ГОСТ Р ИСО/МЭК 21827—2010
Сигналы тревоги (то есть, запросы на действие, основанные на единичном появлении события)
должны быть определены для журнальных записей и объединенных записей о событиях. В анализ также
надо включать журнальные записи и записи о событиях в среде разработки.
7.8.3 ВР.08.02 - Осуществляет мониторинг изменений
Проводение мониторинга изменений в угрозах, уязвимостях, воздействиях, рисках и среде.
7.8.3.1 Описание
Ведет поиск любых изменений, которые могут положительно или отрицательно повлиять на эф
фективность текущего состояния безопасности.
Реализованная для любой системы безопасность должна касаться угроз, уязвимостей, воздейст
вий и рисков, поскольку они связаны с внутренней и внешней средой системы. Все они не являются ста
тичными. и их изменения влияют как на эффективность, так и на целесообразность безопасности систе
мы. Угрозы, уязвимости, воздействия и риски должны постоянно контролироваться на предмет внесения
изменений, а изменения анализироваться с целью оценки их значимости для эффективности безопасно
сти.
7.8.3.2 Примеры результатов деятельности:
- сообщение об изменениях - идентифицирует все внешние и внутренние изменения, способные
повлиять на состояние безопасности системы:
- периодическая оценка значимости изменений - проводит анализ изменений состоянии безопас
ности для определения степени их воздействия и необходимости реагирования на них.
7.8.3.3 Примечания
Как внутренние и внешние источники, так и среды разработки и эксплуатации должны проверяться.
При обнаружении изменений необходимо реагировать на них путем оценки анализа риска или его
части (см. РАОЗ).
7.8.4 ВР.08.03 - Идентифицирует инциденты безопасности
Идентификация инцидентов, связанных с безопасностью.
7.8.4.1 Описание
Определяет, наличие связанного с безопасностью инцидента, идентифицирует его детали и при
необходимости сообщает о них. Связанные с безопасностью инциденты можно обнаружить с помощью
ретроспективных данных о событиях, данных о конфигурации системы, средств интеграции и другой
системной информации. Так как некоторые инциденты возникают в течение длительного периода вре
мени, по-видимому, анализ должен включать в себя сравнение состояний безопасности за этот период.
7.8.4.2 Примеры результатов деятельности:
- перечень инцидентов и их определения - идентифицирует общие инциденты безопасности и опи
сывает их с целью облегчения распознавания;
- инструкции по реагированию на инциденты - описывают соответствующее реагирование на воз
никающие инциденты безопасности.
- отчеты об инцидентах - описывают возникший инцидент в деталях, включая источник инцидента,
любой ущерб от него, реагирование на него и требуемые дальнейшие меры в его отношении:
- отчеты о каждом обнаруженном событии вторжения - описывают каждое обнаруженное событие
вторжения и предоставляют все необходимые детали, включая источник инцидента, любой ущерб от
него, реагирование на него и требуемые дальнейшие меры в его отношении;
- периодические сводки об инцидентах - предоставляют сводку о последних инцидентах безопас
ности. отмечая тенденции, области, требующие усиления безопасности, и возможную экономию в рас
ходах от понижения степени безопасности, в то же время не забывая о возможности повышения степени
риска.
7.8.4.3 Примечания
Инциденты безопасности могут возникнуть как в среде разработки, так и в среде эксплуатации. Эти
инциденты могут воздействовать на разрабатываемую или функционирующую системы различными пу
тями. Преднамеренные технические атаки со стороны хакеров или вредоносных кодов (вирусов, сетевых
червой и т.д.) обусловливают различный подход к защите от случайных событий. Для обнаружения этих
атак требуется анализ состояния и конфигурации системы. Следует подготавливать, тестировать и за
действовать соответствующие планы реагирования. Многие атаки требуют быстрого, заранее опреде
ленного реагирования для минимизации последующего распространения ущерба. В некоторых случаях
нескоординированные реагирования могут лишь ухудшить ситуацию. В необходимых случаях реагиро
вание идентифицируется и определяется с помощью ВР.08.06.
42