fp

ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ ГОСТ Р
СТАНДАРТ (проект,
первая редакция)
РОССИЙСКОЙ
ФЕДЕРАЦИИ

Управление инцидентами, связанными с безопасностью информации

Руководство по реагированию на инциденты в сфере информационных

и компьютерных технологий

(ISO/IEC 27035-3:2020, NEQ)

Настоящий проект стандарта не подлежит применению до его утверждения

Москва
Стандартинформ
202Х
ГОСТ Р
(проект, первая редакция)

Предисловие

1 РАЗРАБОТАН Федеральным государственным казенным учреждением «Войско-

вая часть 43753», Обществом с ограниченной ответственностью «Центр безопасности
информации» (ООО «ЦБИ»)
2 ВНЕСЕН Федеральной службой безопасности Российской Федерации
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по
техническому регулированию и метрологии от « » ____ 202Х г. №
4 Настоящий стандарт разработан с учетом основных нормативных положений
международного стандарта ISO/IEC 27035-3:2020 Information technology. Information securi-
ty incident management. Part 3: Guidelines for ICT incident response operations.
5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26

Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской
Федерации». Информация об изменениях к настоящему стандарту публикуется в
ежегодном (по состоянию на 1 января текущего года) информационном указателе
«Национальные стандарты», а официальный текст изменений и поправок – в
ежемесячном информационном указателе «Национальные стандарты». В случае
пересмотра (замены) или отмены настоящего стандарта соответствующее
уведомление будет опубликовано в ближайшем выпуске ежемесячного
информационного указателя «Национальные стандарты». Соответствующая
информация, уведомление и тексты размещаются также в информационной системе
общего пользования – на официальном сайте Федерального агентства по
техническому регулированию и метрологии в информационно-телекоммуникационной
сети Интернет (www.gost.ru)

 Стандартинформ, оформление, 202Х

Настоящий стандарт не может быть полностью или частично воспроизведен,

тиражирован и распространен в качестве официального издания без разрешения
Федерального агентства по техническому регулированию и метрологии
II
 ГОСТ Р
(проект, первая редакция)

Содержание

1 Область применения……………………………………………………………………………..
2 Нормативные ссылки……………………………………………………………………………..
3 Обозначения и сокращения……………………………………………………………………..
4 Термины и определения…………………………………………………………………………
5 Общие положения………………………………………………………………………………...
6 Обнаружение и регистрация компьютерных инцидентов…………………...…….……….
7 Реагирование на компьютерные инциденты…………………………………………………
8 Установление причин компьютерных инцидентов………………….……………………….
9 Анализ результатов деятельности по управлению компьютерными инцидентами…...
Приложение А…………………………………………………………..……………………………

III
ГОСТ Р
(проект, первая редакция)

Введение

Серия стандартов «Управление инцидентами, связанными с безопасностью ин-

формации» определяет единый структурированный подход к организации и ведению дея-
тельности по управлению компьютерными инцидентами в рамках деятельности государ-
ственной системы обнаружения, предупреждения и ликвидации последствий компьютер-
ных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
В соответствии с ГОСТ Р Управление инцидентами, связанными с безопасностью
информации. Принципы менеджмента инцидентов структурированный подход к организа-
ции и ведению деятельности по управлению компьютерными инцидентами предусматри-
вает следующие стадии управления компьютерными инцидентами:
‒ организации деятельности по управлению компьютерными инцидентами;
‒ обнаружения и регистрации компьютерных инцидентов;
‒ реагирования на компьютерные инциденты;
‒ анализа результатов деятельности по управлению компьютерными инцидента-
ми.
Положения ГОСТ Р Управление инцидентами, связанными с безопасностью ин-
формации. Руководство по реагированию на инциденты в сфере информационных и ком-
пьютерных технологий определяет содержание стадий: обнаружение и регистрация ком-
пьютерных инцидентов, реагирование на компьютерные инциденты, и анализ результа-
тов деятельности по управлению компьютерными инцидентами.
Для эффективного управления компьютерными инцидентами в соответствии с по-
ложениями настоящего стандарта должны применяться специализированные инструмен-
тальные средства и системы поддержки деятельности по управлению компьютерными
инцидентами (в том числе средства обнаружения компьютерных атак, средства управле-
ния событиями информационной безопасности (ИБ), средства для предупреждения ком-
пьютерных атак, средства обмена информацией и иные средства).

IV
 ГОСТ Р
(проект, первая редакция)

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Управление инцидентами, связанными с

безопасностью информации

Руководство по реагированию на инциденты в сфере информаци-

онных и компьютерных технологий
Information security incident management.
Guidelines for ICT incident response operations

Дата введения - __________

1 Область применения

Настоящий стандарт содержит руководство по действиям, относящимся к стади-

ям «Обнаружение и регистрация компьютерных инцидентов», «Реагирование на ком-
пьютерные инциденты» и «Анализ результатов деятельности по управлению компью-
терными инцидентами».
Положения настоящего стандарта предназначены, как для субъектов ГосСОПКА,
самостоятельно осуществляющих управление компьютерными инцидентами для своих
информационных ресурсов (в том числе объектов критической информационной ин-
фраструктуры Российской Федерации (КИИ)), так и для субъектов ГосСОПКА, в зону
ответственности которых входят информационные ресурсы (в том числе объекты КИИ),
принадлежащие другим организациям (субъектам КИИ).
Положения настоящего стандарта могут применяться и иными организациями
независимо от их формы собственности, масштаба и сферы деятельности.
Положения настоящего стандарта могут быть адаптированы с учетом особенно-
стей информационных ресурсов, а также состава определенных для них угроз без-
опасности информации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стан-

дарты:
1
ГОСТ Р
(проект, первая редакция)
ГОСТ Р Защита информации. Обнаружение, предупреждение и ликвидация по-
следствий компьютерных атак и реагирование на компьютерные инциденты. Термины
и определения;
ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной без-
опасности. Общие положения;
ГОСТ Р Управление инцидентами, связанными с безопасностью информации.
Принципы менеджмента инцидентов;
ГОСТ Р Управление инцидентами, связанными с безопасностью информации.
Руководство по планированию и подготовке к реагированию на инциденты.
П р и м е ч а н и е – При пользовании настоящим стандартом целесообразно проверить
действие ссылочных стандартов в информационной системе общего пользования – на официальном
сайте Федерального агентства по техническому регулированию и метрологии в информационно-
телекоммуникационной сети Интернет или по ежегодному информационному указателю «Национальные
стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного
информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный
стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую
версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный
стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандар-
та с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в
ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее
положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного
изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на
него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Обозначения и сокращения

ВПО — вредоносное программное обеспечение

ГосСОПКА — государственная система обнаружения, предупреждения и ликвида-
ции последствий компьютерных атак на информационные ресурсы
Российской Федерации
ЗИ — защита информации
ИБ — информационная безопасность
КИИ — критическая информационная инфраструктура
НКЦКИ — национальный координационный центр по компьютерным инциден-
там
НСД — несанкционированный доступ

2
 ГОСТ Р
(проект, первая редакция)
ОС — операционная система
ПО — программное обеспечение
СВТ — средство вычислительной техники

4 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р Защита информации.

Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реаги-
рование на компьютерные инциденты. Термины и определения.

