РСБ.2. Анализ событий безопасности и реагирование на них

Цель: Своевременное выявление признаков компьютерных атак и инцидентов безопасности.

Требования к реализации: Анализ записей регистрации должен проводиться для всех событий, подлежащих регистрации в соответствии с мерой защиты информации РСБ.1, с периодичностью, установленной оператором и обеспечивающей своевременное выявление признаков компьютерных атак и инцидентов безопасности.

В случае выявления признаков компьютерных атак и инцидентов безопасности в информационной системе осуществляется проведение мероприятий по реагированию на выявленные компьютерные атаки и инциденты безопасности.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены периодичность проведения анализа событий безопасности, а также порядок реагирования на выявленные признаки компьютерных атак и инциденты безопасности.

Требования к усилению:

1) в информационной системе должны обеспечиваться сбор результатов анализа записей регистрации из разных источников (журналов, хранилищ информации о событиях безопасности) и их корреляция с целью выявления инцидентов безопасности и реагирования на них;

2) в информационной системе должна обеспечиваться интеграция процессов анализа результатов регистрации событий безопасности с результатами анализа уязвимостей и результатами обнаружения вторжений с целью усиления возможностей по выявлению признаков инцидентов безопасности;

3) в информационной системе должен обеспечиваться полнотекстовый анализ привилегированных команд;

4) оператором должен обеспечиваться анализ записанных сетевых потоков (дампов);

5) реагирование на компьютерные инциденты должно осуществляться с учетом ГОСТ Р 59712-2022 "Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты".

Реализация в информационной системе: