9.1. Мониторинг состояния обеспечения безопасности информации

9.1. Мониторинг состояния обеспечения

безопасности информации

Мониторинг обеспечения безопасности информации проводится с целью объективного подтверждения реального состояния защищенности ИС налоговых органов, а также с целью контроля работоспособности исполнительных механизмов СОБИ, мониторинга сетевой топологии ИС и установленных сервисов, анализа трафика информационного обмена для обнаружения и протоколирования сетевых событий, сбора критичной информации и обнаружения уязвимостей для предотвращения инцидентов, обнаружения вторжений и аномальной активности пользователей ИС налоговых органов, оценки защищенности телекоммуникационной инфраструктуры ФНС России.

Мониторинг осуществляется силами и средствами СУИБ ФНС России. Процедуры мониторинга необходимы для создания гарантированной безопасной среды, в которой пользователи ИС налоговых органов, выполняют только те действия, которые они уполномочены выполнять.

Мониторинг предполагает постоянное наблюдение за состоянием ИС налоговых органов, анализа полученных данных и прогнозирования возможных критичных изменений состояния безопасности информации, возникновения инцидентов и нарушений режима защиты ИР ФНС России.

Для анализа трафика информационного обмена, обнаружения сетевых событий, сбора критичной информации, обнаружения аномальной активности пользователей ИС налоговых органов, идентификации ошибок и нарушений, установленных режимов защиты информации, должны использоваться журналы мониторинга (журналы оператора, администратора, системный журнал и журнал регистрации ошибок, лог-файлы). Контроль (обзор) журналов мониторинга позволяет собирать статистику нарушений и/или отклонений в эксплуатации ИС налоговых органов от заданного режима функционирования, определять способы локализации проблем и недопущения нарушений в дальнейшем.

Журналы мониторинга должны создаваться и сохраняться в течение установленного периода времени. Журналы мониторинга, содержащие записи пользовательских действий, регистрирующие исключения, ошибки и другие информационные событий, в том числе и сообщения от СиЗИ и СЗИ, должны использоваться в ходе проводимых расследований инцидентов, нарушений правил доступа и использования ИС налоговых органов. Данные журналов мониторинга могут содержать конфиденциальную информацию и другие защищаемые сведения, как о легальных процессах и пользователях ИС налоговых органов, так и о нарушителях. Средства регистрации событий и ведения журналов мониторинга должны быть защищены от вмешательства в их работу и возможностей получения к ним несанкционированного доступа.

Данные мониторинга, касающиеся контроля состояния критичных процессов ИС налоговых органов, должны архивироваться в соответствии с принятой в ФНС России процедурой. Сохраненные данные должны обеспечивать доказательную базу для разбора возникающих проблем и инцидентов, в том числе и связанных с нарушениями Политики ИБ.

Уровень мониторинга необходимого для контроля конкретных технических средств обработки информации определяется по результатам оценки уровня информационных рисков. Состав и степень детализации событий, происходящих в ИС налоговых органов, определяется принятым уровнем допустимого риска. Для оценки информационных рисков в ИС налоговых органов необходимо:

идентифицировать прикладные и обеспечивающие процессы, проходящие в ИС налоговых органов, влияющие на информационный риск, оценить степень их критичности;

оценить накопленный мировой опыт взлома распределенных вычислительных систем, злоупотреблений и частоты, использования имеющих место уязвимостей;

определить степень взаимодействия технических средств обработки информации ИС налоговых органов с другими менее защищенными или незащищенными ИС, особенно с внешними;

оценить уровень защищенности прикладных и обеспечивающих процессов ИС налоговых органов, на основе используемых мер и средств защиты.