5 Общие положения

В настоящем стандарте описано содержание следующих трех стадий управле-

ния компьютерными инцидентами, которые включают в себя соответствующие этапы:
 обнаружение и регистрация компьютерных инцидентов:
 сбор информации о событиях ИБ и иных данных мониторинга ИБ из раз-
личных источников;
 регистрация признаков возможного возникновения инцидентов;
 подтверждение компьютерных инцидентов;
 реагирование на компьютерные инциденты:
 локализация компьютерного инцидента;
 выявление последствий компьютерного инцидента;
 ликвидация последствий компьютерного инцидента;
 закрытие компьютерного инцидента;
 установление причин компьютерного инцидента;
 анализ результатов деятельности по управлению компьютерными инцидента-
ми:
 приобретение и накопление опыта по результатам управления компьютер-
ными инцидентами;
 оценка результатов и эффективности реагирования на компьютерные ин-
циденты;
 актуализация системы управления ИБ;
 актуализация политики управления компьютерными инцидентами и плана
реагирования на компьютерные инциденты.
3
ГОСТ Р
(проект, первая редакция)

6 Обнаружение и регистрация компьютерных инцидентов

6.1 Сбор информации о событиях ИБ и иных данных мониторинга ИБ из

различных источников
6.1.1 Мониторинг ИБ
Сбор информации о событиях ИБ и иных данных мониторинга ИБ должен осу-
ществляться специалистами подразделения по управлению компьютерными инциден-
тами с использованием специализированных средств управления событиями ИБ. Ин-
формация о событиях ИБ может поступать из множества внешних источников, таких
как различные средства защиты информации (ЗИ), телекоммуникационное оборудова-
ние, серверное оборудование и автоматизированные рабочие места пользователей.
События ИБ в зависимости от способа их регистрации могут быть классифицированы
следующим образом:
 события ИБ, зарегистрированные программными и (или) программно-
техническими средствами (средствами обнаружения компьютерных атак (системами
обнаружения вторжений), межсетевыми экранами, антивирусными средствами (сред-
ствами антивирусной защиты), средствами защиты от несанкционированного доступа
(НСД), агентами средства управления событиями ИБ и иными средствами);
 события ИБ, о которых сообщает персонал организации (могут собираться с
использованием специализированных средств, предоставляющих возможность пода-
вать данные о событиях ИБ с использованием опросных форм).
П р и м е ч а н и е – Опросная форма представляет собой интерфейс программного обеспече-
ния (ПО), через который в средство управления событиями ИБ и (или) в средство управления инциден-
тами могут подаваться сведения от сотрудников организации о выявленных ими событиях ИБ. В некото-
рых организациях могут быть выделены отдельные специалисты заполняющие такие формы, а инфор-
мацию о событиях ИБ предоставляется им пользователями по разным каналам связи (электронная поч-
та, телефон и иные.)
Для выявления компьютерных инцидентов при анализе событий ИБ необходимо
дополнительно использовать иные данные мониторинга ИБ. К таким данным монито-
ринга ИБ относятся:
 данные о составе программно-технических средств, ПО и средств ЗИ (инвен-
таризационные данные);
 данные о результатах выявления (поиска) уязвимостей;
 данные о результатах контроля установки обновлений ПО;

4
 ГОСТ Р
(проект, первая редакция)

 данные о результатах контроля соответствия настроек ПО и средств ЗИ уста-

новленным требованиям к ЗИ (политикам безопасности);
 данные о работоспособности (неотключении) ПО и средств ЗИ;
 информация о результатах контроля потоков информации;
 справочная информация.
П р и м е ч а н и е – К справочной информации относят информацию о показателе доверия (ре-
путации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен, ин-
формацию о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов до-
менных имен, информацию о местоположении и географической принадлежности сетевых адресов, ин-
формацию об известных уязвимостях используемого ПО, информацию о компьютерных сетях, состоя-
щих из управляемых с использованием вредоносного программного обеспечения (ВПО) средств вычис-
лительной техники (СВТ), включая сведения об их управляющих серверах.
‒ данные о новых угрозах безопасности информации.
П р и м е ч а н и е – Данные о новых угрозах безопасности информации могут собираться с ис-
пользованием сервисов, из которых может быть получена информация об угрозах безопасности инфор-
мации, содержащая индикаторы компрометации, а также от других организаций, с которыми осуществ-
ляется взаимодействие в рамках деятельности по управлению компьютерными инцидентами, прежде
всего от организации, осуществляющей координацию деятельности в части управления компьютерными
инцидентами.
В рамках деятельности ГосСОПКА организацией, осуществляющей координацию деятельности в
части управления компьютерными инцидентами, является национальный координационный центр по
компьютерным инцидентам (НКЦКИ).
Подробно порядок сбора, хранения, агрегации и обработки данных мониторинга
ИБ определен в ГОСТ Р 59547-2021 Защита информации. Мониторинг информацион-
ной безопасности. Общие положения.
В ходе организации деятельности по управлению компьютерными инцидентами
при осуществлении мониторинга ИБ целесообразно использовать средства управле-
ния событиями ИБ. Данные средства обладают функционалом автоматизированного
анализа событий ИБ и иных данных мониторинга ИБ, в том числе получаемых из раз-
ных источников.
В средствах управления событиями ИБ реализуются один или совокупность сле-
дующих методов анализа, направленных на выявление причинно-следственной связи в
событиях ИБ и иных данных мониторинга:
 сигнатурные методы, основанные на конкретных признаках (сигнатурах), усло-
вий их взаимосвязи (корреляции), сопоставления, идентифицирующих, вероятное воз-
никновение компьютерного инцидента;
5
ГОСТ Р
(проект, первая редакция)

 бессигнатурные методы, основанные на выявлении статистической и иной за-

висимости между данными мониторинга, формировании профилей функционирования
информационных ресурсов.
Сигнатурные методы используются в соответствующих правилах регистрации
признаков возможного возникновения инцидентов, создаваемых и настраиваемых в
том числе пользователем (сотрудником подразделения по управлению компьютерны-
ми инцидентами).
Бессигнатурные методы реализуются разработчиком средства управления со-
бытиями ИБ в программном коде средства, алгоритмы которых не могут быть измене-
ны пользователем (сотрудником подразделения по управлению компьютерными инци-
дентами).
Пример работы правила регистрации признаков возможного возникновения ин-
цидентов представлен на рисунке 1.
Источники событий ИБ

Событие ИБ Событие ИБ Событие ИБ Событие ИБ

Обработка

Корреляция

Условия

Правило регистрации признаков

Признак возможного
возможного возникновения
возникновения инцидента
инцидента

Рисунок 1 – Пример работы правила регистрации признаков возможного возникновения

инцидентов
Правила регистрации признаков возможного возникновения инцидентов могут
содержать условия отбора событий ИБ и иных данных мониторинга в виде отдельных
логических операций, например, конъюнкция («И»), дизъюнкция («ИЛИ»), отрицание
(«НЕ») и их комбинаций, критерии срабатывания правила, учитывающие количествен-
6
 ГОСТ Р
(проект, первая редакция)
ные, временные и иные характеристики событий ИБ и иных данных мониторинга ИБ, а
также результаты их сравнения («больше», «меньше», «равно» и иные). Правила также
могут содержать операторы выполнения действий в зависимости от соответствия пе-
ременных (объектов, принимающих несколько значений) заданному условию, цикличе-
ские и иные операторы, позволяющие повысить эффективность и точность описания
критериев отбора событий ИБ и иных данных мониторинга.
Результатом работы правил является решение средства управления событиями
ИБ о наличии (отсутствии) признака возможного возникновения компьютерного инци-
дентов.

6.2 Регистрация компьютерных инцидентов

6.2.1 Регистрация и уведомление (оповещение) о компьютерных инцидентах
6.2.1.1 Общие положения
После регистрации признака возможного возникновения инцидента с использо-
ванием правила специалист подразделения по управлению компьютерными инциден-
тами проводит его первичный анализ. Для проведения такого анализа в составе ин-
формации о зарегистрированном признаке возможного возникновения инцидента
должны быть отражены все события ИБ и иные данные мониторинга ИБ, которые по-
служили основанием для его автоматизированной регистрации. По результатам анали-
за признака возможного возникновения инцидента специалист подразделения по
управлению компьютерными инцидентами принимает решение о регистрации компью-
терного инцидента, его приоритете и уровне влияния. Регистрация компьютерного ин-
цидента осуществляется если при первичном анализе подтвержден факт возникнове-
ния компьютерного инцидента. Регистрация компьютерного инцидента не осуществля-
ется если при первичном анализе установлено, что регистрация признака возможного
возникновения компьютерного инцидента является результатом ложного срабатывания
правила регистрации признака возможного возникновения компьютерного инцидента
или установлено, что признак возможного возникновения инцидента зарегистрирован в
связи с возникновением инцидента ИБ, который не может быть отнесен к компьютер-
ным инцидентам. Подход к выявлению компьютерных инцидентов из множества инци-
дентов ИБ определен в ГОСТ Р Управление инцидентами, связанными с безопасно-
стью информации. Принципы менеджмента инцидентов.
Формирование карточки компьютерного инцидента является важной частью оце-
нивания компьютерного инцидента и принятия решений по определению мероприятий

7
ГОСТ Р
(проект, первая редакция)
по реагированию. Форматы карточек и каналы их предоставления определяются таким
образом, чтобы обеспечить быстрое реагирование на компьютерные инциденты.
В установленных случаях необходимо реализовать уведомление о компьютер-
ных инцидентах третьей стороны. Например, клиентов организации или организацию,
осуществляющую координацию деятельности в части управления компьютерными ин-
цидентами.
6.2.1.2 Контактная точка
Контактная точка – это организационная роль сотрудника(ов) подразделения по
управлению компьютерными инцидентами, который(е) в средстве управления компью-
терными инцидентами первый(ми) получает(ют) информацию о признаках возможного
возникновения инцидентов, зарегистрированных с использованием правил или на ос-
новании сообщений от пользователей, проводит(ят) первичный анализ зарегистриро-
ванных признаков возможного возникновения инцидентов, по результатам которого
принимается решение о регистрации компьютерного инцидента и в дальнейшем кон-
тролирует(ют) деятельность по обработке компьютерных инцидентов в организации
вплоть до их закрытия, а при необходимости и при установлении причин компьютерных
инцидентов.
Регистрируемые признаки возможного возникновения инцидентов могут распре-
деляться между такими сотрудниками в порядке очереди или с учетом предварительно
определенных типов компьютерных инцидентов или географического местоположения
информационных ресурсов, в которых регистрируются признаки возможного возникно-
вения инцидентов.
При осуществлении контроля деятельности по обработке компьютерных инци-
дентов данные сотрудники подразделения по управлению компьютерными инцидента-
ми должны принимать решения о необходимости эскалации (передачи на более высо-
кий уровень рассмотрения) в ходе каждого соответствующего этапа реагирования на
компьютерные инциденты в том числе о привлечении организации, осуществляющей
координацию деятельности в части управления компьютерными инцидентами. Если та-
кое решение не может быть принято сотрудником, то решение по эскалации и привле-
чению организации, осуществляющей координацию деятельности в части управления
компьютерными инцидентами, принимается руководителем подразделения по управ-
лению компьютерными инцидентами.
В случае если уровень влияния для компьютерного инцидента определен как
«Критический» или «Высокий», то контроль реагирования на такие инциденты должен
8
 ГОСТ Р
(проект, первая редакция)
осуществляться непосредственно руководителем подразделения по управлению ком-
пьютерными инцидентами или его заместителем.
6.2.1.3 Первичный анализ зарегистрированного признака возможного возник-
новения инцидента
При проведении первичного анализа зарегистрированного признака возможного
возникновения инцидента специалист подразделения по управлению компьютерными
инцидентами (контактная точка) выполняет следующие процедуры:
 определяет достаточность информации о зарегистрированном признаке воз-
можного возникновения инцидента, для проведения первичного анализа и, при необхо-
димости, сбор дополнительной информации;
П р и м е ч а н и е – Для сбора дополнительной информации по факту регистрации признака
возможного возникновения инцидента специалист подразделения по управлению компьютерными инци-
дентами может осуществить опрос пользователей и администраторов информационных ресурсов, ис-
пользовать автоматизированные средства для получения данных о функционировании сервисов обес-
печивающих реализацию процессов организации и (или) выполнять иные действия, позволяющие полу-
чить информацию необходимую для того чтобы подтвердить или не подтвердить регистрацию компью-
терного инцидента.
Для проведения первичного анализа признака возможного возникновения инцидента специали-
сту подразделения по управлению компьютерными инцидентами может потребоваться следующая ин-
формация:
‒ информация, подтверждающая или опровергающая факт приведения информационного ре-
сурса в состояние, при котором он полностью и (или) частично не может обрабатывать информацию,
необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или
мониторинг критических процессов;
‒ информация, подтверждающая или опровергающая факт нарушения безопасности инфор-
мации, необходимой для обеспечения критических процессов (нарушение её конфиденциальности, це-
лостности и (или) доступности).
 принимает решение о регистрации компьютерного инцидента, его приоритете
и уровне влияния.
П р и м е ч а н и е – Если при первичном анализе специалист подразделения по управлению
компьютерными инцидентами делает вывод о том, что произошел инцидент ИБ, но не может однозначно
определить относится ли он к компьютерным инцидентам, то должна осуществляться регистрация ком-
пьютерного инцидента. При этом если в процессе реагирования будет выявлено, что данный инцидент
ИБ не относится к компьютерным инцидентам, то такой инцидент может быть переведен в число инци-
дентов ИБ, не относящихся к компьютерным инцидентам уже в процессе реагирования.
Приоритеты и уровни влияния компьютерного инцидента могут определяться вместе с регистра-
цией признака возможного возникновения инцидента при срабатывании правила, но они должны под-

9
ГОСТ Р
(проект, первая редакция)
тверждаться специалистом подразделения по управлению компьютерными инцидентами и при необхо-
димости изменяться.
При подтверждении факта наличия компьютерного инцидента специалист по
управлению компьютерными формирует карточку компьютерного инцидента, которая
на этапе регистрации компьютерного инцидента должна содержать следующие сведе-
ния:
а. дата и время регистрации компьютерного инцидента;
б. тип компьютерного инцидента (в соответствии с типизацией компьютерных
инцидентов);
в. уровень влияния компьютерного инцидента (незначительный, средний, высо-
кий, критический);
г. приоритет компьютерного инцидента (высокий, средний, низкий);
д. информация об информационных ресурсах, вовлеченных в компьютерный ин-
цидент:
 информация об источнике компьютерной атаки (IP-адрес, MAC-адрес);
 информация об объекте воздействия компьютерной атаки (вид программно-
технического средства (сервер, автоматизированное рабочее место, теле-
коммуникационное оборудование), IP-адрес, MAC-адрес, доменное имя,
ПО);
е. краткое описание компьютерного инцидента;
ж. сведения, на основании которых определен компьютерный инцидент (события
ИБ и иные данные мониторинга ИБ);
з. сведения о динамике развития компьютерного инцидента (при наличии такой
информации).
В дальнейшем при реагировании на компьютерный инцидент отчет (карточка)
компьютерного инцидента заполняется сведениями по действиям, выполненным на
каждом этапе реагирования на компьютерный инцидент.
6.2.1.4 Уведомление об инциденте
После подтверждения компьютерного инцидента должно последовать немед-
ленное уведомлением сотрудников, которые включаются в рабочие группы для реаги-
рования на конкретные компьютерные инциденты. Перечень сотрудников, привлекае-
мых к реагированию на конкретные компьютерные инциденты может формироваться в
зависимости от:

