ГОСТ Р 59709—2022
Примечание — Деятельность по обнаружению и регистрации компьютерных инцидентов основывается
на результатах проводимого в организации мониторинга, в рамках которого осуществляется сбор информации о
событиях ИБ и иных данных мониторинга из различных источников.
36
данные мониторинга:
Данные о состоянии объектов мониторинга ИБ, а также данные, полу
чаемые из среды функционирования объекта мониторинга и внешних сервисов, которые могут ис
пользоваться для выявления уязвимостей и угроз безопасности информации.
[ГОСТ Р 59547—2021, пункт 3.2]
Примечания
1 К данным мониторинга могут относиться данные о событиях ИБ, выявленных уязвимостях, результатах
контроля соответствия конфигурационных настроек; действиях пользователей; результатах контроля потоков ин
формации, работоспособности программных, технических и программно-технических средств, включая средства
защиты информации, а также различные справочные данные.
2 В деятельности по управлению компьютерными инцидентами данные мониторинга могут использоваться
с целью анализа возможности использования уязвимостей информационного ресурса для реализации компьютер
ных атак, анализа угроз по реализации компьютерных атак и выявления и регистрации компьютерных инцидентов.
37
событие (информационной) безопасности:
Зафиксированное состояние информационной
(автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного при
кладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное на
рушение безопасности информации, сбой средств ЗИ, или ситуацию, которая может быть значимой
для безопасности информации.
[ГОСТ Р 59547—2021, пункт 3.13]
38
индикатор компрометации:
Известные данные, указывающие на то, что безопасность объекта
мониторинга уже нарушена.
[ГОСТ Р 59547—2021, пункт 3.3]
39
управление компьютерным инцидентом:
Деятельность, направленная на обнаружение и
регистрацию, анализ и реагирование на компьютерный инцидент, а также использование полученного
при этом опыта для предотвращения повторного возникновения компьютерного инцидента, повышения
эффективности процедур реагирования на компьютерный инцидент.
40
обнаружение компьютерных атак:
Комплекс мероприятий по выявлению и анализу призна
ков компьютерных атак и определению их типа.
41
регистрация компьютерного инцидента:
Процесс (процедура, функция) фиксации сведений
о компьютерном инциденте по установленной форме.
42
реагирование на компьютерный инцидент:
Последовательное выполнение этапов реагиро
вания на компьютерный инцидент с целью установления технических причин и условий возникновения
компьютерного инцидента и ликвидации его последствий.
43
этап реагирования (на компьютерный инцидент):
Действие или совокупность действий,
осуществляемых по отношению к зарегистрированному компьютерному инциденту.
44
план реагирования (на компьютерный инцидент):
Набор документированных процедур и
инструкций, определяющих порядок реализации мероприятий по реагированию на компьютерные ин
циденты.
45
время реагирования (на компьютерный инцидент):
Время реакции на инцидент, характе
ризующее интервал между получением информации о возникновении компьютерного инцидента и мо
ментом закрытия компьютерного инцидента.
46
локализация компьютерного инцидента:
Совокупность действий, направленных на опреде
ление и ограничение функционирования информационных ресурсов, на которых обнаружены признаки
зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распро
странения.
5