ГОСТ Р 59712—2022
общедоступных сетей связи может предотвратить несанкционированный доступ и, соответственно, нарушение
конфиденциальности, целостности и доступности информации. В некоторых случаях целесообразно осущест
влять мониторинг вредоносной активности, ограничив при этом возможности злоумышленника атаковать другие
информационные ресурсы;
- выключение.
П р и м е ч а н и е — Если дальнейшее функционирование элемента информационной инфраструктуры (груп
пы элементов или информационного ресурса в целом) приведет к уничтожению (потере) данных, может быть при
нято решение о прекращении функционирования элемента информационной инфраструктуры (группы элементов
или информационного ресурса в целом). Следует учитывать, что выключение элемента информационной инфра
структуры может отрицательно сказаться на работе конкретных пользователей, сервисов и различных критических
процессов. Данное решение должно приниматься в координации с соответствующим руководителем и/или ответ
ственными за эксплуатацию информационных ресурсов организации;
- изменения маршрутизации.
П р и м е ч а н и е — Изменения маршрутизации осуществляются с целью устранения маршрута, по которому
действует злоумышленник, препятствуя ему в получении доступа к информационным ресурсам, которые могут
являться объектами атаки, а также блокирования механизмов передачи (распространения) вредоносного ПО;
- отключение или блокирование процессов.
П р и м е ч а н и е — В данном случае осуществляется отключение или блокирование процессов, которые
могли быть использованы злоумышленником;
- отключение учетных записей пользователей.
П р и м е ч а н и е — В данном случае осуществляется отключение учетных записей пользователей, которые
могли быть использованы злоумышленником.
Любые изменения в информационных ресурсах, включая действия по локализации компьютер
ного инцидента, могут привести к потере (уничтожению) информации, связанной с возникновением
компьютерного инцидента (цифровых свидетельств). Следует убедиться, что вся информация, необхо
димая для установления причин и условий возникновения компьютерных инцидентов (цифровые
сви детельства), собрана в полном объеме перед внесением каких-либо системных изменений.
6.4 Выявление последствий компьютерного инцидента
На этапе «выявление последствий компьютерного инцидента» специалистами, входящими в со
став рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направ
ленные на выявление признаков негативного воздействия на элементы информационной инфраструк
туры, вовлеченные в компьютерный инцидент.
При выявлении признаков негативного воздействия на элементы информационной инфраструкту
ры, вовлеченные в компьютерный инцидент, специалисты, входящие в состав рабочей группы реагиро
вания на компьютерный инцидент, должны провести детальный анализ имеющихся данных о компью
терном инциденте.
На рисунке 3 представлена схема организационного процесса этапа «выявление последствий
компьютерного инцидента».
К примерам признаков негативного воздействия на элементы информационной инфраструктуры,
вовлеченные в компьютерный инцидент, которые выявляются в ходе анализа имеющихся данных о
компьютерном инциденте, можно отнести следующее:
- нештатная сетевая активность элемента информационной инфраструктуры;
- созданные, модифицированные, удаленные файлы, каталоги, параметры настройки ОС, средств
защиты информации, прикладного ПО;
- отклонения от эталонных (допустимых) параметров конфигурации ОС, средств защиты инфор
мации, прикладного ПО;
- отклонения от эталонного (допустимого) состава прикладного ПО, установленного в ОС;
- отклонения от эталонного (допустимого) содержания системных и защищаемых файлов;
- выполненные потенциально вредоносные команды, в том числе расположенные в оперативной
памяти;
- признаки, идентифицирующие источник компьютерной атаки;
- признаки сбоев, перезагрузок, остановок и других нарушений в штатной работе ОС, средств за
щиты информации, прикладного ПО;
8