р 59709 Защита информации. Управление компьютерными инцидентами. Термины и определения

ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами

ГОСТ Р 59712 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59709 и ГОСТ Р 59547.

     4 Общие положения

4.1 Общие принципы управления компьютерными инцидентами

Для обнаружения компьютерных инцидентов используют результаты проводимого в организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга, необходимых для поиска признаков возможного возникновения компьютерных инцидентов. Такие признаки представляют собой совокупность зарегистрированных событий безопасности и иных данных мониторинга, а также условий, при которых такая совокупность зарегистрированных событий безопасности и иных данных мониторинга может свидетельствовать о возможном возникновении компьютерного инцидента. Для сбора событий безопасности и иных данных мониторинга и последующего поиска признаков возможного возникновения компьютерных инцидентов, как правило, применяют средства управления событиями информационной безопасности. Такие средства позволяют осуществлять сбор, нормализацию, агрегацию событий безопасности и иных данных мониторинга и на основании настроенных правил (далее - правила регистрации признаков возможного возникновения компьютерных инцидентов) проводить автоматизированный анализ и корреляцию событий безопасности и иных данных мониторинга.

Примечания

1 Понятие "признак возможного возникновения компьютерных инцидентов" применяют в связи с тем, что средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая может свидетельствовать о возникновении компьютерного инцидента, а не сам факт его возникновения.

2 Сбор информации о событиях безопасности и иных данных мониторинга, необходимых для обнаружения компьютерных инцидентов, осуществляется в соответствии с ГОСТ Р 59547.