5.2.2 При использовании автоматизированных средств мониторинга для получения исходных данных можно применять:
- агентный сбор данных (агенты мониторинга событий безопасности);
- безагентный сбор данных;
- опросные листы (формы);
- инструментальные средства.
[из 5.2.2 ГОСТ Р 59547-2021]
5.2.3 Агентом мониторинга событий безопасности является ПО, устанавливаемое на компонентах информационной инфраструктуры и узлах информационных (автоматизированных) систем с целью сбора необходимых данных непосредственно с источника [из 5.2.3 ГОСТ Р 59547-2021]
5.2.4 С использованием агентов мониторинга может осуществляться сбор данных о событиях безопасности, о работоспособности (неотключении) ПО, о действиях пользователей и иных данных. При этом в составе агентов мониторинга могут быть реализованы отдельные функции инструментальных средств, которые позволяют дополнительно получать данные:
- о результатах контроля состава программно-технических средств, ПО и средств ЗИ (техническая инвентаризация);
- о результатах выявления (поиска) уязвимостей;
- о результатах контроля установки обновлений ПО;
- о результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности).
[из 5.2.4 ГОСТ Р 59547-2021]
5.2.5 Безагентный сбор данных предполагает получение данных от источников по сети передачи данных без установки дополнительного ПО для сбора данных мониторинга. К методам безагентного сбора данных относятся:
- чтение данных непосредственно из файлов или баз данных журналов событий безопасности;
- прием данных, передаваемых от источников, с использованием стандартных протоколов передачи данных о событиях безопасности;
- сбор данных путем подключения к программному интерфейсу приложения или веб-сервису источника данных.
Безагентный сбор данных можно осуществлять как с использованием инструментальных средств, так и без применения инструментальных средств.
Без использования инструментальных средств сбор данных может осуществляться только путем чтения данных непосредственно из файлов или баз данных журналов событий безопасности с использованием пользовательского интерфейса для просмотра журналов источника или без использования указанного пользовательского интерфейса (если позволяет формат ведения журнала) [из 5.2.5 ГОСТ Р 59547-2021]
5.2.6 С использованием безагентного сбора данных можно осуществлять сбор данных о событиях безопасности, о работоспособности (неотключении) ПО и иных данных, которые может предоставить источник [из 5.2.6 ГОСТ Р 59547-2021]
5.2.7 Сбор данных о событиях безопасности с использованием опросных листов (форм) осуществляют путем заполнения специальных электронных (бумажных) форм с последующей их передачей персоналу, осуществляющему мониторинг ИБ [из 5.2.7 ГОСТ Р 59547-2021]
5.2.8 Сбор данных с использованием опросных листов (форм) включает:
- разработку опросного листа (формы), содержащего перечень необходимых данных с необходимым количеством полей;
- разработку регламента сбора и передачи данных о событиях безопасности персоналу, осуществляющему мониторинг ИБ;
- внедрение опросного листа (формы);
- регистрацию в опросных листах (формах) необходимых данных и последующую их передачу персоналу, осуществляющему мониторинг ИБ.
[из 5.2.8 ГОСТ Р 59547-2021]
5.2.9 Выделяют два типа опросных листов (форм):
- периодически собираемые (например, результаты инвентаризации программно-технических средств, обновлений и пр.);
- постоянно действующие (например, опросные листы для сообщения о выявленном событии безопасности).
Примечание - Постоянно действующие опросные листы предназначены для оперативного доведения до персонала, осуществляющего мониторинг ИБ, информации о возможных нарушениях безопасности информации, признаки которых обнаружены пользователями. В связи с тем, что такие опросные листы требуют оперативного доведения информации до персонала, осуществляющего мониторинг, они реализуются только специализированными инструментальными средствами, которые предоставляют интерфейс, позволяющий пользователю сообщить сведения о выявленных им признаках возможного нарушения [из 5.2.9 ГОСТ Р 59547-2021]
5.2.10 С использованием опросных листов (форм) можно передавать следующие данные мониторинга ИБ:
- о выявляемых событиях безопасности;
- составе программно-технических средств, ПО и средств ЗИ;
- результатах контроля установки обновлений ПО;
- результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);
- иные данные и сведения, необходимые для мониторинга ИБ.
[из 5.2.10 ГОСТ Р 59547-2021]
5.2.11 С использованием опросных листов (форм) передают данные мониторинга ИБ, которые невозможно передать каким-либо иным способом [из 5.2.11 ГОСТ Р 59547-2021]
5.2.12 К инструментальным средствам сбора данных относятся:
- средства управления информацией об угрозах безопасности информации;
- замкнутые среды предварительного исполнения программ («песочницы»);
- средства (системы) контроля (анализа) защищенности;
- средства инвентаризации программно-технических средств, ПО и средств ЗИ.
[из 5.2.12 ГОСТ Р 59547-2021]
5.2.13 Применение инструментальных средств для мониторинга ИБ позволяет получать и обрабатывать данные:
- о результатах контроля состава программно-технических средств, ПО и средств ЗИ (техническая инвентаризация);
- результатах выявления (поиска) уязвимостей;
- результатах контроля установки обновлений ПО;
- результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);
- результатах выявления уязвимостей и угроз, оказывающих влияние на безопасность информации, полученных в результате проведения тестовых испытаний в замкнутых средах предварительного исполнения программ («песочницах»);
- новых угрозах безопасности информации.
Инструментальные средства применяют, если указанные данные не могут быть получены иным способом.
Примечание - Если в составе агента мониторинга реализована функция выявления (поиска) уязвимостей. применение дополнительных средств (систем) контроля (анализа) защищенности может не потребоваться. Примером реализации организационных мер может являться получение персоналом, осуществляющим мониторинг ИБ, информации о новых угрозах безопасности информации из доступных источников, содержащих сведения об уязвимостях и угрозах безопасности информации (например, банк данных угроз безопасности информации ФСТЭК России) [из 5.2.13 ГОСТ Р 59547-2021]
5.2.14 Для типов событий безопасности, определенных в ГОСТ Р 59548, мероприятий по мониторингу ИБ должны обеспечивать возможность получения регистрируемой информации, требования к составу которой определены в указанном национальном стандарте [из 5.2.14 ГОСТ Р 59547-2021]
5.2.15 При сборе данных о событиях безопасности следует учесть необходимость получения:
- справочников, содержащих описание идентификаторов отдельных типов данных (если справочники используются источником);
- данных с описанием полей регистрируемых событий безопасности для последующей их интерпретации.
[из 5.2.15 ГОСТ Р 59547-2021]
5.2.16 Мероприятия по мониторингу ИБ должны обеспечивать возможность фильтрации получаемых данных о событиях безопасности по уровню важности для обеспечения оперативной интеграции источников данных о событиях безопасности в процесс мониторинга ИБ и, при необходимости, по другим основаниям в соответствии с определенными правилами мониторинга ИБ.
Примечание - Фильтрация получаемых данных о событиях безопасности может также осуществляться на уровне хранения, агрегирования и обработки данных мониторинга, а также на уровне представления информации и данных мониторинга [из 5.2.16 ГОСТ Р 59547-2021]
