Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности. Общие положения. Information protection. Information security monitoring. General provisions. УДК 004.622:006.354 ОКС 35.020. Редакция от 26.01.2023.

5.3.3 ГОСТ Р 59547-2021

5.3.3 В рамках мероприятий по мониторингу ИБ реализуют следующие функции:

нормализация полученных данных к формату, необходимому для дальнейшей их обработки и хранения;
агрегирование данных (объединение нормализованных данных по группам на основе общих признаков);
хранение агрегированных данных в течение срока хранения, определенного требованиями к ЗИ;
анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;
сопоставление событий безопасности с потоками данных об угрозах, содержащих индикаторы компрометации;
сопоставление результатов регистрации событий безопасности с результатами анализа уязвимостей;
выявление нарушений безопасности информации.

[из 5.3.3 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34460 💥

Открыть в новой вкладке

5.3.4 ГОСТ Р 59547-2021

5.3.4 В рамках мероприятий по мониторингу ИБ также может быть реализовано хранение необработанных данных (до проведения их фильтрации, нормализации и (или) агрегирования) [из 5.3.4 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34460 💥

Открыть в новой вкладке

5.3.5 ГОСТ Р 59547-2021

5.3.5 В рамках мероприятий по мониторингу ИБ реализуют меры, направленные на предотвращение потери данных мониторинга. В качестве таких мер необходимо рассматривать:

предупреждение (сигнализация, индикация) администратора при заполнении установленной части (процент или фактическое значение) объема памяти для хранения данных мониторинга;
запись новых данных мониторинга ИБ поверх устаревших данных;
архивирование (резервное копирование) данных мониторинга ИБ на съемные машинные носители информации, в сеть хранения данных, на специализированные устройства или на выделенные серверы.

[из 5.3.5 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34460 💥

Открыть в новой вкладке

5.3.6 ГОСТ Р 59547-2021

5.3.6 С целью обеспечения возможности адаптации к новым типам угроз и их развивающимся методам в рамках мероприятий по мониторингу ИБ создают и актуализируют правила анализа событий безопасности и данных мониторинга, а также работники (сотрудники) оператора периодически оценивают актуальность новых угроз безопасности информации [из 5.3.6 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34460 💥

Открыть в новой вкладке

5.4 Требования к представлению данных о результатах мониторинга ГОСТ Р 59547-2021

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34436 💥

Открыть в новой вкладке

5.4.1 ГОСТ Р 59547-2021

5.4.1 В рамках мероприятий по мониторингу ИБ необходимо обеспечивать возможность представления как собранных данных о событиях безопасности и иных данных мониторинга, так и результатов выполнения определенных настоящим стандартом мероприятий мониторинга ИБ [из 5.4.1 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34467 💥

Открыть в новой вкладке

5.4.2 ГОСТ Р 59547-2021

5.4.2 В рамках мероприятий по мониторингу ИБ необходимо обеспечивать возможность формирования следующих отчетов о результатах мониторинга ИБ:

статистических, по собранным данным о событиях безопасности информации;
о нарушениях безопасности информации, выявленных при анализе событий безопасности информации и иных данных мониторинга;
с описанием выявленных уязвимостей;
с собранными инвентаризационными данными;
о результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);
о состоянии источников событий безопасности и данных.

[из 5.4.2 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34467 💥

Открыть в новой вкладке

5.4.3 ГОСТ Р 59547-2021

5.4.3 На уровне представления информации и данных мониторинга ИБ нужно обеспечивать следующие условия:

управление параметрами мониторинга и представление данных мониторинга, в том числе (при необходимости) с привязкой к объектам мониторинга;
представление данных об объектах мониторинга, их состоянии и связях между ними:
представление данных мониторинга ИБ в режиме времени, близком к реальному;
представление данных мониторинга ИБ в соответствии с условиями выборки по установленным параметрам (запросами);
представление данных мониторинга ИБ как в текстовом, так и в графическом виде.

Примечание - Под параметрами мониторинга понимают правила анализа данных мониторинга, используемые для выявления нарушений безопасности информации, и настройки автоматизированных средств, используемых для сбора данных мониторинга [из 5.4.3 ГОСТ Р 59547-2021]

Из ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности

⇪В 34467 💥

Открыть в новой вкладке

5.4.4 ГОСТ Р 59547-2021

5.4.4 В рамках мероприятий по мониторингу ИБ необходимо обеспечивать информирование ответственных лиц о выявленных нарушениях безопасности информации, о результатах поиска уязвимостей контроля установки обновлений ПО и контроля состава программно-технических средств, о неисправностях ПО и средств ЗИ, сбоях и отказах в функционировании программно-технических средств. Информирование ответственных лиц может осуществляться путем отправки уведомлений по электронной почте, запуска внешнего приложения, используемого для оповещения, отображения сведений о событии безопасности в интерфейсе ПО, применяемого для мониторинга ИБ, и иными способами. В рамках оптимизации мероприятий по мониторингу ИБ должна быть предусмотрена возможность настройки оповещений (повторные оповещения, отсроченные оповещения, расширение перечня адресатов оповещений) [из 5.4.4 ГОСТ Р 59547-2021]