10
 ГОСТ Р
(проект, первая редакция)
‒ информационного ресурса, в котором зарегистрирован компьютерный инци-
дент;
П р и м е ч а н и е – Для того чтобы эффективно реагировать на компьютерный инцидент в со-
ставе рабочей группы должны быть специалисты, отвечающие за эксплуатацию информационного ре-
сурса, на котором произошел компьютерный инцидент, так как только эти специалисты обладают права-
ми доступа к информационному ресурсу, позволяющими выполнять все необходимые действия по реа-
гированию на компьютерный инцидент.
‒ территориального расположения такого информационного ресурса;
П р и м е ч а н и е – Территориальное расположение информационного ресурса необходимо
учитывать так как к реагированию на компьютерные инциденты, произошедшие на территориально уда-
ленных объектах, целесообразно привлекать специалистов, находящихся на этих объектах.
‒ типа компьютерного инцидента;
П р и м е ч а н и е – Тип компьютерного инцидента необходимо учитывать так как к реагирова-
нию на компьютерные инциденты некоторых типов может потребоваться привлечь специалистов, обла-
дающих специальными знаниями и умениями. Например, в случае регистрации компьютерного инциден-
та, связанного с «вредоносным программным обеспечением» целесообразно привлекать к реагирова-
нию на такой компьютерный инцидент специалистов, отвечающих за организацию антивирусной защиты
информационного ресурса.
‒ объекты информационной инфраструктуры (СВТ), на которых обнаружены
признаки компьютерного инцидента;
П р и м е ч а н и е – Объекты информационной инфраструктуры (СВТ), на которых обнаружены
признаки компьютерного инцидента, необходимо учитывать так как для выполнения действий по реаги-
рованию на некоторых объектах информационной инфраструктуры необходимо обладать определенны-
ми знаниями и навыками. Например, в случае регистрации инцидента при котором произошло наруше-
ние работоспособности телекоммуникационного оборудования к реагированию на такой инцидент целе-
сообразно привлекать специалистов организации, отвечающих за эксплуатацию сети организации.
6.2.2 Карточки компьютерных инцидентов
В организации должны быть определены правила формирования карточек ком-
пьютерных инцидентов, определяющие:
 формат и содержание основной карточки о компьютерном инциденте;
П р и м е ч а н и е – Основная карточка компьютерного инцидента формируется сразу после
подтверждения компьютерного инцидента. Эта карточка должна содержать как минимум информацию с
описанием компьютерного инцидента, данные мониторинга ИБ, которые послужили основанием для ре-
гистрации компьютерного инцидента, предлагаемый регламент реагирования, а также поля, которые в
дальнейшем должны заполняться на этапе реагирования при документировании действий по реагирова-
нию на компьютерный инцидент в рамках каждого этапа реагирования. При разработке требований к со-
держанию карточки компьютерного инцидента следует учитывать, что содержащиеся в нем данные бу-

11
ГОСТ Р
(проект, первая редакция)
дут являться основой для приобретения и накопления опыта, поэтому важно чтобы карточка заполнялся
как можно более детально.

 перечень, а также описание форматов и содержаний дополнительных карто-

чек компьютерных инцидентов, которые при необходимости могут формироваться на
основе основной карточки компьютерного инцидента и предназначены для предостав-
ления различным участникам деятельности по управлению компьютерными инциден-
тами в том числе и внешним организациям;
П р и м е ч а н и е – Дополнительные карточки компьютерных инцидентов необходимы для того
чтобы осуществлять обмен информацией о компьютерных инцидентах с внешними организациями,
например, с организацией, осуществляющей координацию деятельности в части управления компью-
терными инцидентами. Если основная карточка полностью соответствует согласованному между сторо-
нами обмена формату карточек, то дополнительные карточки могут не создаваться. Для субъектов Гос-
СОПКА формат и содержание карточек компьютерных инцидентов, предоставляемых в НКЦКИ, опреде-
ляется федеральным органом исполнительной власти, уполномоченным в области обеспечения функ-
ционирования ГосСОПКА.
 перечень лиц и (или) организаций, которым должны предоставляться основ-
ные карточки компьютерных инцидентов и дополнительные карточки компьютерных
инцидентов (лица, осуществляющие реагирование на компьютерные инциденты, руко-
водство организации, организации, осуществляющие координацию деятельности в ча-
сти управления компьютерными инцидентами и иные участники деятельности по
управлению компьютерными инцидентами);
 порядок предоставления карточек компьютерных инцидентов;
П р и м е ч а н и е – Специалистам, привлекаемым к реагированию на компьютерные инциденты
карточки компьютерных инцидентов, в устранении которых они участвуют должны предоставляться
только с использованием функционала специализированных средств управления компьютерными инци-
дентами. Это позволит повысить эффективность реагирования на инциденты и автоматизировать про-
цедуры документирования действий, выполняемых в рамках различных этапов реагирования на компью-
терные инциденты. Другие способы предоставления карточек компьютерных инцидентов могут приме-
няться только для информирования иных лиц и (или) организаций.

 контактная информация лиц и (или) организаций, которым должны предостав-

ляться разные карточки компьютерных инцидентов;
 требования к срокам представления разных карточек компьютерных инциден-
тов.
Карточки компьютерных инцидентов могут передаваться внешним организациям
в следующих случаях:

12
 ГОСТ Р
(проект, первая редакция)

 организация оказывает услуги по управлению компьютерными инцидентами, и

клиенты должны быть проинформированы о компьютерном инциденте в соответствии с
контрактом (договором);
 компьютерный инцидент может затронуть другие организации, которые долж-
ны быть проинформированы;
 информация о компьютерном инциденте требуется правоохранительным ор-
ганам;
 предоставление информации о компьютерных инцидентах организации, осу-
ществляющей координацию деятельности в части управления компьютерными инци-
дентами.
Если зарегистрированный компьютерный инцидент произошел в результате ком-
пьютерной атаки, то дополнительно к карточке компьютерного инцидента должна фор-
мироваться карточка компьютерной атаки, которую также необходимо представлять в
организацию, осуществляющую координацию деятельности в части управления ком-
пьютерными инцидентами.
Если при реагировании на компьютерный инцидент был установлен факт ис-
пользования уязвимости, то дополнительно к карточке компьютерного должна форми-
роваться карточка уязвимости, которую также необходимо представлять в организа-
цию, осуществляющую координацию деятельности в части управления компьютерными
инцидентами.
П р и м е ч а н и е – Для субъектов ГосСОПКА формат и содержание карточек компьютерных
атак и карточек уязвимостей, предоставляемых в НКЦКИ, определяется федеральным органом исполни-
тельной власти, уполномоченным в области обеспечения функционирования ГосСОПКА.
Основные карточки компьютерных инцидентов после закрытия соответствующих
компьютерных инцидентов не должны удаляться так как они могут быть использованы
в дальнейшем как типовые шаблоны действий по реагированию на аналогичные ком-
пьютерные инциденты и при проведении анализа деятельности по управлению компь-
ютерными инцидентами с целью приобретения и накопления опыта необходимого для
предотвращения повторного возникновения компьютерных инцидентов и повышения
эффективности реагирования на компьютерные инциденты (подраздел 9 настоящего
стандарта), а также при реагировании на новые инциденты.
П р и м е ч а н и е – Для того чтобы повысить эффективность использования карточек закрытых
компьютерных инцидентов в качестве типовых шаблонов действий по реагированию на аналогичные
компьютерные инциденты в организации, может формироваться база знаний, которая может быть до-

13
ГОСТ Р
(проект, первая редакция)
ступна сотрудникам, осуществляющим реагирование на компьютерные инциденты при работе с новыми
компьютерными инцидентами или применять иные средства для автоматизации доступа к карточкам за-
крытых инцидентов, которые могут использоваться как типовые шаблоны действий по реагированию.

