3.11. Обеспечение мониторинга информационной безопасности (МБ)

Цель: Выявление признаков реализации угроз безопасности информации и (или) нарушений требований внутренних стандартов и регламентов по защите информации на основе сбора данных о событиях безопасности, их обработки и анализа.

Требования к реализации: Мониторинг информационной безопасности должен предусматривать:

сбор данных о событиях безопасности и иных данных мониторинга информационной безопасности, предусмотренных национальным стандартом Российской Федерации ГОСТ Р 59547-2021 "Защита информации. Мониторинг информационной безопасности. Общие положения" (далее - данные мониторинга);

обработку данных о событиях безопасности и иных данных мониторинга;

анализ событий безопасности и иных данных мониторинга;

сопоставление событий безопасности и иных данных мониторинга с характеристиками угроз безопасности информации;

контроль, учет и анализ действий пользователей информационных систем;

сбор и анализ данных о результатах контроля потоков информации в информационных системах;

выявление нарушений безопасности информации и (или) функционирования информационных систем и реагирование на них;

своевременное информирование о выявленных нарушениях безопасности информации и (или) нарушениях функционирования информационных систем.

Требования к документированию: Внутренний регламент, определяющий порядок мониторинга информационной безопасности информационных систем, должен содержать:

перечень подразделений (работников), на которые возложены функции по мониторингу информационной безопасности, их функции (обязанности) и права;

перечень и содержание мероприятий по мониторингу информационной безопасности;

перечень действий подразделений, пользователя в случае выявления по результатам мониторинга информационной безопасности факта или признаков реализации угроз безопасности информации;

схемы взаимодействия подразделений (работников) при осуществлении мониторинга информационной безопасности (при необходимости).

Во внутреннем стандарте устанавливаются требования к сбору, регистрации и анализу событий безопасности, подлежащих мониторингу информационной безопасности.

Требования к усилению:

1) создание и обеспечение функционирования отдельного структурного подразделения по мониторингу информационной безопасности;

2) привлечение специализированной организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с правом оказания услуг по мониторингу информационной безопасности средств и систем информатизации <5> (далее - специализированная организация). В случае привлечения специализированной организации определяются работники структурного подразделения, специалисты по защите информации, ответственные за прием информации о результатах мониторинга информационной безопасности от специализированной организации, реагирование на выявленные актуальные угрозы безопасности информации;

--------------------------------

<5> Подпункт "в" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79.

3) должны применяться технические средства однонаправленного ответвления сетевого трафика;

4) должны применяться пассивные (энергонезависимые) технические средства однонаправленного ответвления сетевого трафика.