ГОСТ Р ИСО/МЭК ТО 18044—2007
3.2 событие информационной безопасности (information security event): Идентифицированное
появление определенного состояния системы, сервиса или сети, указывающего на возможное наруше
ние политики ИБ или отказ защитных мер. или возникновение неизвестной ранее ситуации, которая мо
жет иметь отношение к безопасности.
3.3 инцидент информационной безопасности (information security incident): Появление одного
или нескольких нежелательных или неожиданных событий ИБ. с которыми связана значительная веро
ятность компрометации бизнес-операций и создания угрозы ИБ.
П р и м е ч а н и е — Примеры инцидентов ИБ приведены в разделе 6.
3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ) (Information
Security Incident Response Team (ISIRT)): Группа обученных и доверенных членов организации.
П р и м е ч а н и е — Данная группа обрабатывает инциденты ИБ во время их жизненного цикла и иногда мо
жет дополняться внешними экспертами, например, из общепризнанной группы реагирования на компьютерные ин
циденты или компьютерной группы быстрого реагирования {КГБР).
4 Общие положения
4.1 Цели
В качестве основы общей стратегии ИБ организации необходимо использовать структурный под
ход к менеджментуинцидентов ИБ. Целями такого подхода является обеспечение следующихусловий:
- события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как
относящиеся или не относящиеся к инцидентам ИБ°;
- идентифицированные инциденты ИБ должны быть оценены, и реагирование на нихдолжно быть
осуществлено наиболее целесообразным и результативным способом;
- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать
соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент,
иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности биз
неса;
- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью по
вышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования
защитных мер ИБ. улучшения общей системы менеджмента инцидентов ИБ.
4.2 Этапы
Длядостижения целей в соответствии с пунктом 4.1 менеджмент инцидентов ИБ подразделяют на
четыре отдельных этапа:
1) планирование и подготовка,
2) использование:
3) анализ:
4) улучшение.
П р и м е ч а н и е — Этапы менеджмента инцидентов ИБ аналогичны процессам модели РОСА, используе
мой в международных стандартах ИСО 9000 [4) и ИСО 14000 |5].
Основное содержание этих этапов показано на рисунке 1.
События ИБ могут быть результатом случайных или преднамеренных попыток компрометации защитных
мер ИБ. но в большинстве случаев событие ИБ само по себе не означает, что попытка в действительности была
успешной и. следовательно, каким-то образом повлияла на конфиденциальность, целостность и (или) доступность,
то есть не все события ИБ будут отнесены к категории инцидентов ИБ.
2