7 Реагирование на компьютерные инциденты

7.1 Общие положения

Процесс реагирования на компьютерные инциденты состоит из следующих по-
следовательных этапов:
 локализация компьютерного инцидента;
 выявление последствий компьютерного инцидента;
 ликвидация последствий компьютерного инцидента;
 закрытие компьютерного инцидента.
Основными целями процесса реагирования на компьютерные инциденты явля-
ются:
 не допустить или минимизировать последствия компьютерного инцидента, со-
храняя непрерывность критических организации;
 обеспечить эффективное и своевременное восстановление работоспособно-
сти (штатного функционирования) информационных ресурсов;
 повысить уровень обеспечения ИБ в организации и эффективность ведения
деятельности по управлению компьютерными инцидентами.

7.2 Локализация компьютерного инцидента

Этап локализации компьютерного инцидента представляет собой действия,
направленные на определение и ограничение функционирования информационных
ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инци-
дента с целью предотвращения его дальнейшего распространения.
На Рисунке 2 представлена схема организационного процесса этапа локализа-
ции компьютерного инцидента

14
 ГОСТ Р
(проект, первая редакция)

Специалист, ответственный за Определение

реагирование первоочередных мер

Ограничение Сохранение целостности

Оповещение о Ограничение доступа
взаимодействия объекта информации о
компьютерном инциденте нарушителя к объекту
атаки с информационным компьютерном инциденте
и начале реагирования атаки
ресурсом (цифровых свидетельств)

Пользователь информационного
Создание задания по
ресурса, задействованного в
локализации компьютерного
компьютерном инциденте
инцидента

Выполнение мер по Протоколирование Передача информации

локализации выполненных действий о выполненных мерах

Специалист подразделения по
управлению компьютерными
инцидентами Компьютерный инцидент
локализован
Проверка Переход на этап выявления
эффективности последствий
выполненных мер компьютерного инцидента
Требуемый эффект
отсутствует Создание задания на
доработку выполнения мер

Рисунок 2 — Схема организационного процесса этапа локализации компьютерного ин-

цидента

7.2.1 Цели локализации компьютерного инцидента

Цель локализации компьютерного инцидента состоит в том, чтобы предотвра-
тить следующие возможные действия злоумышленника:
 предотвратить нарушения конфиденциальности, целостности или доступности
информации в следствие НСД;
 предотвратить несанкционированное вмешательство в работу информацион-
ного ресурса;
 предотвратить использование информационного ресурса для атаки на смеж-
ные ресурсы.
7.2.2 Способы локализации компьютерных инцидентов
В общем случае деятельность по локализации компьютерных инцидентов не мо-
жет быть формализована, а результат ее выполнения определяется опытом и компе-
тенцией специалистов, участвующих в устранении конкретного компьютерного инци-
дента, а также наличием у специалистов, осуществляющих реагирование на компью-
терные инциденты доступа к информации о действиях, которые выполнялись при ло-
кализации аналогичных компьютерных инцидентов.

15
ГОСТ Р
(проект, первая редакция)
К примерам возможных стратегий, которые могут применяться при локализации
компьютерных инцидентов можно отнести:
 Применение блокировок (использование межсетевого экрана). Блокировки с
использованием межсетевых экранов используются для предотвращения несанкцио-
нированного воздействия со стороны идентифицированной внешней системы. Напри-
мер, с использованием межсетевого экрана можно заблокировать информационные
потоки с IP-адресов, с которых распространяется ВПО, шпионское ПО, неразрешенное
ПО, а также IP-адресов почтовых ретрансляторов, источников «фишинга» и «спама»
или известных IP-адресов хостов нарушителей. Почтовые блокировки включают филь-
трацию вложений, строк темы и адреса отправителей. Для предотвращения доступа к
неразрешенным или вредоносным веб-сайтам, или хостам (узлам) могут применяться
блокировки URL-адресов и доменных имен.
 Отключение (изоляция, исключение). Отключение зараженного информацион-
ного ресурса (группы ресурсов) от сети электросвязи, может помочь предотвратить за-
ражение остальной части сети. Отключение информационного ресурса (группы ресур-
сов) от информационно-телекоммуникационной сети «Интернет» или любых других
общедоступных сетей электросвязи может помочь предотвратить НСД и, соответ-
ственно, нарушение конфиденциальности, целостности и доступности информации.
Отключение (изоляция, исключение) информационного ресурса (или группы ресурсов)
и/или сегмента сети электросвязи от остальной части сети может помочь предотвра-
тить дальнейшее заражение или сдерживание злонамеренных действий в информаци-
онной инфраструктуре или в отдельном сегменте сети. Это позволит информационным
ресурсам корректно функционировать и при этом не распространять вредоносную ак-
тивность на остальную часть информационной инфраструктуры. В некоторых случаях
может быть целесообразным осуществлять мониторинг вредоносной активности, огра-
ничив при этом возможности злоумышленника атаковать другие информационные ре-
сурсы.
 Выключение. В случае установления факта того, что дальнейшее функциони-
рование информационного ресурса приведет к уничтожению (потере) данных в инфор-
мационной инфраструктуре организации, в качестве меры сдерживания может быть
принято решение о прекращении функционирования информационного ресурса. Если
будет установлено, что определенный информационный ресурс, например, сервер
электронной почты или веб-сервер, должен быть выключен до тех пор, пока не будет
предотвращено распространение ВПО, то функционирование данного сервера должно
16
 ГОСТ Р
(проект, первая редакция)
быть приостановлено. Следует иметь в виду, что выключение сервера может отрица-
тельно сказаться на работе конкретных пользователей, сервисов и различных критиче-
ских процессов. Это решение должно приниматься в координации с соответствующим
руководителем и/или ответственными за функционирование информационных ресур-
сов организации (системные или сетевые администраторы).
 Изменения маршрутизации. Изменения маршрутизации осуществляются с це-
лью устранения маршрута, по которому действует злоумышленник, препятствуя зло-
умышленнику получить доступ к информационным ресурсам, которые могут являться
объектами атаки, а также блокирования механизмов передачи (распространения) ВПО
между «зараженными» информационными ресурсами.
 Отключение процессов. Данная стратегия подразумевает отключение процес-
сов, которые могли быть использованы при компьютерной атаке.
 Отключение учетных записей пользователей. Данная стратегия подразумева-
ет отключение учетных записей пользователей, которые могли быть использованы при
компьютерной атаке.
П р и м е ч а н и е – Любые изменения в информационных ресурсах, включая действия по лока-
лизации, могут привести к потере (уничтожению) информации о компьютерном инциденте (цифровых
свидетельств). Следует убедиться, что вся необходимая для установления причин компьютерных инци-
дентов информация (цифровые свидетельства) собрана в полном объеме перед внесением каких-либо
системных изменений.

7.3 Выявление последствий компьютерного инцидента

На этапе выявления последствий компьютерного инцидента специалисты, при-
нимающие участие в реагировании на компьютерный инцидент, должны определить и
провести анализ последствий компьютерных инцидентов, который включает:
 выявление признаков негативного воздействия на элементы информационной
инфраструктуры в результате компьютерного инцидента;
 оценку негативного влияния компьютерного инцидента на информационные
ресурсы, задействованные в компьютерном инциденте.
Организационный процесс этапа выявления последствий компьютерного инци-
дента представлен на рисунке 3.

