Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59711-2022 "Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2022 г. N 1377-ст)
- Приложение Б (обязательное). Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты
Приложение Б (обязательное). Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты
Приложение Б
(обязательное)
Подход к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты
В приложении Б приведено описание подхода к определению приоритетов компьютерных инцидентов и очередности реагирования на компьютерные инциденты.
Представленный подход может быть уточнен в соответствии с потребностями организации, ведущей деятельность по управлению компьютерными инцидентами.
Б.1 Общие положения
Подход к определению приоритетов компьютерных инцидентов основан на использовании следующих характеристик регистрируемых компьютерных инцидентов:
- значимость элементов информационной инфраструктуры, на которых обнаружены признаки зарегистрированного компьютерного инцидента;
- масштаб компьютерного инцидента.
Подход к определению приоритетов компьютерных инцидентов также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте.
По каждому критерию установлено не более трех приоритетов:
- высокий;
- средний;
- низкий.
Итоговый приоритет компьютерного инцидента оценивают как максимальный приоритет среди определенных по разным критериям. Например, если по критерию "значимость элементов информационной инфраструктуры" приоритет компьютерного инцидента определен как высокий, а по критерию "масштаб компьютерного инцидента" как средний, то итоговый приоритет компьютерного инцидента определяют как высокий.
Приоритеты не зависят от уровней влияния компьютерных инцидентов и могут использоваться совместно с ними для определения очередности отработки компьютерных инцидентов. Порядок определения очередности реагирования на компьютерные инциденты приведен в таблице Б.1.
Таблица Б.1 - Порядок определения очередности реагирования на компьютерные инциденты
|
Очередь реагирования |
1-я |
2-я |
3-я |
4-я |
5-я |
6-я |
7-я |
8-я |
9-я |
|
Уровень влияния компьютерного инцидента |
Критический |
Высокий |
Высокий |
Средний |
Средний |
Средний |
Низкий |
Низкий |
Низкий |
|
Приоритет компьютерного инцидента |
Высокий |
Высокий |
Средний |
Высокий |
Средний |
Низкий |
Высокий |
Средний |
Низкий |
Б.2 Значимость элементов информационной инфраструктуры
В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от значимости СВТ, на которых обнаружены признаки данного компьютерного инцидента. Значимость СВТ определяют в зависимости от функционирующих на данном СВТ сервисов, содержащейся на нем информации и (или) возможности распространения компьютерного инцидента на более значимые СВТ.
К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации либо компьютерные инциденты, признаки которых обнаружены на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.
К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на СВТ, с которых компьютерный инцидент наиболее быстро может распространиться на СВТ, на которых функционируют сервисы, нарушение которых может привести к прекращению или нарушению самых критичных процессов организации, либо на СВТ, на которых обрабатывается информация, необходимая для обеспечения самых критичных процессов организации.
К низкому приоритету рекомендуется относить остальные компьютерные инциденты.
Примечание - Важно отличать приоритет от уровня влияния, так как уровень влияния определяется критичностью затронутого компьютерным инцидентом процесса, а при определении приоритета учитывают и другие критические процессы, функционирующие на тех же СВТ.
Б.3 Масштаб компьютерного инцидента
В соответствии с данным показателем приоритет компьютерного инцидента определяют в зависимости от количества СВТ, на которых обнаружены признаки зарегистрированного компьютерного инцидента.
К высокому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 30 % и более процентах СВТ.
К среднему приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены на 10-30 % СВТ.
К низкому приоритету рекомендуется относить компьютерные инциденты, признаки которых обнаружены менее чем на 10 % СВТ.