ГОСТ Р ИСО/МЭК ТО 18044—2007
потребоваться больше времени, если уязвимое место для информационной системы, сервиса и (или)
для сети окажется существенным или критически важным.
Другим действием по реагированиюможет бытьактивизация методов наблюдения [4]. Это действие
должно осуществляться на основе процедур, документированных для системы менеджмента инциден
тов ИВ.
Информация, которая могла быть повреждена в результате инцидента ИБ, должна быть провере
на членом ГРИИБ по резервным записям на предмет изменения, стирания или модификации информа
ции. Может возникнуть необходимость проверки целостности журналов регистрации, поскольку
злонамеренный нарушитель может подделать их с целью сокрытия следов проникновения.
8.5.1.3 Обновление информации об инцидентах
Независимоот последующихдействий, сотрудник ГРИИБдолжен обновитьотчетоб инциденте ИБ
с максимальной детализацией, добавитьего в базу данных событий/инцидентов ИБ. оповестив об этом
руководителя ГРИИБ и (при необходимости) других лиц. Обновляют следующую информацию:
- о том. что представляет собой инцидент ИБ;
- о том, что явилось причиной, чем или кем он был вызван;
- на что воздействует или мог воздействовать;
- о фактическом или потенциальном воздействии инцидента ИБ на бизнес организации;
- об изменениях в указании на вероятную значительность или незначительность инцидента ИБ (по
шкале серьезности, принятой в организации);
- о том. как он обрабатывался до этого времени.
Если инцидент ИБ разрешен, то отчет должен содержать подробности предпринятых защитных
мор и извлеченных уроков (например дополнительные защитные меры, которые следует предпринять
для предотвращения повторного появления данного инцидента ИБ или подобных ему инцидентов
ИБ). Обновленный отчет следуетдобавлять в базу данных событий/инцидентов ИБ и уведомлять
руководи теля ГРИИБ и других лиц по их требованию.
ГРИИБ отвечает за обеспечение безопасного хранения информации, относящейся к данному ин
циденту ИБ. с целью возможного проведения дальнейшей экспертизы и возможного использования су
дом в качестве доказательства. Например, для инцидента ИБ. ориентированного на ИТ. после
первоначального обнаружения инцидента ИБ все непостоянные данные должны быть собраны до от
ключения пораженной системы ИТ, сервиса и (или) сети до проведения судебного расследования.
Предназначенная для сбора информация содержит сведения о любых функционирующих процессах и
хранится в памяти, кэше и регистрах. При этом необходимо:
- в зависимости от характера инцидента ИБ провести полное дублирование пораженной системы,
сервиса и(или)сети на случай судебного разбирательства или резервное копирование журналов и важ
ных файлов;
- собрать и проанализировать журналы соседних систем, сервисов и (или) сетей, например, мар
шрутизаторов и межсетевых экранов;
- всю собранную информацию хранить на носителях только для чтения;
- при выполнениидублирования наслучай судебного разбирательства обеспечить присутствие не
менее двух лиц для утверждения и подтверждения того, что вседействия были выполнены согласно
действующему нормативному законодательству;
- документировать и хранить вместе с исходными носителями спецификации и описания сервис
ных команд, которые используются для дублирования на случай судебного разбирательства.
Член ГРИИБ также является ответственным, если это возможно, во время обновления информа
ции об инцидентах ИБ за возвращение в безопасное рабочее состояние пораженных устройств (имею
щих или не имеющих отношение к ИТ) в интересах исключения атак на эти устройства.
8.5.1.4 Дополнительные действия
При определении членом ГРИИБ реальности инцидента ИБ его дополнительными действиями
должны быть:
- проведение правовой экспертизы;
- информирование лиц, ответственных за передачу информации внутри организации и за ее пре
делами. о фактах и предложениях по информации, которую надо передать, в какой форме и кому.
После возможно наиболее подробного заполнения отчета об инциденте ИБотчет вводится в базу
данных событий/инцидентов ИБ и передается руководителю ГРИИБ.
27