17
ГОСТ Р
(проект, первая редакция)
Выявление признаков
Специалист, ответственный за Описание признаков негативного
негативного воздействия на
реагирование воздействия на элементы ИИ
элементы ИИ

Передача информации Оценка негативного влияния

Протоколирование
о выполненных компьютерного инцидента на
выполненных действий
действиях информационные ресурсы
Последствия компьютерного
инцидента определены
Специалист подразделения по Переход на этап
Проверка достаточности
управлению компьютерными ликвидации последствий
выполненных мер
инцидентами компьютерного инцидента
Требуемый эффект
отсутствует Создание задания на
доработку выполнения мер

Рисунок 3 — Схема организационного процесса этапа выявления последствий компью-

терного инцидента

При выявлении признаков негативного воздействия на элементы информацион-

ной инфраструктуры в результате компьютерного инцидента специалистами, ответ-
ственными за реагирование на компьютерный инцидент проводится детальный анализ
полученных ранее технических данных.
В общем случае порядок проведения такого анализа не может быть формализо-
ван, а результат анализа определяется опытом и компетенцией специалистов, участ-
вующих в его проведении, а также наличием у специалистов, осуществляющих реаги-
рование на компьютерные инциденты доступа к информации о действиях, которые вы-
полнялись при выявлении последствий аналогичных компьютерных инцидентов. К
примерам признаков негативного воздействия на элементы информационной инфра-
структуры, которые выявляются в ходе анализа можно отнести:
 нештатная сетевая активность объекта воздействия компьютерной атаки;
 созданные, модифицированные, удаленные файлы, каталоги, параметры
настройки ПО, включая ПО средств ЗИ;
 отклонения от эталонных (допустимых) параметров конфигурации операцион-
ной системы (ОС), и ПО, включая ПО средств ЗИ;
 отклонения от эталонного (допустимого) состава, установленного в ОС, ПО;
 отклонения от эталонного (допустимого) содержания системных и защищае-
мых файлов;
 выполненные потенциально вредоносные команды, в том числе расположен-
ные в оперативной памяти СВТ – объекта воздействия компьютерной атаки;
 признаки, идентифицирующие источник компьютерной атаки;
18
 ГОСТ Р
(проект, первая редакция)

 признаки сбоев, перезагрузок, остановок и других нарушений в штатной рабо-

те ПО, признаки нарушений функционирования сетевых служб, аномального использо-
вания системных ресурсов;
 другая информация, характерная отдельным типам компьютерных инциден-
тов, компьютерных атак.
При оценке негативного воздействия на элементы информационной инфраструк-
туры в результате компьютерного инцидента должны оцениваться:
 трудозатраты, связанные с проведением мероприятий по реагированию на
компьютерный инцидент;
 время простоя функционирования информационных ресурсов;
 вред, причиненный интересам лица, ответственного за эксплуатацию элемен-
та информационной инфраструктуры, подверженного воздействию, пользователя
(пользователей) элемента информационной инфраструктуры, подверженного воздей-
ствию, в том числе связанный с нарушением конфиденциальности, целостности и до-
ступности сведений, обрабатываемых данным объектом;
 вред, причиненный организации, в том числе репутационные потери, экономи-
ческий ущерб и иной вред;
 финансовые затраты на восстановление штатного функционирования инфор-
мационных ресурсов.
Переход на следующий этап реагирования на компьютерный инцидент осу-
ществляется после того, как руководитель (его заместитель или ответственный за от-
работку компьютерного инцидента) подразделения по управлению компьютерными ин-
цидентами убедится в достаточности выполненных действий и наличия заполненной
соответствующей информации в карточке компьютерного инцидента.
Если выполненные действия недостаточны или неэффективны при наличии воз-
можности применения иных мер, то руководитель (его заместитель или ответственный
за отработку компьютерного инцидента) подразделения по управлению компьютерны-
ми инцидентами формирует новое задание.

7.4 Ликвидация последствий компьютерного инцидента

На этапе ликвидации последствий компьютерного инцидента специалисты, при-
нимающие участие в реагировании на компьютерный инцидент, должны выполнить
удаление следов компьютерного инцидента и/или восстановление объекта (ов) воз-

19
ГОСТ Р
(проект, первая редакция)
действия компьютерной атаки в состояние, предшествующее нарушению безопасности
информации.
Организационный процесс этапа ликвидации последствий компьютерного инци-
дента представлен на рисунке 4.
Определение направления
Специалист ответственный за Согласование Создание задания по
выполняемых работ по ликвидации
реагирование состава работ выполнению работ
последствий компьютерного инцидента

Пользователь информационного
ресурса, задействованного в
компьютерном инциденте

Отмена на объекте, подвергшемся

Специалист подразделения по
управлению компьютерными
инцидентами
Пользователь информационного
ресурса, задействованного в
компьютерном инциденте
Специалист подразделения по
управлению компьютерными
инцидентами
Создание резервной Передача информации
воздействию выявленных изменений
копии ОС, ПО о выполненных мерах
от вредоносных действий
Проверка достаточности Передача информации о завершении
выполненных мер реагирования на компьютерный инцидент
Требуемый эффект не
достигнут Создание задания на
доработку
выполнения мер
Проверка корректности выполненных процессов Определение необходимости проведения
реагирования на компьютерный инцидент служебного или судебного расследования
Выявлены
недостатки Создание задания на
доработку
выполнения мер

Рисунок 4 — Схема организационного процесса этапа ликвидации последствий

компьютерного инцидента

Первоначально, специалисты, принимающие участие в реагировании на компью-

терные инциденты, планируют стратегию выполнения работ и согласовывают ее с ли-
цом, ответственным за эксплуатацию объекта воздействия компьютерной атаки. В за-
висимости от уровня воздействия компьютерной атаки и объема негативных воздей-
ствий определяются необходимые работы по отмене обнаруженных на объекте воз-
действия изменений от компьютерной атаки. Необходимо отметить, что данные работы
выполняются вне зависимости от компетенции специалистов, принимающих участие в
реагировании на компьютерные инциденты, и уровня критичности объекта воздействия
компьютерной атаки. При недостаточной квалификации специалистов руководителем
(его заместителем или ответственным за отработку компьютерного инцидента) должно
приниматься решение о необходимости взаимодействия с организациями, осуществ-
ляющими координацию деятельности в части управления компьютерными инцидента-
ми в целях получения необходимой технической помощи.
В общем случае деятельность по ликвидации последствий компьютерного инци-
дента не может быть формализована, а результат ее выполнения определяется опы-

20
 ГОСТ Р
(проект, первая редакция)
том и компетенцией специалистов, участвующих в устранении конкретного инцидента,
а также наличием у специалистов, осуществляющих реагирование на компьютерные
инциденты доступа к информации о действиях, которые выполнялись при ликвидации
последствий аналогичных компьютерных инцидентов.
К примерам возможных мер, которые могут быть приняты для ликвидации по-
следствий компьютерного инцидента, приведшего к негативным последствиям на
уровне сети, можно отнести:
 внесение изменений в параметры настроек ПО, функционирующего в инфор-
мационных ресурсах, вовлеченных в компьютерный инцидент;
 подключение резервных ресурсов (каналы связи, серверное оборудование,
виртуальные машины, оборудование из состава запасных инструментов и принадлеж-
ностей);
 внесение изменений в архитектуру информационных ресурсов, вовлеченных в
компьютерный инцидент, включая соответствующую проектную документацию;
 миграция (перемещение) виртуальных машин в сторонние виртуальные ин-
фраструктуры.
К примерам возможных мер, которые могут быть приняты для ликвидации по-
следствий компьютерного инцидента, приведшего к негативным последствиям на
уровне прикладного или специального ПО, можно отнести:
 выполнение настройки безопасной конфигурации информационного ресурса,
вовлеченного в компьютерный инцидент;
 восстановление из актуальных резервных копий файлов, баз данных, конфи-
гурационных файлов, подвергшихся модификации при компьютерном инциденте;
 восстановление удаленных файлов, в том числе с использованием специаль-
ных инструментальных средств;
 удаление ПО, вовлеченного в компьютерный инцидент и всех его файлов с
последующей установкой актуальной версии данного ПО и актуальных обновлений
безопасности.
К примерам возможных мер, которые могут быть приняты для ликвидации по-
следствий компьютерного инцидента, приведшего к негативным последствиям на
уровне ОС, можно отнести:
 удаление следов вредоносной активности;
 восстановление ОС в целом объекта воздействия;

21
ГОСТ Р
(проект, первая редакция)

 настройка безопасной конфигурации ОС.

