ГОСТ Р ИСО/МЭК ТО 18044—2007
ние может осуществляться, например, детекторами огня/дыма или с помощью охранной сигнализации
путем передачи сигналов тревоги в заранее определенные места (для осуществления человеком опре
деленныхдействий). Технические события ИБ могут обнаруживаться автоматически, например, это мо
гут быть сигналы тревоги, производимые устройствами анализа записей аудита, межсетевыми
экранами, системами обнаружения вторжений, антивирусными программами, в каждом случаестимули
руемые заранее установленными параметрами этих устройств.
Независимо от причины обнаружения события ИБ. лицо, непосредственнообратившее внимание на
нечто необычное или оповещенное автоматическими средствами, несет ответственность за инициирова
ние процесса обнаружения и оповещения. Этим лицом может быть любой представитель персонала орга
низации. работающий постоянно или по контракту. Этот представитель должен следовать процедурам и
использовать форму отчета о событиях ИБ. определенную системой менеджмента инцидентов ИБ. с
целью привлечения внимания, прежде всего, группы обеспечения эксплуатации и менеджмента. Следова
тельно. важно, чтобы весь персонал был ознакомлен с рекомендациями, относящимися к вопросу опове
щения о возможных событиях ИБ. включая формы отчета, имелдоступ к ним и знал сотрудников, которых
необходимо оповещать о каждом случае появления события ИБ. Необходимо, чтобы весь персонал орга
низации был, по крайней мере, осведомлен о форме отчета, что способствовало бы егопониманию систе
мы менеджмента инцидентов ИБ.
Обработка конкретногособытия ИБ зависит от того, чтоонособой представляет, а такжеот послед
ствий и воздействий, к которым это событие может привести. Для многих людей принятие решения о
способе обработки события выходит за пределы их компетентности. Поэтому сотрудник, информирую
щий о событии ИБ, должен заполнить форму отчета так. чтобы в ней было как можно больше информа ции.
доступной ему на тот момент. При необходимости он связывается со своим руководителем.
Желательно, чтобы эта форма была в электронном виде (например, послана по электронной почте или
представлена на веб-сайте), чтобы ее можно было передать безопасным способом в надлежащую груп пу
обеспечения эксплуатации (работающую, по возможности. 24 ч в сутки по семь дней в неделю), а ко пию
сообщения — руководителю ГРИИБ. Образец формы отчета сообщения о событии ИБ приведен в
приложении А.
Следует подчеркнуть, что при заполнении формы отчета важна не только точность содержания, но
и своевременность заполнения. Не следует задерживать представление формы отчета о событии ИБ по
причине уточнения ее содержания. Если сообщающий сотрудник не уверен в данных какого-либо поля в
форме отчета, то это поле должно быть помечено, а уточнение — послано позже. Также следует
при знать. что некоторые механизмы электронного оповещения (например электронная почта) сами
являют ся очевидными целями атаки.
При наличии проблем или при существовании мнения о наличии проблем с установленными по
умолчанию механизмами электронного оповещения (например электронной почтой), включая случаи
атаки на систему и считывание формы отчета несанкционированными лицами, должны использоваться
альтернативные средства связи. Альтернативными средствами связи могут быть нарочные, телефон,
текстовые сообщения. Такие альтернативные средства должны использоваться на ранних стадиях рас
следования. когда становится очевидным, что событие ИБ будет переведено в категорию инцидента ИБ.
особенно такого инцидента ИБ. который может считаться значительным.
Следует заметить, что. хотя в большинстве случаев группа обеспечения эксплуатации должна со
общать о событии ИБ с целью его дальнейшей обработки, могут быть случаи, когда событие ИБ может
быть обработано на месте с помощью местного руководства. Событие ИБ можно быстро распознать как
ложную тревогу или успешно разрешить. В этих случаях форму отчетов необходимо заполнить и отпра
вить местному руководству, а также группе обеспечения эксплуатации и ГРИИБ с целью ее регистрации в
базе данных событий/инцидентов ИБ. В этом случае лицо, сообщающее о закрытии события ИБ. мо жет
предоставить информацию, требуемую для заполнения формы отчета об инцидентах ИБ. В этом случае
такая форма отчета об инциденте ИБ должна быть заполнена и отправлена по инстанции.
8.4 Оценка и принятие решений по событиям/инцидентам
8.4.1 Первая оценка и предварительное решение
В группе обеспечения эксплуатации системы менеджмента инцидентов ИБ принимающее лицо
должно подтвердить получение заполненной формы отчета, ввести ее в базуданных событий/инциден
тов ИБ и проанализировать данную форму отчета. Далее должностное лицо должно попытаться полу
чить любые уточнения от сообщившего лица о событии ИБ и собрать требуемую дополнительную
информацию, считающуюся доступной, как от сообщившего о событии лица, так и из любого другого
места. Затем представитель группы обеспечения эксплуатации должен провести оценку для определе
ния. подходит ли это событие под категорию инцидента ИБ или является ложным. Если событие ИБ
23