8. Средства обнаружения должны реализовывать следующие функции:
сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств и систем защиты информации и систем мониторинга, в том числе от средств обнаружения вторжений, межсетевых экранов, средств предотвращения утечек данных, антивирусного программного обеспечения (далее - ПО), телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания (далее - источники событий ИБ);
автоматический анализ событий ИБ и выявление компьютерных инцидентов;
повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.
9. Для осуществления сбора и первичной обработки событий ИБ в средствах обнаружения должна быть реализована возможность:
удаленного и (или) локального сбора событий ИБ;
сбора событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи с источниками событий ИБ - сразу после ее восстановления;
обработки поступающих событий ИБ и сохранение результатов их обработки;
сохранения информации о событиях ИБ, в том числе в исходном виде;
сбора информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;
встроенной поддержки различных источников событий ИБ и разработки дополнительных модулей, посредством использования которых должно обеспечиваться получение информации от новых источников событий ИБ.
10. Для осуществления автоматического анализа событий ИБ и выявления компьютерных инцидентов в средствах обнаружения должна быть реализована возможность:
отбора и фильтрации событий ИБ;
выявления последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция), и объединения однородных данных о событиях ИБ (агрегация);
выявления компьютерных инцидентов, регистрации методов (способов) их обнаружения;
корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
корреляции для последовательности событий ИБ;
просмотра и редактирования правил корреляции, а также для обновления и загрузки новых правил;
автоматического назначения приоритетов событиям ИБ на основании задаваемых пользователем показателей.
11. Для осуществления повторного анализа ранее зарегистрированных событий ИБ и выявления на основе такого анализа не обнаруженных ранее компьютерных инцидентов в средствах обнаружения должна быть реализована возможность:
выявления связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и вновь появившейся любой дополнительной информацией, позволяющей идентифицировать контролируемые информационные ресурсы (далее - справочная информация);
выявления связей и зависимостей между событиями ИБ, зарегистрированными в установленном пользователем интервале времени, и новыми или измененными методами (способами) выявления компьютерных инцидентов;
выявления связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) состоянии защищенности;
настройки параметров проводимого анализа;
проведения поиска не обнаруженных ранее компьютерных инцидентов с использованием новых методов (способов) выявления компьютерных инцидентов;
хранения агрегированных событий ИБ не менее 6 месяцев.
12. Средства обнаружения должны иметь сертификат соответствия требованиям ФСБ России к средствам обнаружения компьютерных атак, разрабатываемым в соответствии с пунктом 1.4 Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ), утвержденного приказом ФСБ России от 13 ноября 1999 г. N 564 <1>.
--------------------------------
<1> Зарегистрирован Минюстом России 27 декабря 1999 г., регистрационный N 2028.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875