 переустановка ОС и ПО с последующей установкой актуальных обновлений
безопасности.
После завершения работ руководитель (его заместитель или ответственный за
отработку компьютерного инцидента) совместно с ответственным за эксплуатацию ин-
формационного ресурса проверяет их достаточность.
Если выполненные действия недостаточны или неэффективны, то руководитель
(его заместитель или ответственный за отработку компьютерного инцидента) форми-
рует соответствующее задание. Специалисты, принимающие участие в реагировании
на компьютерные инциденты, после получения нового задания незамедлительно при-
ступают к его выполнению.
Если выполненные действия достаточны, руководитель (его заместитель или от-
ветственный за отработку компьютерного инцидента) принимает решение о закрытии
компьютерного инцидента и необходимости проведения мероприятий по установлению
причин возникновения компьютерного инцидента.
При проведении мероприятий по установлению причин возникновения компью-
терного инцидента фиксируются технические данные, результаты проводимых иссле-
дований носителей информации, результаты анализа технических данных и иная ин-
формация о компьютерном инциденте (цифровые свидетельства).

7.5 Закрытие компьютерного инцидента

Закрытие компьютерного инцидента может быть выполнено только после приня-
тия всех мер, предусмотренных на этапах локализации компьютерного инцидента и
выявления и ликвидации его последствий стадии реагирования на компьютерный ин-
цидент при условии, что реагирование на компьютерный инцидент показало достаточ-
ность принятых мер.
Решение о закрытии компьютерного инцидента принимается по результатам
проверки руководителем подразделения по управлению компьютерными инцидентами
(заместителем руководителя, ответственным за отработку компьютерного инцидента),
в ходе которой определяется полнота выполненных и запротоколированных мероприя-
тий по реагированию на компьютерный инцидент, выполненных на каждом этапе.
В случае получения неудовлетворительных результатов принятых мер на этапах
реагирования на компьютерный инцидент или в других случаях, по решению руководи-
теля (заместителя руководителя, ответственного за отработку компьютерного инци-

22
 ГОСТ Р
(проект, первая редакция)
дента), меры, принимаемые на соответствующих этапах реагирования могут выпол-
няться повторно.
Закрытый компьютерный инцидент считается полностью устраненным.
Выявленный (обнаруженный) новый компьютерный инцидент с идентичными
признаками закрытого компьютерного инцидента, регистрируется как новый.
Деятельность после компьютерного инцидента может включать установление
причин компьютерного инцидента. Деятельность по управлению компьютерными инци-
дентами в части установления причин компьютерного инцидента рассмотрена в разде-
ле 8 настоящего стандарта.

8 Установление причин компьютерных инцидентов

Деятельность по установлению причин компьютерных инцидентов направлена

на определение факторов, обусловивших возможность возникновения компьютерного
инцидента и (или) способствовавших его возникновению. Существуют различные виды
анализа цифровых свидетельств компьютерных инцидентов, которые могут быть вы-
полнены для установления причин. К ним относятся:
 анализ действий пользователей;
 системный анализ;
 сетевой анализ;
 анализ программных и информационных объектов.
Анализ действий пользователей является процессом изучения сведений, задо-
кументированных в ходе интервьюирования лица, взаимодействующего с объектом
компьютерного инцидента в момент его возникновения, и лиц, являющихся админи-
страторами объекта компьютерного инцидента, о выполняемых (невыполняемых) дей-
ствиях в ОС, ПО, действиях с СВТ объекта компьютерного инцидента в целях опреде-
ления действия, которое могло способствовать возникновению компьютерного инци-
дента.
К сведениям, подлежащим изучению в ходе анализа действий пользователей,
относятся:
 действия пользователей (администраторов), которые выполнялись с инфор-
мационным ресурсом до и во время регистрации компьютерного инцидента (например,
посещение веб-сайта, открытие сообщения электронной почты, открытие электронного

23
ГОСТ Р
(проект, первая редакция)
документа, подключение носителя информации к СВТ, подключение СВТ к сетевой ро-
зетке);
 сведения об игнорировании пользователем (администратором) появляющихся
сообщений ОС, ПО (например, о необходимости выполнить обновление ОС, ее переза-
грузку, о необходимости ввести в определенные поля учетные данные пользователя, о
выявленном потенциально вредоносном файле).
Системный анализ является процессом изучения событий и ОС, ПО, которые
происходили до и во время возникновения компьютерного инцидента.
К сведениям, подлежащим изучению в ходе системного анализа, относятся:
 журналы (протоколы) регистрации событий ИБ ОС и ПО;
 информация о запущенных программных процессах;
 информация об установленных сетевых сессиях и открытых сетевых портах;
 реестр операционной системы (при наличии);
 информация об атрибутах объектов файловой системы;
 состав учетных записей пользователей и их прав.
Анализ защищенности является процессом изучения информации об актуальных
уязвимостях ОС и ПО объекта компьютерного инцидента.
К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:
 существующие результаты проведения мероприятий по анализу защищенно-
сти информационной системы и тестированию ее системы ЗИ;
 сетевая конфигурация ОС, ПО;
 групповые политики безопасности ОС;
 функциональные параметры настроек ПО, служб ОС;
 состав установленных (неустановленных) актуальных обновлений безопасно-
сти ОС и ПО;
 состав программного и аппаратного обеспечения СВТ объекта компьютерного
инцидента.
Сетевой анализ является процессом изучения сетевого трафика и информации о
потоках сетевого трафика в отношении объекта компьютерного инцидента до, во время
и после возникновения компьютерного инцидента.
К сведениям, подлежащим изучению в ходе сетевого анализа, относятся:

24
 ГОСТ Р
(проект, первая редакция)

 копия сетевого трафика и (или) его фрагменты, зафиксированные средствами

записи (анализа) сетевого трафика, из (в) сегмента (сегмент) информационно-
телекоммуникационной сети, в котором расположен объект компьютерного инцидента;
 копия сетевого трафика и (или) его фрагменты, зафиксированные средством
обнаружения компьютерных атак (системой обнаружения вторжений) или иными сред-
ствами выявления угроз безопасности информации;
 статистическая и иная информация о потоках сетевого трафика между объек-
том компьютерного инцидента и вероятным источником угрозы безопасности инфор-
мации, а также между объектом компьютерного инцидента и другими сетевыми устрой-
ствами информационно-телекоммуникационной сети;
 статистическая и иная информация о потоках сетевого трафика, зафиксиро-
ванная телекоммуникационным оборудованием или специализированными средства-
ми.
П р и м е ч а н и е – Потоком считается набор сетевых кадров, проходящих в одном направлении
к одному сетевому устройству в рамках одного сетевого сеанса.
Анализ программных и информационных объектов является процессом иденти-
фикации вредоносного программного кода в объектах файловой системы, в оператив-
ной памяти СВТ и в информационных объектах (веб-ссылки, программный код веб-
страницы, карточные транзакции и иные структурированные конструкции данных), вы-
явления в них связей с вредоносными ресурсами или ресурсами, предположительно
используемыми нарушителями, а также определения принципа их работы.
Для анализа программных объектов могут выполняться следующие процедуры:
 обратная разработка исполняемых и бинарных файлов путем дизассемблиро-
вания их машинного кода, декомпиляции (восстановление) программного кода до ис-
ходного (первоначального), использования режима отладки программного кода;
 изучение поведения программных объектов и влияния их на среду функцио-
нирования, файловую систему в автоматизированной замкнутой системе (среде) пред-
варительного выполнения программ.
При установлении причин компьютерного инцидента могут проводиться несколь-
ко видов анализа. Уровень или глубина проводимого анализа часто может зависеть от
поставленной задачи в организации.

