ГОСТ Р 59711—2022
Приложение Б
(обязательное)
Подход к определению приоритетов компьютерных инцидентов и очередности
реагирования на компьютерные инциденты
В приложении Б приведено описание подхода к определению приоритетов компьютерных инцидентов и оче
редности реагирования на компьютерные инциденты.
Представленный подход может быть уточнен в соответствии с потребностями организации, ведущей дея
тельность по управлению компьютерными инцидентами.
Б.1 Общие положения
Подход к определению приоритетов компьютерных инцидентов основан на использовании следующих харак
теристик регистрируемых компьютерных инцидентов:
- значимость элементов информационной инфраструктуры, на которых обнаружены признаки зарегистриро
ванного компьютерного инцидента;
- масштаб компьютерного инцидента.
Подход к определению приоритетов компьютерных инцидентов также предусматривает возможность исполь
зования дополнительных критериев, которые не определены в настоящем стандарте.
По каждому критерию установлено не более трех приоритетов:
- высокий;
- средний;
- низкий.
Итоговый приоритет компьютерного инцидента оценивают как максимальный приоритет среди определен
ных по разным критериям. Например, если по критерию «значимость элементов информационной инфраструкту
ры» приоритет компьютерного инцидента определен как высокий, а по критерию «масштаб компьютерного инци
дента» как средний, то итоговый приоритет компьютерного инцидента определяют как высокий.
Приоритеты не зависят от уровней влияния компьютерных инцидентов и могут использоваться совместно
с ними для определения очередности отработки компьютерных инцидентов. Порядок определения очередности
реагирования на компьютерные инциденты приведен в таблице Б.1.
Т аб лица Б.1 — Порядок определения очередности реагирования на компьютерные инциденты
Очередь реагирования
К
1
1
к
CNJ
1
сс
го
1
1
1
1
1
1
к
ос
ОС
к
осос
"3-ю
CD
г-00СТ>
Уровень влияния компьютерного инцидента
Критический
Высокий
Высокий
Средний
Средний
Средний
Низкий
Низкий
Низкий
>s
>s
>s
>s
>s
S
>s
S
>s
I
>s
I
X
Приоритет компьютерного инцидента
о
>s
S
о
-Q
со
о
о
л
со
£
о.
О
о
о
л
со
£
О.
О
S
СО
X
о
о
л
со
3
о.
О
S
СО
X
Б.2 Значимость элементов информационной инфраструктуры
В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от
значимости СВТ, на которых обнаружены признаки данного компьютерного инцидента. Значимость СВТ опреде
ляют в зависимости от функционирующих на данном СВТ сервисов, содержащейся на нем информации и (или)
возможности распространения компьютерного инцидента на более значимые СВТ.
К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены
на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению
самых критичных процессов организации либо компьютерные инциденты, признаки которых обнаружены на СВТ,
на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.
К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены
на СВТ, с которых компьютерный инцидент наиболее быстро может распространиться на СВТ, на которых функ
ционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных про-
20