ГОСТ Р 59547-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Общие положения

Information protection. Information security monitoring. General provisions

ОКС 35.020

Дата введения 2022-04-01

Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 июля 2021 г. N 656-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Мониторинг ИБ в информационных системах и автоматизированных системах (далее - информационные (автоматизированные) системы) представляет собой процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей.

Процесс мониторинга ИБ может охватывать все или часть информационных (автоматизированных) систем, составляющих информационную инфраструктуру обладателя информации и (или) оператора, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры.

В процессе мониторинга ИБ в рамках анализа результатов регистрации событий безопасности и иных данных мониторинга осуществляются:

- анализ событий безопасности и иных данных мониторинга;

- контроль (анализ) защищенности информации;

- анализ и оценка функционирования систем ЗИ информационных (автоматизированных) систем;

- периодический анализ изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе эксплуатации.

В настоящем стандарте определены:

а) требования к уровням мониторинга ИБ:

- к источникам данных мониторинга,

- сбору данных мониторинга,

- хранению, агрегированию и обработке данных мониторинга,

- представлению данных о результатах мониторинга;

б) порядок осуществления мониторинга ИБ при реализации мер ЗИ;

в) требования к защите данных мониторинга.

Мониторинг ИБ можно осуществлять в рамках системы менеджмента ИБ операторов информационных (автоматизированных) систем.

При осуществлении мониторинга ИБ могут быть использованы соответствующие автоматизированные средства (дополнительные программные и программно-технические средства).

     1 Область применения

Настоящий стандарт устанавливает уровни мониторинга ИБ, требования к каждому уровню, порядок осуществления мониторинга ИБ и требования к защите данных мониторинга.

Положения настоящего стандарта применимы к мероприятиям по мониторингу ИБ, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям по мониторингу ИБ, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.

Настоящий стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.

Примечание - Под мероприятиями мониторинга ИБ подразумевается совокупность действий, направленных на достижение целей мониторинга ИБ.

     2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 59548 Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 агрегирование: Процесс объединения однородных и повторяющихся данных о событиях безопасности или иных данных, получаемых в результате мониторинга ИБ.

3.2 данные мониторинга: Данные о состоянии объектов мониторинга ИБ, а также данные, получаемые из среды функционирования объектов мониторинга и внешних сервисов, которые могут использоваться для выявления уязвимостей и угроз безопасности информации.

3.3 индикатор компрометации: Известные данные, указывающие на то, что безопасность объекта мониторинга уже нарушена.

3.4 источники данных мониторинга: Программные или программно-технические средства, с которых может быть осуществлен сбор данных мониторинга.

3.5 компенсирующие меры: Меры защиты информации, которые применяются в информационной (автоматизированной) системе взамен отдельных мер защиты информации, подлежащих реализации в соответствии с предъявляемыми к информационной (автоматизированной) системе требованиями по защите информации, в связи с невозможностью их реализации.

Примечание - Компенсирующие меры должны быть достаточными для адекватного блокирования (нейтрализации) угроз безопасности информации.

3.6 меры защиты информации: Принятые правила, процедуры или механизмы, направленные на защиту информации.

3.7 мониторинг информационной безопасности; мониторинг ИБ: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей.

3.8 нарушение безопасности информации (в информационных (автоматизированных) системах): Совокупность событий безопасности и (или) иных данных мониторинга, указывающая на возможное нарушение конфиденциальности, целостности и доступности информации, нарушение принятой политики безопасности или наличие уязвимости.

3.9 нормализация (данных мониторинга): Приведение получаемых от различных источников данных мониторинга к формату, необходимому для дальнейшей их обработки и хранения.

3.10 объект мониторинга: Объект или процесс, изменение состояния которого может привести к нарушению безопасности информации.

3.11 оператор информационных [автоматизированных] систем: Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационных (автоматизированных) систем, в том числе по обработке информации, содержащейся в базах данных.

3.12 поток данных об угрозах, содержащий индикаторы компрометации: Используемый при осуществлении мониторинга набор индикаторов компрометации, получаемый из источника, распространяющего сведения о выявленных индикаторах компрометации.

3.13 событие (информационной) безопасности: Зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств ЗИ, или ситуацию, которая может быть значимой для безопасности информации.

3.15 узел информационной [автоматизированной] системы: Программно-техническое средство, предназначенное для выполнения определенных функций в составе информационной (автоматизированной) системы.

3.16 уязвимость: Свойство информационной (автоматизированной) системы, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

3.17 фильтрация событий безопасности: Выборка данных о событиях безопасности информации из состава данных, передаваемых для дальнейшего мониторинга ИБ или долгосрочного хранения по определенным критериям (правилам) мониторинга ИБ.

Примечание - Фильтрацию проводят с целью исключения из состава обрабатываемых данных мониторинга ИБ данных, не содержащих полезной информации, которую можно было бы использовать для достижения целей мониторинга.

     4 Общие положения

4.1 При осуществлении мониторинга ИБ должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных, необходимых для мониторинга ИБ, от различных источников, таких как средства ЗИ, ПО, программно-технические средства, информационные сервисы, среда функционирования информационных (автоматизированных) систем, работники (сотрудники) оператора информационных (автоматизированных) систем и иные источники данных.

Примечание - Под информационными сервисами понимаются услуги внешних информационных (автоматизированных) систем по предоставлению данных, которые могут использоваться для мониторинга ИБ (например, сервисы, предоставляющие данные об идентификаторах компрометации).

4.2 В рамках мероприятий по мониторингу ИБ решают следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга:

1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников,

2) нормализация, фильтрация и агрегирование данных о событиях безопасности,

3) анализ событий безопасности и иных данных мониторинга,

4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации,

5) контроль, учет и анализ действий пользователей и администраторов,

6) сбор и анализ данных о результатах контроля потоков информации,

7) выявление нарушений безопасности информации,

8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей,

9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации;

б) в части мероприятий контроля (анализа) защищенности информации:

1) выявление (поиск) уязвимостей,

2) разработка описаний выявленных уязвимостей,

3) контроль установки обновлений безопасности ПО, включая ПО средств ЗИ,

4) контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация),

5) контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности),

6) информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;

в) в части мероприятий анализа и оценки функционирования систем ЗИ информационных (автоматизированных) систем:

1) контроль работоспособности (неотключения) ПО и средств ЗИ,