ГОСТ Р 59712-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты

8 Анализ результатов деятельности по управлению компьютерными инцидентами

 

8.1 Общие положения

 

Стадия "анализ результатов деятельности по управлению компьютерными инцидентами" включает в себя следующие этапы:

- приобретение и накопление опыта по результатам управления компьютерными инцидентами;

- разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов;

- оценка результатов и эффективности реагирования на компьютерные инциденты.

 

8.2 Приобретение и накопление опыта по результатам управления компьютерными инцидентами

 

Процесс приобретения и накопления опыта является важной составляющей ведения деятельности по управлению компьютерными инцидентами. После завершения всех этапов реагирования на компьютерный инцидент важно, чтобы организация приобрела и накопила опыт управления компьютерными инцидентами.

Приобретение и накопление опыта по результатам управления компьютерными инцидентами позволяет:

- идентифицировать методы и способы обнаружения и регистрации компьютерных инцидентов и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов;

- доработать (актуализировать) документацию в части управления компьютерными инцидентами, том числе политику управления компьютерными инцидентами и план реагирования на компьютерные инциденты.

Все изменения (корректировки, дополнения), предлагаемые к внесению в план реагирования на компьютерные инциденты, относящиеся к этапам "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты", должны быть надлежащим образом проверены и протестированы, т.е. должны быть проведены тренировки по отработке мероприятий плана реагирования на компьютерные инциденты в соответствии с положениями ГОСТ Р 59711.

 

8.3 Разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов

 

По результатам реагирования на компьютерные инциденты и установления причин и условий их возникновения следует разрабатывать рекомендации по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов. Такие рекомендации могут включать:

- рекомендации по принятию дополнительных мер защиты информации в соответствии с нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти (ФСБ России и ФСТЭК России), в том числе доработку (актуализацию) и/или разработку документации, регламентирующей вопросы обеспечения безопасности организации;

- рекомендации по повышению защищенности информационных ресурсов от компьютерных атак;

- рекомендации по устранению технических причин и условий, способствующих проведению деструктивного воздействия на информационные ресурсы.

 

8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты

 

После завершения всех этапов реагирования на компьютерный инцидент следует проводить оценку результатов и эффективности предпринятых действий.

Такая оценка направлена на то, чтобы определить, насколько эффективны те или иные процессы и процедуры реагирования на компьютерные инциденты.

Оценку результатов и эффективности действий, предпринятых на каждом этапе реагирования на компьютерный инцидент, целесообразно проводить в отношении компьютерных инцидентов со средним, высоким и критическим уровнями влияния и на основании задокументированных результатов реагирования.

Также, после завершения всех этапов реагирования на компьютерный инцидент, целесообразно проводить рабочие совещания со специалистами всех подразделений, участвующих в деятельности по управлению компьютерными инцидентами на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты".

На рабочем совещании целесообразно обсудить следующие вопросы:

- оценка достаточности и эффективности процессов и процедур реагирования на компьютерные инциденты, изложенных в плане;

- предложения по включению в план реагирования на компьютерные инциденты дополнительных процессов и процедур, которые могли бы повысить эффективность действий, выполняемых на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты";

- предложения по использованию дополнительных инструментальных средств с целью повышения эффективности реагирования и установления причин и условий возникновения компьютерных инцидентов;

- оценка эффективности обмена информацией о компьютерных инцидентах между всеми сторонами, принимающими участие на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты".

Примечание - Оценка результатов и эффективности реагирования на компьютерные инциденты может осуществляться на основании следующих показателей:

- среднее время проведения проверки признаков возможного возникновения компьютерных инцидентов;

- среднее время определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

- среднее время локализации компьютерных инцидентов;

- среднее время выявления последствий компьютерных инцидентов;

- среднее время ликвидации последствий компьютерных инцидентов;

- среднее время реагирования на компьютерные инциденты;

- процент компьютерных инцидентов, для которых были нарушены сроки выполнения этапов реагирования.

 

 

 

 

 

УДК 004.622:006.354	ОКС 35.020
Ключевые слова: компьютерный инцидент, управление компьютерными инцидентами, регистрация компьютерного инцидента, реагирование на компьютерный инцидент