4.1 При осуществлении мониторинга ИБ должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных, необходимых для мониторинга ИБ, от различных источников, таких как средства ЗИ, ПО, программно-технические средства, информационные сервисы, среда функционирования информационных (автоматизированных) систем, работники (сотрудники) оператора информационных (автоматизированных) систем и иные источники данных.
Примечание - Под информационными сервисами понимаются услуги внешних информационных (автоматизированных) систем по предоставлению данных, которые могут использоваться для мониторинга ИБ (например, сервисы, предоставляющие данные об идентификаторах компрометации) [из 4.1 ГОСТ Р 59547-2021]
4.2 В рамках мероприятий по мониторингу ИБ решают следующие задачи:
а) в части мероприятий анализа событий безопасности и иных данных мониторинга;
- сбор данных о событиях безопасности и иных данных мониторинга от различных источников;
- нормализация, фильтрация и агрегирование данных о событиях безопасности;
- анализ событий безопасности и иных данных мониторинга;
- сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;
- контроль, учет и анализ действий пользователей и администраторов;
- сбор и анализ данных о результатах контроля потоков информации;
- выявление нарушений безопасности информации;
- выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;
- своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.
б) в части мероприятий контроля (анализа) защищенности информации:
- выявление (поиск) уязвимостей;
- разработка описаний выявленных уязвимостей;
- контроль установки обновлений безопасности ПО, включая ПО средств ЗИ;
- контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация);
- контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности).
в) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;
в) в части мероприятий анализа и оценки функционирования систем ЗИ информационных (автоматизированных) систем:
- контроль работоспособности (неотключения) ПО и средств ЗИ;
- проверка соответствия среды функционирования требованиям, предъявленным в документации на средства ЗИ;
- контроль потоков информации, влияющих на производительность информационных (автоматизированных) систем, при межсетевом взаимодействии;
- информирование о неисправностях, сбоях и отказах в функционировании средств и систем ЗИ информационных (автоматизированных) систем;
г) в части мероприятий периодического анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе эксплуатации:
- получение новых данных об индикаторах компрометации, уязвимостях и угрозах безопасности информации из доступных источников;
- выявление новых угроз безопасности информации по результатам анализа событий безопасности и нарушений безопасности информации (например, свидетельствующих о нетипичной активности пользователей), выявленных в процессе мониторинга ИБ;
- разработка требований к сбору, обработке, хранению и представлению данных о событиях безопасности и иных данных мониторинга от различных источников с учетом изменения угроз безопасности информации и новых данных об индикаторах компрометации и уязвимостях;
- разработка новых и уточнение действующих правил анализа событий безопасности и иных данных мониторинга, используемых для выявления нарушений безопасности информации;
- разработка рекомендаций по реализации дополнительных мер и мероприятий ЗИ, направленных на минимизацию существующих и выявление новых угроз безопасности.
[из 4.2 ГОСТ Р 59547-2021]
4.3 Объектами мониторинга являются:
- автоматизированные рабочие места;
- серверное оборудование;
- телекоммуникационное оборудование;
- технологическое и (или) производственное оборудование (исполнительные устройства);
- средства ЗИ;
- иные объекты мониторинга, определенные оператором информационных (автоматизированных) систем.
[из 4.3 ГОСТ Р 59547-2021]
4.4 Выделяются следующие уровни мониторинга ИБ:
- уровень источников данных;
- уровень сбора данных;
- уровень хранения, агрегирования и обработки данных;
- уровень представления информации и данных мониторинга.
Уровни мониторинга ИБ представлены на рисунке 1.
Примечание - Уровень мониторинга ИБ определяют совокупностью мероприятий с целью решения определенных задач [из 4.4 ГОСТ Р 59547-2021]
4.5 При реализации мониторинга ИБ обеспечивается возможность реализации следующих свойств:
- многопараметричность - для обеспечения вертикальной интеграции процесса мониторинга ИБ в организационную структуру управления безопасностью организации, а также горизонтальной интеграции по структурным компонентам информационной инфраструктуры и информационных (автоматизированных) систем;
- масштабируемость - для расширения области мониторинга ИБ;
- адаптивность - для выявления новых видов, типов и способов осуществления компьютерных атак и иных видов нарушений безопасности информации за счет развития правил анализа событий безопасности и данных мониторинга;
- полнота - предполагает использование всех возможных источников событий безопасности и данных мониторинга, необходимых для выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей;
- доступность - предполагает обеспечение возможности получения данных мониторинга, необходимых для выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей в соответствии с заданными требованиями;
- достоверность - предполагает обеспечение возможности получения неискаженных (неподмененных) данных.
[из 4.5 ГОСТ Р 59547-2021]
4.5.1 Реализация свойства многопараметричности обеспечивается применением необходимых форматов и способов сбора, обработки, хранения и представления данных мониторинга, которые позволяют интегрировать процесс мониторинга ИБ в организационную структуру управления безопасностью организации с учетом ее иерархии (вертикальная интеграция), а также осуществлять мониторинг нескольких информационных (автоматизированных) систем или объектов информационной инфраструктуры (горизонтальная интеграция) [из 4.5.1 ГОСТ Р 59547-2021]
4.5.2 Реализация свойства масштабируемости обеспечивается возможностью наращивания количества новых источников данных мониторинга ИБ, а также возможностью создания многоуровневой иерархической системы мониторинга ИБ [из 4.5.2 ГОСТ Р 59547-2021]
4.5.3 Реализация свойств адаптивности обеспечивается наличием возможности добавления, удаления и изменения правил и процедур анализа данных мониторинга [из 4.5.3 ГОСТ Р 59547-2021]
4.6 При осуществлении мониторинга ИБ обеспечивают:
- получение и обработку данных от множества, в том числе разнородных, источников данных мониторинга;
- представление результатов анализа данных мониторинга в режиме времени, близком к реальному;
- возможность анализа событий безопасности и иных данных мониторинга на основе различных правил;
- централизованное хранение данных мониторинга (для всех объектов мониторинга или в рамках каждого объекта мониторинга);
- возможность формирования различных отчетов по результатам мониторинга ИБ.
Рисунок 1 - Уровни мониторинга ИБ
[из 4.6 ГОСТ Р 59547-2021]
