5.5.2 Мероприятия по мониторингу ИБ можно применять для реализации мер ЗИ, связанных:

• с контролем состава программно-технических средств, ПО и средств ЗИ (инвентаризацией);
• регистрацией событий безопасности;
• выявлением (поиском) уязвимостей;
• контролем и анализом сетевого трафика;
• контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;
• анализом действий пользователей;
• управлением конфигурацией информационных (автоматизированных) систем.

[из 5.5.2 ГОСТ Р 59547-2021]

5.5.4 Для осуществления мероприятий по мониторингу ИБ должно быть обеспечено наличие штатного обученного персонала соответствующих категорий (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг ИБ.

Квалификация персонала, осуществляющего мониторинг ИБ, должна быть достаточной для выполнения возложенных на них функций.

Выделяют следующие роли для персонала, осуществляющего мониторинг ИБ, и их функции:

а) руководитель - выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга ИБ;

б) системный администратор - выполняет функции, связанные с установкой и обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга ИБ, разработкой запросов на представление информации и данных мониторинга, а также с развитием форм представления и визуализации информации и данных мониторинга;

в) администратор безопасности - выполняет функции, связанные с организацией настройки программных и аппаратных компонентов, применяемых для мониторинга ИБ;

г) специалист по взаимодействию с персоналом и пользователями - выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации;

д) оператор мониторинга - выполняет функции, связанные с анализом результатов мониторинга ИБ (событий безопасности) и подготовкой аналитической информации;

е) специалист по оценке защищенности - выполняет функции, связанные:

• с контролем состава программно-технических средств, ПО и средств ЗИ (инвентаризация);
• выявлением угроз безопасности информации и уязвимостей;
• контролем соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);
• развитием методов и инструментальных средств сбора данных;

ж) аналитик - выполняет функции, связанные с анализом результатов мониторинга ИБ (событий безопасности) и разработкой правил агрегирования и анализа событий безопасности и данных мониторинга, а также определением критериев нарушений безопасности информации.

Примечание - Специалисты, выполняющие перечисленные роли, могут подразделяться по соответствующим уровням (линиям).

Допускается возлагать на одного работника из числа персонала, осуществляющего мониторинг ИБ, функции, относящиеся к разным ролям персонала, осуществляющего мониторинг ИБ.

Допускается передавать часть функций мониторинга ИБ сторонним организациям, имеющим лицензии на соответствующие виды деятельности [из 5.5.4 ГОСТ Р 59547-2021]

5.5.6 В рамках мероприятий по мониторингу ИБ может быть принято решение о создании единого координирующего центра мониторинга (ситуационного центра мониторинга ИБ), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и результативность процесса мониторинга ИБ в различных аспектах, включающих:

• полноту охвата мониторингом информационных (автоматизированных) систем (в первую очередь с точки зрения состава вовлеченных в мониторинг средств - источников событий и исходных данных);
• состав правил анализа событий безопасности и данных мониторинга, а также критериев нарушений безопасности информации;
• контроль работоспособности всех компонентов, участвующих в мониторинге ИБ.

[из 5.5.6 ГОСТ Р 59547-2021]