ГОСТ Р 59711—2022
а)общие сведения, необходимые для обнаружения и регистрации компьютерных инцидентов и
реагирования на них, включая:
1) технические характеристики и состав контролируемых информационных ресурсов органи
зации;
2) перечень типов компьютерных инцидентов, которые в организации требуется обнаруживать и
регистрировать с указанием их уровней влияния, приоритетов и конкретных способов обна
ружения и регистрации.
П р и м е ч а н и е — Перечень типов компьютерных инцидентов, которые в организации требуется обнару
живать и регистрировать, формируют на основании установленных в утвержденной политике управления компью
терными инцидентами сведений о том, что для организации является компьютерным инцидентом.
Также может быть предусмотрен дополнительный тип компьютерных инцидентов (например, «прочее»). Его
цель состоит в том, чтобы обеспечить регистрацию компьютерных инцидентов, не соответствующих ни одному из
определенных ранее типов компьютерных инцидентов;
3) порядок формирования состава рабочих групп реагирования на компьютерные инциденты.
П р и м е ч а н и е — Состав рабочих групп реагирования на компьютерные инциденты может зависеть:
- от информационного ресурса, в котором зарегистрирован компьютерный инцидент (в составе рабочей
группы реагирования на компьютерные инциденты должны быть специалисты подразделений, ответственных за
эксплуатацию информационного ресурса, на котором произошел компьютерный инцидент, так как только эти спе
циалисты обладают правами доступа к информационному ресурсу, позволяющими выполнять все необходимые
действия по реагированию на компьютерный инцидент);
- территориального расположения информационного ресурса (реагирование на компьютерные инциденты,
произошедшие на территориально удаленных объектах, целесообразно проводить с привлечением специалистов,
находящихся на этих объектах);
- типа компьютерного инцидента (при реагировании на определенные типы компьютерных инцидентов мо
жет возникать необходимость привлечения специалистов, обладающих определенными экспертными знаниями и
(или) умениями);
4) перечень лиц, привлекаемых к реагированию на компьютерные инциденты, а также их функ
ции и обязанности;
5) порядок осуществления доступа к информации о ходе реагирования на компьютерный инци
дент и к данным мониторинга, на основании которых он зарегистрирован, работников органи
зации, входящих в состав рабочей группы реагирования на компьютерные инциденты.
П р и м е ч а н и е — Совместное использование информации о ходе реагирования на компьютерный инци
дент и данных мониторинга, на основании которых он зарегистрирован, всеми участниками процесса по реагиро
ванию на компьютерный инцидент обеспечит повышение эффективности реагирования;
6) установленные сроки выполнения этапов реагирования на компьютерные инциденты.
П р и м е ч а н и е — Сроки выполнения этапов реагирования на компьютерные инциденты устанавливают
с учетом их уровней влияния;
7) порядок принятия решения о необходимости привлечения к реагированию на компьютерный
инцидент организации, осуществляющей координацию деятельности по управлению компью
терными инцидентами.
П р и м е ч а н и я
1 На основании данного порядка специалист, ответственный за реагирование на компьютерный инцидент
(руководитель рабочей группы реагирования на компьютерные инциденты), будет понимать, при каких обстоятель
ствах требуется привлечение организации, осуществляющей координацию деятельности по управлению компью
терными инцидентами. Например, это может потребоваться, когда компьютерный инцидент не может быть взят
под контроль или ожидается, что он будет иметь критические последствия для организации.
2 Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп
реагирования на компьютерные инциденты), осуществляют следующую деятельность:
- проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;
- регистрация компьютерных инцидентов в случае их подтверждения;
- контроль выполнения этапов реагирования на компьютерные инциденты.
4