ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности. Общие положения

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 агрегирование: Процесс объединения однородных и повторяющихся данных о событиях безопасности или иных данных, получаемых в результате мониторинга ИБ.

3.2 данные мониторинга: Данные о состоянии объектов мониторинга ИБ, а также данные, получаемые из среды функционирования объектов мониторинга и внешних сервисов, которые могут использоваться для выявления уязвимостей и угроз безопасности информации.

3.3 индикатор компрометации: Известные данные, указывающие на то, что безопасность объекта мониторинга уже нарушена.

3.4 источники данных мониторинга: Программные или программно-технические средства, с которых может быть осуществлен сбор данных мониторинга.

3.5 компенсирующие меры: Меры защиты информации, которые применяются в информационной (автоматизированной) системе взамен отдельных мер защиты информации, подлежащих реализации в соответствии с предъявляемыми к информационной (автоматизированной) системе требованиями по защите информации, в связи с невозможностью их реализации.

Примечание - Компенсирующие меры должны быть достаточными для адекватного блокирования (нейтрализации) угроз безопасности информации.

3.6 меры защиты информации: Принятые правила, процедуры или механизмы, направленные на защиту информации.

3.7 мониторинг информационной безопасности; мониторинг ИБ: Процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей.

3.8 нарушение безопасности информации (в информационных (автоматизированных) системах): Совокупность событий безопасности и (или) иных данных мониторинга, указывающая на возможное нарушение конфиденциальности, целостности и доступности информации, нарушение принятой политики безопасности или наличие уязвимости.

3.9 нормализация (данных мониторинга): Приведение получаемых от различных источников данных мониторинга к формату, необходимому для дальнейшей их обработки и хранения.

3.10 объект мониторинга: Объект или процесс, изменение состояния которого может привести к нарушению безопасности информации.

3.11 оператор информационных [автоматизированных] систем: Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационных (автоматизированных) систем, в том числе по обработке информации, содержащейся в базах данных.

3.12 поток данных об угрозах, содержащий индикаторы компрометации: Используемый при осуществлении мониторинга набор индикаторов компрометации, получаемый из источника, распространяющего сведения о выявленных индикаторах компрометации.

3.13 событие (информационной) безопасности: Зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств ЗИ, или ситуацию, которая может быть значимой для безопасности информации.

3.15 узел информационной [автоматизированной] системы: Программно-техническое средство, предназначенное для выполнения определенных функций в составе информационной (автоматизированной) системы.

3.16 уязвимость: Свойство информационной (автоматизированной) системы, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

3.17 фильтрация событий безопасности: Выборка данных о событиях безопасности информации из состава данных, передаваемых для дальнейшего мониторинга ИБ или долгосрочного хранения по определенным критериям (правилам) мониторинга ИБ.

Примечание - Фильтрацию проводят с целью исключения из состава обрабатываемых данных мониторинга ИБ данных, не содержащих полезной информации, которую можно было бы использовать для достижения целей мониторинга.