Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности. Общие положения. Information protection. Information security monitoring. General provisions. УДК 004.622:006.354 ОКС 35.020. Редакция от 26.01.2023.

4.5.2 ГОСТ Р 59547-2021

4.5.2 Реализация свойства масштабируемости обеспечивается возможностью наращивания количества новых источников данных мониторинга ИБ, а также возможностью создания многоуровневой иерархической системы мониторинга ИБ [из 4.5.2 ГОСТ Р 59547-2021]

    4.5.3 ГОСТ Р 59547-2021

    4.5.3 Реализация свойств адаптивности обеспечивается наличием возможности добавления, удаления и изменения правил и процедур анализа данных мониторинга [из 4.5.3 ГОСТ Р 59547-2021]

      4.6 ГОСТ Р 59547-2021

      4.6 При осуществлении мониторинга ИБ обеспечивают:

      - Рисунок 1 - Уровни мониторинга ИБ

      Рисунок 1 - Уровни мониторинга ИБ

      [из 4.6 ГОСТ Р 59547-2021]

        5.1.1 ГОСТ Р 59547-2021

        5.1.1 При осуществлении мониторинга ИБ данные мониторинга могут быть собраны с использованием как автоматизированных, так и неавтоматизированных средств.

        Источниками данных мониторинга ИБ являются:

        [из 5.1.1 ГОСТ Р 59547-2021]

          5.1.2 ГОСТ Р 59547-2021

          5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:

          а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);

          б) данных о результатах выявления (поиска) уязвимостей, в том числе:

          в) данных о результатах контроля обновлений ПО, в том числе:

          1. баз данных, необходимых для реализации функций безопасности средства ЗИ (обновление баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
          2. направленных на устранение уязвимостей средства (средств) ЗИ;
          3. направленных на добавление функции (функций) безопасности средства (средств) ЗИ, на совершенствование реализации функции (функций) безопасности средства (средств) ЗИ, на расширение числа поддерживаемых программных и аппаратных платформ (если необходимость таких обновлений была определена по результатам анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе их эксплуатации);
          4. направленных на устранение уязвимостей общесистемного, прикладного и иного ПО.

          г) данных о результатах контроля состава программно-технических средств, ПО и средств ЗИ (инвентаризационных данных), включая:

          1. архитектуру информационных (автоматизированных) систем (сетевые адреса и имена);
          2. местоположение узлов информационных (автоматизированных) систем;
          3. назначение узлов информационных (автоматизированных) систем;
          4. функционирующие сетевые службы;
          5. сведения об источниках событий безопасности;
          6. характеристики программно-технических средств, ПО и средств ЗИ;
          7. принадлежность программно-технических средств подразделениям оператора информационных (автоматизированных) систем (сведения о владельцах);
          8. принадлежность программно-технических средств соответствующим информационным (автоматизированным) системам;
          9. конфигурацию узлов информационных (автоматизированных) систем.

          д) данных о результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);

          е) данных о работоспособности (неотключении) ПО и средств ЗИ;

          ж) информации о результатах контроля потоков информации, включая:

          1. результаты контроля объемов сетевого трафика (входящего и исходящего) по различным типам протоколов и типам передаваемых файлов;
          2. результаты контроля содержимого сетевого трафика по различным типам протоколов и файлов в целях выявления запрещенного или подозрительного контента и конфиденциальной информации;
          3. результаты контроля потоков ввода/вывода информации при работе со съемными машинными носителями информации в целях выявления запрещенной деятельности, а также запрещенного или подозрительного контента и конфиденциальной информации;
          4. результаты контроля вывода информации на печать;
          5. результаты контроля подозрительной сетевой активности и выявления компьютерных атак или признаков подготовки к ним, а также несанкционированных действий пользователей в сети (например, попыток несанкционированного доступа пользователей к различным информационным ресурсам или подключения к сети посторонних устройств).

          в) результаты контроля состояния беспроводных сетей в целях выявления несанкционированных подключений;

          и) данных о действиях пользователей и процессов, необходимых для выявления преднамеренного или непреднамеренного нарушения установленных политик безопасности, регламентов работы, фактов запрещенной деятельности, попыток совершения несанкционированного доступа и утечки конфиденциальной информации, включая:

          1. контроль запуска/останова различных процессов;
          2. контроль подключения съемных машинных носителей информации и работы с ними;
          3. контроль подключения мобильных, беспроводных и других устройств;
          4. контроль установки/удаления ПО (компонентов ПО);
          5. контроль изменения сетевых настроек автоматизированных рабочих мест и серверов;
          6. контроль несанкционированных сетевых соединений с не разрешенными политикой безопасности сетевыми ресурсами;
          7. контроль попыток удаленного доступа к автоматизированным рабочим местам и серверам;
          8. контроль фактов работы с административными правами и полномочиями;
          9. контроль изменения локальных политик безопасности, прав и привилегий;
          10. контроль создания и работы с общими ресурсами;
          11. контроль открытия «подозрительных» сетевых портов;
          12. иные действия пользователей.

          к) справочной информации, включая:

          1. информацию о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;
          2. информацию о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;
          3. информацию о местоположении и географической принадлежности сетевых адресов;
          4. информацию об известных уязвимостях используемого ПО;
          5. информацию о компьютерных сетях, состоящих из управляемых с использованием вредоносного ПО средств вычислительной техники, включая сведения об их управляющих серверах;

          л) данных о новых угрозах безопасности информации.

          [из 5.1.2 ГОСТ Р 59547-2021]

            5.1.3 ГОСТ Р 59547-2021

            5.1.3 При организации процесса мониторинга ИБ целесообразно выбирать источники данных, которые обеспечивают:

            • передачу данных мониторинга ИБ (при наличии технической возможности) и возможность настройки состава передаваемых данных (предварительная фильтрация);
            • предоставление справочников, содержащих описание идентификаторов отдельных типов данных (если справочники используются источником);
            • предоставление данных мониторинга ИБ с описанием полей регистрируемых событий безопасности для последующей их интерпретации;
            • предоставление данных мониторинга ИБ об уровне важности событий, которые могут быть использованы для обеспечения фильтрации событий;
            • временное накопление событий безопасности (при наличии технической возможности) при отсутствии связи и их передачу при появлении связи с объектом назначения передачи данных мониторинга ИБ.

            [из 5.1.3 ГОСТ Р 59547-2021]

              5.1.4 ГОСТ Р 59547-2021

              5.1.4 Источники данных о событиях безопасности могут предоставлять доступ к данным о событиях безопасности одним из следующих способов:

              • предоставление источником данных доступа к файлам или базам данных журналов событий безопасности;
              • выгрузка данных о событиях безопасности с использованием стандартных протоколов передачи данных;
              • предоставление источником данных доступа к данным о событиях безопасности через программный интерфейс приложения или веб-сервис источника.

              Примечание - Под веб-сервисом понимают идентифицируемую веб-адресом программную систему со стандартизированными интерфейсами [из 5.1.4 ГОСТ Р 59547-2021]

                5.1.5 ГОСТ Р 59547-2021

                5.1.5 Для источников данных операторами информационных (автоматизированных) систем обеспечивается достоверность передаваемых ими данных о дате и времени регистрации событий безопасности и, при необходимости, синхронизация системных часов с учетом часовых поясов [из 5.1.5 ГОСТ Р 59547-2021]

                  Страницы

                  Подписка на Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности