ГОСТ Р ИСО/МЭК 21827—2010
7.8.7 ВР.08.06-Управляет реагированием на инциденты безопасности
Управление реагированием на инциденты безопасности.
7.8.7.1 Описание
Во многих случаях постоянная доступность систем является критически важной. Многие события
предотвратить нельзя, поэтому очень большое значение имеет способность реагировать на нарушение
безопасности. Для чрезвычайного плана требуется определение максимального допустимого периода
простоя системы; идентификация необходимых элементов функциональности системы, определение и
разработка стратегии и плана восстановления; тестирование и выполнение плана.
В некоторых случаях неожиданные ситуации могут включать в себя реагирование на инциденты и
активное контактирование с враждебными агентами (например, вирусами, хакерами и т.д.).
7.8 7.2 Примеры результатов деятельности;
- указатель приоритетов восстановления системы - содержит описание порядка, в котором функ
ции системы должны быть защищены и восстановлены в случае возникновения вызывающего отказы
инцидента;
- программа испытаний - содержит даты периодического тестирования системы для обеспечения
рабочего состояния функций, связанных с обеспечением безопасности;
- результаты испытаний - описывают результаты периодического тестирования и меры поддержа
ния безопасности системы;
- план регламентных работ - содержит даты обслуживания всей системы, включая модернизацию и
профилактику, и обычно интегрируется в программу испытаний;
- отчеты об инцидентах - описывают возникший инцидент со всеми сопутствующими деталями,
включая источник инцидента, любой ущерб, наносимый им. принятые против него меры и дальнейшие
необходимые действия;
- периодические анализы - описывают процедуру периодического анализа безопасности системы,
включая лицо, проводящее анализ, какие проверки делаются в ходе анализа и содержание результатов;
- чрезвычайные планы - определяют максимально приемлемое время простоя системы, важней
шие элементы системы, стратегию и план восстановления системы, возобновления деловой деятельно
сти. управления ситуацией, а также процедуры тестирования и выполнения плана.
7.8.7.3 Примечания
Будущие события нельзя предопределить, но. если только они не способны вызвать хаос, они
должны быть управляемыми. Если ситуация выходит за рамки заранее определенного сценария, она
передается на более высокий уровень принятия решений руководством бизнеса.
7.8.8 ВР 08.07 - Защищает объекты мониторинга безопасности
Обеспечение защиты объектов, связанных с мониторингом безопасности.
7.8.8.1 Описание
Если от результатов действий по мониторингу ничего не может зависеть, их ценность невелика.
Эти действия включают в себя изолирование и архивирование соответствующих журналов, отчетов о
результатах проверок и соответствующих анализов.
7 8.8.2 Примеры результатов деятельности;
- перечень всех архивированных журналов и связанных с ними периодов хранения - определяет
место хранения объектов мониторинга безопасности и время их возможного уничтожения;
- периодические результаты выборочных проверок, которые должны быть представлены в архиве -
перечисляют недостающие отчеты и определяют соответствующую реакцию на это;
- использование архивированных журналов - определяет пользователей архивированных журна
лов. включая время и цель доступа к информации, и любые комментарии;
- периодические результаты тестирования достоверности и применимости произвольно выбранных
архивированных журналов - анализируют произвольно выбранные журналы и определяет их полноту,
корректность и пригодность для обеспечения должного мониторинга безопасности системы.
7.8.8.3 Примечания
Большинство действий по мониторингу, включая аудит, дают результаты. Эти результаты можно
обработать сразу или зафиксировать для дальнейшего анализа и обработки. Содержание журналов
следует составлять так. чтобы облегчить понимание произошедшего во время инцидента и обнаружить
изменения в тенденциях. Регистрацией выходных данных следует управлять в соответствии с приме
няемой политикой и положениями. Журналы должны быть достоверными и защищенными от фальсифи
кации или случайного нанесения ущерба. После заполнения всего журнала его заменяют новым. При
замене журнала все ненужные записи следует удалить и выполнить необходимые действия по его со
кращению. Журналы должны опечатываться с тем. чтобы какие-либо изменения не остались незамечен
ными. и архивироваться в течение установленного периода времени.
44