5.5.1 Мониторинг ИБ при реализации мер ЗИ проводят для всех событий, подлежащих регистрации, что обеспечивает своевременное выявление признаков нарушений безопасности информации [из 5.5.1 ГОСТ Р 59547-2021]
5.5.2 Мероприятия по мониторингу ИБ можно применять для реализации мер ЗИ, связанных:
- с контролем состава программно-технических средств, ПО и средств ЗИ (инвентаризацией);
- регистрацией событий безопасности;
- выявлением (поиском) уязвимостей;
- контролем и анализом сетевого трафика;
- контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;
- анализом действий пользователей;
- управлением конфигурацией информационных (автоматизированных) систем.
[из 5.5.2 ГОСТ Р 59547-2021]
5.5.3 Мероприятия по мониторингу ИБ могут применяться как компенсирующие меры в случае технической сложности реализации или нецелесообразности применения иных мер ЗИ [из 5.5.3 ГОСТ Р 59547-2021]
5.5.4 Для осуществления мероприятий по мониторингу ИБ должно быть обеспечено наличие штатного обученного персонала соответствующих категорий (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг ИБ.
Квалификация персонала, осуществляющего мониторинг ИБ, должна быть достаточной для выполнения возложенных на них функций.
Выделяют следующие роли для персонала, осуществляющего мониторинг ИБ, и их функции:
а) руководитель - выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга ИБ;
б) системный администратор - выполняет функции, связанные с установкой и обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга ИБ, разработкой запросов на представление информации и данных мониторинга, а также с развитием форм представления и визуализации информации и данных мониторинга;
в) администратор безопасности - выполняет функции, связанные с организацией настройки программных и аппаратных компонентов, применяемых для мониторинга ИБ;
г) специалист по взаимодействию с персоналом и пользователями - выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации;
д) оператор мониторинга - выполняет функции, связанные с анализом результатов мониторинга ИБ (событий безопасности) и подготовкой аналитической информации;
е) специалист по оценке защищенности - выполняет функции, связанные:
- с контролем состава программно-технических средств, ПО и средств ЗИ (инвентаризация);
- выявлением угроз безопасности информации и уязвимостей;
- контролем соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);
- развитием методов и инструментальных средств сбора данных;
ж) аналитик - выполняет функции, связанные с анализом результатов мониторинга ИБ (событий безопасности) и разработкой правил агрегирования и анализа событий безопасности и данных мониторинга, а также определением критериев нарушений безопасности информации.
Примечание - Специалисты, выполняющие перечисленные роли, могут подразделяться по соответствующим уровням (линиям).
Допускается возлагать на одного работника из числа персонала, осуществляющего мониторинг ИБ, функции, относящиеся к разным ролям персонала, осуществляющего мониторинг ИБ.
Допускается передавать часть функций мониторинга ИБ сторонним организациям, имеющим лицензии на соответствующие виды деятельности [из 5.5.4 ГОСТ Р 59547-2021]
5.5.5 Обработка и анализ поступающих данных мониторинга ИБ предусматривают не только выявление различных нарушений безопасности информации, но и использование результатов реагирования на выявленные нарушения безопасности информации с целью разработки новых и корректировки существующих правил анализа событий безопасности и данных мониторинга (добавление (удаление) допопнительных условий с целью повышения эффективности выявления нарушений безопасности информации или снижения количества регистрируемых ложных нарушений безопасности информации, испопьзование дополнительных источников для получения недостающих исходных данных) [из 5.5.5 ГОСТ Р 59547-2021]
5.5.6 В рамках мероприятий по мониторингу ИБ может быть принято решение о создании единого координирующего центра мониторинга (ситуационного центра мониторинга ИБ), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и результативность процесса мониторинга ИБ в различных аспектах, включающих:
- полноту охвата мониторингом информационных (автоматизированных) систем (в первую очередь с точки зрения состава вовлеченных в мониторинг средств - источников событий и исходных данных);
- состав правил анализа событий безопасности и данных мониторинга, а также критериев нарушений безопасности информации;
- контроль работоспособности всех компонентов, участвующих в мониторинге ИБ.
[из 5.5.6 ГОСТ Р 59547-2021]
5.5.7 Развитие мероприятий по мониторингу ИБ предусматривает постепенный переход от реактивного подхода при выявлении угроз и нарушений безопасности информации, когда ведется поиск ответных мер на выявленную угрозу и (или) нарушение безопасности информации, к проактивному подходу, при котором в процессе мониторинга ИБ выявляются предпосылки для реализации угроз и нарушений безопасности информации, с целью реализации предупреждающих и профилактических мер предотвращения угроз и нарушений безопасности информации [из 5.5.7 ГОСТ Р 59547-2021]