25
ГОСТ Р
(проект, первая редакция)

9 Анализ результатов деятельности по управлению компьютер-

ными инцидентами

9.1 Приобретение и накопление опыта по результатам управления компью-

терными инцидентами
Процесс приобретения и накопления опыта является важной составляющей ве-
дения деятельности по управлению компьютерными инцидентами. После завершения
всех этапов реагирования на компьютерный инцидент, включая его закрытие и после-
дующее установление причин его возникновения, важно, чтобы организация приобрела
и накопила опыт управления компьютерными инцидентами, а также обеспечила приня-
тие соответствующих решений на основе приобретенного и накопленного опыта. При-
обретение и накопление опыта также может осуществляться по результатам оценки
защищенности и устранения обнаруженных уязвимостей.
Приобретение и накопление опыта по результатам управления компьютерными
инцидентами позволит:
 актуализировать систему управления ИБ организации. Это могут быть техни-
ческие или нетехнические (в том числе физические) меры ЗИ. Данные меры ЗИ могут
включать необходимость оперативной актуализации документации в части обеспече-
ния ИБ, такой как политика обеспечения ИБ организации или организационно-
распорядительные документы по ЗИ.
 актуализировать политику управления компьютерными инцидентами и план
реагирования на компьютерные инциденты с целью повышения эффективности дея-
тельности по управлению компьютерными инцидентами.

9.2 Оценка результатов и эффективности реагирования на компьютерные

инциденты
После того, как подразделение по управлению компьютерными инцидентами
приступило к выполнению своих обязанностей его руководитель должен оценивать
эффективность подразделения, а именно то, насколько деятельность подразделения
отвечает потребностям организации. Такая оценка может проводиться периодически,
по итогам закрытия одного или нескольких компьютерных инцидентов или в ходе реа-
гирования на компьютерный инцидент по итогам выполнения каждого из этапов реаги-
рования.

26
 ГОСТ Р
(проект, первая редакция)
Результаты и эффективность реагирования на компьютерные инциденты могут
оцениваться по следующим критериям:
 эффективность процедур, выполняемых на каждом этапе стадий обнаружения
и регистрации компьютерных инцидентов и реагирования на компьютерные инциденты;
 показатели эффективности деятельности по управлению компьютерными ин-
цидентами (среднее время первичного анализа признаков возможного возникновения
инцидентов для регистрации компьютерного инцидента, среднее время назначения
рабочей группы для реагирования на компьютерный инцидент, среднее время локали-
зации компьютерного инцидента среднее время реагирования на компьютерные инци-
денты, процент компьютерных инцидентов, для которых были нарушены сроки локали-
зации, процент компьютерных инцидентов, для которых были нарушены сроки реаги-
рования, количество компьютерных инцидентов критического и высокого уровня влия-
ния, которые на этапе закрытия были возвращены на один из предыдущих этапов реа-
гирования, количество компьютерных инцидентов, зарегистрированных повторно в те-
чение 24 часов после их закрытия и иные);
 работоспособность информационных ресурсов, задействованных в компью-
терном инциденте, после ликвидации его последствий;
 отзывы сотрудников организации о деятельности подразделения по управле-
нию компьютерными инцидентами.

9.3 Актуализация системы управления ИБ

После закрытия нескольких компьютерных инцидентов, установления причин их
возникновения, оценки эффективности мер, принятых на каждом этапе в ходе реагиро-
вания на компьютерные инциденты, могут быть определены новые или актуализирова-
ны существующие меры обеспечения ИБ организации. Такими мерами могут быть тех-
нические (в том числе физические) меры, которые могут включать необходимость
быстрого обновления материалов и проведения информационных брифингов по во-
просам ИБ (для пользователей и другого персонала), актуализация и выпуск докумен-
тов, регламентирующих обеспечение ИБ организации. Кроме того, информационная
инфраструктура организации должна регулярно подвергаться оценке защищенности, с
целью выявления уязвимостей и повышения ее уровня защищенности.
В соответствии с вновь определенными и актуализированными мерами обеспе-
чения ИБ организации должна быть актуализирована политика обеспечения ИБ орга-
низации.
27
ГОСТ Р
(проект, первая редакция)
Оперативное выполнение актуализации существующих мер обеспечения ИБ ор-
ганизации или внедрение новых может не представляться возможным, как по финан-
совым, так и по техническим причинам, но должно учитываться в планах развития ор-
ганизации.

9.4 Актуализация политики управления компьютерными инцидентами и

плана реагирования на компьютерные инциденты
После завершения всех этапов реагирования на компьютерный инцидент, вклю-
чая его закрытие и последующее установление причин его возникновения руководи-
тель подразделения по управлению компьютерными инцидентами или сотрудник дан-
ного подразделения, исполняющий его обязанности должен проанализировать и опре-
делить эффективность мер, принятых на каждом этапе в ходе реагирования на компь-
ютерный инцидент.
Такой анализ направлен на то, чтобы определить насколько эффективны те или
иные процессы и процедуры плана реагирования на компьютерные инциденты.
Анализ мер, принятых на каждом этапе в ходе реагирования целесообразно про-
водить в отношении компьютерных инцидентов с высоким и критическим уровнями
влияния.
Также, после завершения всех этапов реагирования на компьютерный инцидент,
включая его закрытие и последующее расследование целесообразно проводить рабо-
чие совещания со всеми специалистами, принимающими участие в управлении компь-
ютерными инцидентами на стадиях обнаружения и регистрации компьютерных инци-
дентов и реагирования на компьютерные инциденты.
На рабочем совещании целесообразно обсудить следующие вопросы:
1. Оценка достаточности и применимости процессов и процедур реагирования
на компьютерные инциденты, изложенные в плане.
2. Предложения по включению в план реагирования на компьютерные инциден-
ты дополнительных процессов и процедур, которые могли бы повысить эффективность
мероприятий, выполняемых на стадии обнаружения и регистрации компьютерных ин-
цидентов.
3. Предложения по включению в план реагирования на компьютерные инциден-
ты дополнительных процессов и процедур, которые могли бы повысить эффективность
мероприятий, выполняемых на стадии реагирования на компьютерные инциденты.

28
 ГОСТ Р
(проект, первая редакция)
4. Предложения по использованию дополнительных инструментальных средств,
с целью повышения эффективности реагирования и расследования компьютерных ин-
цидентов.
5. Оценка эффективности передачи (обмена) информации о компьютерном ин-
циденте между всеми сторонами, принимающими участие (задействованными) на ста-
диях обнаружения и регистрации компьютерных инцидентов и реагирования на компь-
ютерные инциденты.
По итогам проведения анализа и рабочего совещания должны быть определены
соответствующие изменения (корректировки, дополнения) плана реагирования на ком-
пьютерные инциденты.
Все изменения (корректировки, дополнения), предлагаемые к внесению в план
реагирования на компьютерные инциденты по результатам проведения анализа и ра-
бочего совещания, относящиеся к процессам и процедурам, применяемым при управ-
лении компьютерными инцидентами, должны быть надлежащим образом проверены и
протестированы, т.е. должны быть проведены тренировки по отработке мероприятий
плана управления компьютерными инцидентами (см. Раздел 12 ГОСТ Р Управление
инцидентами, связанными с безопасностью информации. Руководство по планирова-
нию и подготовке к реагированию на инциденты).

29
ГОСТ Р
(проект, первая редакция)

УДК 004.622:006.354 ОКС 35.020

Ключевые слова: компьютерный инцидент, управление компьютерными инцидента-
ми, обнаружение, регистрация, реагирование, событие ИБ

30