ГОСТ Р 59547-2021. Национальный стандарт Российской Федерации. Защита информации. Мониторинг информационной безопасности. Общие положения

4 Общие положения

 

4.1 При осуществлении мониторинга ИБ должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных, необходимых для мониторинга ИБ, от различных источников, таких как средства ЗИ, ПО, программно-технические средства, информационные сервисы, среда функционирования информационных (автоматизированных) систем, работники (сотрудники) оператора информационных (автоматизированных) систем и иные источники данных.

Примечание - Под информационными сервисами понимаются услуги внешних информационных (автоматизированных) систем по предоставлению данных, которые могут использоваться для мониторинга ИБ (например, сервисы, предоставляющие данные об идентификаторах компрометации).

 

4.2 В рамках мероприятий по мониторингу ИБ решают следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга:

1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников,

2) нормализация, фильтрация и агрегирование данных о событиях безопасности,

3) анализ событий безопасности и иных данных мониторинга,

4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации,

5) контроль, учет и анализ действий пользователей и администраторов,

6) сбор и анализ данных о результатах контроля потоков информации,

7) выявление нарушений безопасности информации,

8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей,

9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации;

б) в части мероприятий контроля (анализа) защищенности информации:

1) выявление (поиск) уязвимостей,

2) разработка описаний выявленных уязвимостей,

3) контроль установки обновлений безопасности ПО, включая ПО средств ЗИ,

4) контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация),

5) контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности),

6) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;

в) в части мероприятий анализа и оценки функционирования систем ЗИ информационных (автоматизированных) систем:

1) контроль работоспособности (неотключения) ПО и средств ЗИ,

2) проверка соответствия среды функционирования требованиям, предъявленным в документации на средства ЗИ,

3) контроль потоков информации, влияющих на производительность информационных (автоматизированных) систем, при межсетевом взаимодействии,

4) информирование о неисправностях, сбоях и отказах в функционировании средств и систем ЗИ информационных (автоматизированных) систем;

г) в части мероприятий периодического анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе эксплуатации:

1) получение новых данных об индикаторах компрометации, уязвимостях и угрозах безопасности информации из доступных источников,

2) выявление новых угроз безопасности информации по результатам анализа событий безопасности и нарушений безопасности информации (например, свидетельствующих о нетипичной активности пользователей), выявленных в процессе мониторинга ИБ,

3) разработка требований к сбору, обработке, хранению и представлению данных о событиях безопасности и иных данных мониторинга от различных источников с учетом изменения угроз безопасности информации и новых данных об индикаторах компрометации и уязвимостях,

4) разработка новых и уточнение действующих правил анализа событий безопасности и иных данных мониторинга, используемых для выявления нарушений безопасности информации,

5) разработка рекомендаций по реализации дополнительных мер и мероприятий ЗИ, направленных на минимизацию существующих и выявление новых угроз безопасности.

4.3 Объектами мониторинга являются:

- автоматизированные рабочие места;

- серверное оборудование;

- телекоммуникационное оборудование;

- технологическое и (или) производственное оборудование (исполнительные устройства);

- средства ЗИ;

- иные объекты мониторинга, определенные оператором информационных (автоматизированных) систем.

4.4 Выделяются следующие уровни мониторинга ИБ:

- уровень источников данных;

- уровень сбора данных;

- уровень хранения, агрегирования и обработки данных;

- уровень представления информации и данных мониторинга.

Уровни мониторинга ИБ представлены на рисунке 1.

Примечание - Уровень мониторинга ИБ определяют совокупностью мероприятий с целью решения определенных задач.

 

 

Рисунок 1 - Уровни мониторинга ИБ

 

4.5 При реализации мониторинга ИБ обеспечивается возможность реализации следующих свойств:

- многопараметричность - для обеспечения вертикальной интеграции процесса мониторинга ИБ в организационную структуру управления безопасностью организации, а также горизонтальной интеграции по структурным компонентам информационной инфраструктуры и информационных (автоматизированных) систем;

- масштабируемость - для расширения области мониторинга ИБ;

- адаптивность - для выявления новых видов, типов и способов осуществления компьютерных атак и иных видов нарушений безопасности информации за счет развития правил анализа событий безопасности и данных мониторинга;

- полнота - предполагает использование всех возможных источников событий безопасности и данных мониторинга, необходимых для выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей;

- доступность - предполагает обеспечение возможности получения данных мониторинга, необходимых для выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в соответствии с заданными требованиями;

- достоверность - предполагает обеспечение возможности получения неискаженных (неподмененных) данных.

4.5.1 Реализация свойства многопараметричности обеспечивается применением необходимых форматов и способов сбора, обработки, хранения и представления данных мониторинга, которые позволяют интегрировать процесс мониторинга ИБ в организационную структуру управления безопасностью организации с учетом ее иерархии (вертикальная интеграция), а также осуществлять мониторинг нескольких информационных (автоматизированных) систем или объектов информационной инфраструктуры (горизонтальная интеграция).

4.5.2 Реализация свойства масштабируемости обеспечивается возможностью наращивания количества новых источников данных мониторинга ИБ, а также возможностью создания многоуровневой иерархической системы мониторинга ИБ.

4.5.3 Реализация свойств адаптивности обеспечивается наличием возможности добавления, удаления и изменения правил и процедур анализа данных мониторинга.

4.6 При осуществлении мониторинга ИБ обеспечивают:

- получение и обработку данных от множества, в том числе разнородных, источников данных мониторинга;

- представление результатов анализа данных мониторинга в режиме времени, близком к реальному;

- возможность анализа событий безопасности и иных данных мониторинга на основе различных правил;

- централизованное хранение данных мониторинга (для всех объектов мониторинга или в рамках каждого объекта мониторинга);

- возможность формирования различных отчетов по результатам мониторинга ИБ.