ГОСТ Р ИСО/МЭК 27033-2-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей
8.5 Регистрация, мониторинг и реагирование на инциденты
Сервер аудита должен быть сконфигурирован со всеми шлюзами безопасности, расположенными в ДМЗ, защищенной как от внешней, так и от внутренней сетей, а также от всех других соответствующих устройств безопасности, расположенных внутри или за пределами ДМЗ. Сервер аудита не следует располагать в домене внутренней сети, а непосредственный доступ к нему следует предоставлять назначенному администратору безопасности, ответственному за шлюзы/межсетевые экраны. Однако потребуется право записи для выгрузки журналов регистрации событий с помощью безопасного протокола (например, Secure Copy Protocol, SCP) из компонентов инфраструктуры, серверов и межсетевых экранов. Все журналы регистрации событий МЭ и связанных с ним систем следует направлять на этот сервер аудита для последующего изучения сотрудниками службы безопасности с помощью ПО для анализа журналов регистрации событий.
Управление информацией о безопасности включает в себя сбор и стандартизацию собранной информации, чтобы решения могли приниматься на основе этой информации. Собранная информация может включать в себя системные журналы (syslogs), информацию SNMP, предупреждение об опасности СОВ/СПВ и информацию о потоках данных.
Сервер аудита и/или СОВ/СПВ следует по возможности сконфигурировать для оповещения назначенного сотрудника службы безопасности по электронной почте, СМС или обоими способами в соответствии с уровнем приоритета каждой обнаруженной ненормальной активности. Если обнаружена какая-либо ненормальная активность, которая может представлять собой попытку атаки, то назначенному сотруднику службы безопасности следует реализовать процедуры реагирования на инциденты в соответствии с уровнем приоритета предупреждения об опасности. Управление инцидентами информационной безопасности более подробно описано в ИСО/МЭК 27035.
Подписаться на обновления