ГОСТ Р 59711—2022
В процессе проведения обучения (инструктажей, курсов и т.п.) до специалистов, участвующих в
деятельности по управлению компьютерными инцидентами, должна быть доведена следующая инфор
мация:
- порядок выполнения действий, предусмотренных планом реагирования на компьютерные инци
денты;
- порядок ведения (составления) отчетности;
- перечень полномочий и ограничений в рамках деятельности по управлению компьютерными
инцидентами.
Обучение должно сопровождаться конкретными упражнениями и тестированием для специали
стов подразделения, ответственного за управление компьютерными инцидентами, а также специали
стов смежных подразделений, участвующих в деятельности по управлению компьютерными инциден
тами.
В дальнейшем на регулярной основе должны быть проведены инструктажи.
12 Проведение тренировок по отработке мероприятий плана реагирования
на компьютерные инциденты
В ходе деятельности по управлению компьютерными инцидентами должны быть запланированы
и проведены на регулярной основе тренировки по отработке мероприятий плана реагирования на ком
пьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут воз
никнуть в рамках данной деятельности. Тренировки должны предусматривать как моделирование раз
личных сценариев, которые могут варьироваться от серьезных (сложных) компьютерных инцидентов,
основанных на реалистичных имитациях компьютерных атак, сбоев или неисправностей, так и прове
дение теоретических занятий. Формат сценариев может зависеть от заранее определенных целей
тре нировки. В тренировках должны принимать участие как специалисты подразделения,
ответственного за управление компьютерными инцидентами, так и специалисты смежных
подразделений, участвующих в деятельности по управлению компьютерными инцидентами.
Все участники тренировок должны быть проинформированы о том, что они имеют дело с действи
ями, имитирующими компьютерный инцидент. Данная информация необходима для того, чтобы исклю
чить действия по реагированию, приводящие к негативным последствиям для критических процессов
организации.
П р и м е ч а н и е — Для проведения тренировок могут быть применены тестовые системы, в которых мо
гут быть имитированы компьютерные атаки и (или) особенности контролируемых информационных ресурсов. Та
кие тестовые системы также могут быть использованы для тестирования программных и программно-технических
средств, обеспечивающих деятельность по управлению компьютерными инцидентами.
Информирование участников может не осуществляться в случае проведения тренировок в кон
тролируемых условиях, препятствующих влиянию тренировок на критические процессы организации.
Тренировки могут быть проведены в форме:
- обсуждения (дискуссии);
- командных тренингов;
- практического занятия;
- смешанной (использование всех трех форм).
Выбор формы тренировки зависит от цели, которую планируется достичь, а также от наличия
времени и ресурсов.
Тренировка преследует следующие основные цели:
- подтверждение применимости на практике плана реагирования на компьютерные инциденты и
выявление потенциальных недостатков;
- проверка готовности специалистов, участвующих в деятельности по управлению компьютерны
ми инцидентами, к выполнению мероприятий плана реагирования на компьютерные инциденты;
- тестирование существующих процессов и процедур реагирования на компьютерные инциденты.
При разработке организацией плана реагирования на компьютерные инциденты или его актуа
лизации проводят тренировки для проверки его применимости. После введения плана реагирования на
компьютерные инциденты в действие проводят тренировки для проверки готовности специалистов
подразделения, ответственного за управление компьютерными инцидентами, и специалистов смежных
подразделений, участвующих в деятельности по управлению компьютерными инцидентами. После того
14