ГОСТ Р 59711—2022
ченной по результатам реагирования на компьютерные инциденты, только в случае необходимости и
только в необходимом объеме.
7.4 Обработка информации ограниченного доступа
Отчетные материалы, формируемые в ходе деятельности по управлению компьютерными инци
дентами, могут содержать информацию ограниченного доступа, поэтому при ведении деятельности по
управлению компьютерными инцидентами важно обеспечить защиту такой информации.
Если в ходе деятельности по управлению компьютерными инцидентами используются данные
мониторинга, получаемые из информационных ресурсов, защита которых осуществляется в соответ
ствии с законодательством Российской Федерации, то защита таких данных и результатов их обработки
(карточки компьютерных инцидентов и иные отчеты) также должна осуществляться в соответствии с
законодательством Российской Федерации.
Защита информации должна быть обеспечена и при организации взаимодействия с внешними ор
ганизациями, в том числе с организацией, осуществляющей координацию деятельности в части управ
ления компьютерными инцидентами.
8 Определение подразделения, ответственного за управление
компьютерными инцидентами
8.1 Подходы к определению подразделения, ответственного за управление
компьютерными инцидентами
Одним из важнейших этапов организации деятельности по управлению компьютерными инциден
тами является определение в организации соответствующего структурного подразделения, специали
сты которого будут выполнять следующие задачи:
- обнаружение и регистрацию компьютерных инцидентов;
- организацию и контроль процессов реагирования на компьютерные инциденты с привлечением
специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, и (или) не
посредственное выполнение действий по реагированию;
- анализ результатов деятельности по управлению компьютерными инцидентами с целью иден
тификации методов и способов обнаружения и реагирования на компьютерные инциденты, которые
показали свою эффективность в отношении уже закрытых компьютерных инцидентов, предотвращения
повторного возникновения компьютерных инцидентов и доработки (актуализации) документации в ча сти
управления компьютерными инцидентами.
Организация может определить ответственным за управление компьютерными инцидентами
существующее штатное подразделение, ответственное за обеспечение безопасности информации и
(или) за защиту информации (из состава подразделений (работников) по информационной безопас
ности организации, находящихся под общим руководством), создать новое подразделение (в составе
подразделений (работников) по информационной безопасности организации, находящихся под общим
руководством) или присоединиться к зоне ответственности внешнего подразделения, оказывающего
услуги по управлению компьютерными инцидентами.
Эффективность деятельности подразделения, ответственного за управление компьютерными ин
цидентами, зависит от организованного взаимодействия со всеми подразделениями организации, уча
ствующими в деятельности по управлению компьютерными инцидентами.
Подразделение, ответственное за управление компьютерными инцидентами, должно иметь со
ответствующие полномочия. Принципиально важно, чтобы все подразделения организации были уве
домлены о полномочиях специалистов подразделения, ответственного за управление компьютерными
инцидентами. Для этих целей в организации должны быть сформированы соответствующие приказы и
(или) распоряжения руководителя организации или уполномоченного им лица.
Если для организации деятельности по управлению компьютерными инцидентами планируется
создать новое подразделение, целесообразно, чтобы его организационная структура учитывала осо
бенности его зоны ответственности. На рисунке 1 представлены примеры структуры подразделения,
ответственного за управление компьютерными инцидентами.
7