ГОСТ Р 59711—2022
пьютерной атаки. При этом под прекращением или нарушением функционирования информационных ресурсов
понимают приведение информационного ресурса в состояние, при котором он полностью или частично не может
обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управ
ление, контроль или мониторинг критических процессов.
2 Приведенные в политике сведения о том, что для организации является компьютерным инцидентом, в
дальнейшем используются для разработки правил регистрации признаков возможного возникновения компьютер
ных инцидентов (правил, осуществляющих автоматизированный анализ и корреляцию событий безопасности и
иных данных мониторинга) и при проведении проверки фактов возникновения компьютерных инцидентов с целью их
подтверждения.
3 Понятие «признак возможного возникновения компьютерных инцидентов» применяется в связи с тем, что
средства управления событиями информационной безопасности фиксируют возникновение ситуации, которая мо
жет свидетельствовать о возникновении компьютерного инцидента, а не сам факт возникновения компьютерного
инцидента;
- высокоуровневый обзор или визуализация процесса управления компьютерными инцидентами
в части стадий «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компью
терные инциденты»;
- описание организационной структуры подразделения, ответственного за управление компью
терными инцидентами, в том числе ролей специалистов подразделения, их обязанностей и полно
мочий.
7 Разработка плана реагирования на компьютерные инциденты
7.1 Общие положения
План реагирования на компьютерные инциденты должен содержать подробные пошаговые ин
струкции к действиям, выполняемым на стадиях «обнаружение и регистрация компьютерных инциден
тов» и «реагирование на компьютерные инциденты», с учетом организационной структуры организации,
особенностей ее информационной инфраструктуры, применяемых программных и программно-техни
ческих средств, типов компьютерных инцидентов, их приоритетов и уровней влияния.
П р и м е ч а н и я
1 В рамках функционирования ГосСОПКА типы компьютерных инцидентов определяет организация, осу
ществляющая координацию деятельности в части управления компьютерными инцидентами.
Организацией, осуществляющей координацию деятельности в части управления компьютерными инциден
тами, является Национальный координационный центр по компьютерным инцидентам.
2 Подход к определению уровней влияния и приоритетов компьютерных инцидентов приведен в приложени
ях А и Б.
3 План реагирования на компьютерные инциденты может включать различные приложения, например ин
струкции, регламенты и иные документы, в соответствии с которыми осуществляется деятельность по обнаруже
нию, регистрации, принятию решений и действий, связанных с реагированием на компьютерные инциденты.
Разработку плана реагирования на компьютерные инциденты должен координировать руководи
тель подразделения, ответственного за управление компьютерными инцидентами, и она должна быть
выполнена с учетом положений политики управления компьютерными инцидентами.
Для разработки плана реагирования на компьютерные инциденты должны привлекаться работ
ники организации, которые могут принимать участие в деятельности по управлению компьютерными
инцидентами.
П р и м е ч а н и е — К процессу согласования плана могут быть привлечены иные лица, определенные
руководителем организации или уполномоченным им лицом.
Разработанный план должен быть согласован с руководителем подразделения, ответственного за
управление компьютерными инцидентами, и утвержден руководителем организации или уполномочен
ным им лицом и в порядке информирования представлен в организацию, осуществляющую координа цию
деятельности в части управления компьютерными инцидентами.
7.2 Содержание плана реагирования на компьютерные инциденты
План реагирования на компьютерные инциденты должен включать:
3