Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

1 Область применения ГОСТ Р 59547-2021

Настоящий стандарт устанавливает уровни мониторинга ИБ, требования к каждому уровню, порядок осуществления мониторинга ИБ и требования к защите данных мониторинга.

Положения настоящего стандарта применимы к мероприятиям по мониторингу ИБ, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям по мониторингу ИБ, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.

Настоящий стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.

Примечание - Под мероприятиями мониторинга ИБ подразумевается совокупность действий, направленных на достижение целей мониторинга ИБ [из 1 Область применения ГОСТ Р 59547-2021]

    2 Нормативные ссылки ГОСТ Р 59547-2021

    В настоящем стандарте использована нормативная ссылка на следующий стандарт:

    • ГОСТ Р 59546 Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации

    [из 2 Нормативные ссылки ГОСТ Р 59547-2021]

      4.1 ГОСТ Р 59547-2021

      4.1 При осуществлении мониторинга ИБ должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных, необходимых для мониторинга ИБ, от различных источников, таких как средства ЗИ, ПО, программно-технические средства, информационные сервисы, среда функционирования информационных (автоматизированных) систем, работники (сотрудники) оператора информационных (автоматизированных) систем и иные источники данных.

      Примечание - Под информационными сервисами понимаются услуги внешних информационных (автоматизированных) систем по предоставлению данных, которые могут использоваться для мониторинга ИБ (например, сервисы, предоставляющие данные об идентификаторах компрометации) [из 4.1 ГОСТ Р 59547-2021]

        4.2 ГОСТ Р 59547-2021

        4.2 В рамках мероприятий по мониторингу ИБ решают следующие задачи:

        а) в части мероприятий анализа событий безопасности и иных данных мониторинга;

        1. сбор данных о событиях безопасности и иных данных мониторинга от различных источников;
        2. нормализация, фильтрация и агрегирование данных о событиях безопасности;
        3. анализ событий безопасности и иных данных мониторинга;
        4. сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;
        5. контроль, учет и анализ действий пользователей и администраторов;
        6. сбор и анализ данных о результатах контроля потоков информации;
        7. выявление нарушений безопасности информации;
        8. выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;
        9. своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.

        б) в части мероприятий контроля (анализа) защищенности информации:

        1. выявление (поиск) уязвимостей;
        2. разработка описаний выявленных уязвимостей;
        3. контроль установки обновлений безопасности ПО, включая ПО средств ЗИ;
        4. контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация);
        5. контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности).

        в) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;

        в) в части мероприятий анализа и оценки функционирования систем ЗИ информационных (автоматизированных) систем:

        1. контроль работоспособности (неотключения) ПО и средств ЗИ;
        2. проверка соответствия среды функционирования требованиям, предъявленным в документации на средства ЗИ;
        3. контроль потоков информации, влияющих на производительность информационных (автоматизированных) систем, при межсетевом взаимодействии;
        4. информирование о неисправностях, сбоях и отказах в функционировании средств и систем ЗИ информационных (автоматизированных) систем;

        г) в части мероприятий периодического анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе эксплуатации:

        1. получение новых данных об индикаторах компрометации, уязвимостях и угрозах безопасности информации из доступных источников;
        2. выявление новых угроз безопасности информации по результатам анализа событий безопасности и нарушений безопасности информации (например, свидетельствующих о нетипичной активности пользователей), выявленных в процессе мониторинга ИБ;
        3. разработка требований к сбору, обработке, хранению и представлению данных о событиях безопасности и иных данных мониторинга от различных источников с учетом изменения угроз безопасности информации и новых данных об индикаторах компрометации и уязвимостях;
        4. разработка новых и уточнение действующих правил анализа событий безопасности и иных данных мониторинга, используемых для выявления нарушений безопасности информации;
        5. разработка рекомендаций по реализации дополнительных мер и мероприятий ЗИ, направленных на минимизацию существующих и выявление новых угроз безопасности.

        [из 4.2 ГОСТ Р 59547-2021]

          4.4 ГОСТ Р 59547-2021

          4.4 Выделяются следующие уровни мониторинга ИБ:

          Уровни мониторинга ИБ представлены на рисунке 1.

          Примечание - Уровень мониторинга ИБ определяют совокупностью мероприятий с целью решения определенных задач [из 4.4 ГОСТ Р 59547-2021]

            4.5 ГОСТ Р 59547-2021

            4.5 При реализации мониторинга ИБ обеспечивается возможность реализации следующих свойств:

            [из 4.5 ГОСТ Р 59547-2021]

              4.5.1 ГОСТ Р 59547-2021

              4.5.1 Реализация свойства многопараметричности обеспечивается применением необходимых форматов и способов сбора, обработки, хранения и представления данных мониторинга, которые позволяют интегрировать процесс мониторинга ИБ в организационную структуру управления безопасностью организации с учетом ее иерархии (вертикальная интеграция), а также осуществлять мониторинг нескольких информационных (автоматизированных) систем или объектов информационной инфраструктуры (горизонтальная интеграция) [из 4.5.1 ГОСТ Р 59547-2021]

                Страницы

                Подписка на Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности