4.2 В рамках мероприятий по мониторингу ИБ решают следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга;

1. сбор данных о событиях безопасности и иных данных мониторинга от различных источников;
2. нормализация, фильтрация и агрегирование данных о событиях безопасности;
3. анализ событий безопасности и иных данных мониторинга;
4. сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;
5. контроль, учет и анализ действий пользователей и администраторов;
6. сбор и анализ данных о результатах контроля потоков информации;
7. выявление нарушений безопасности информации;
8. выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;
9. своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.

б) в части мероприятий контроля (анализа) защищенности информации:

1. выявление (поиск) уязвимостей;
2. разработка описаний выявленных уязвимостей;
3. контроль установки обновлений безопасности ПО, включая ПО средств ЗИ;
4. контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация);
5. контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности).

в) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;

в) в части мероприятий анализа и оценки функционирования систем ЗИ информационных (автоматизированных) систем:

1. контроль работоспособности (неотключения) ПО и средств ЗИ;
2. проверка соответствия среды функционирования требованиям, предъявленным в документации на средства ЗИ;
3. контроль потоков информации, влияющих на производительность информационных (автоматизированных) систем, при межсетевом взаимодействии;
4. информирование о неисправностях, сбоях и отказах в функционировании средств и систем ЗИ информационных (автоматизированных) систем;

г) в части мероприятий периодического анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе эксплуатации:

1. получение новых данных об индикаторах компрометации, уязвимостях и угрозах безопасности информации из доступных источников;
2. выявление новых угроз безопасности информации по результатам анализа событий безопасности и нарушений безопасности информации (например, свидетельствующих о нетипичной активности пользователей), выявленных в процессе мониторинга ИБ;
3. разработка требований к сбору, обработке, хранению и представлению данных о событиях безопасности и иных данных мониторинга от различных источников с учетом изменения угроз безопасности информации и новых данных об индикаторах компрометации и уязвимостях;
4. разработка новых и уточнение действующих правил анализа событий безопасности и иных данных мониторинга, используемых для выявления нарушений безопасности информации;
5. разработка рекомендаций по реализации дополнительных мер и мероприятий ЗИ, направленных на минимизацию существующих и выявление новых угроз безопасности.

[из 4.2 ГОСТ Р 59547-2021]