6.5.1. В состав технических, в том числе программных, средств, используемых в рамках деятельности по обнаружению и реагированию на инциденты ИБ (далее - технические средства), рекомендуется включить:
- технические средства формирования данных, являющихся источниками информации о событиях ИБ и об инцидентах ИБ, в соответствии с рекомендациями, установленными пп.6.4.4 настоящего документа;
- технические средства централизованного сбора информации о событиях ИБ, корреляции информации о событиях ИБ и обнаружения на основе установленных правил инцидентов ИБ (далее - средства мониторинга ИБ);
- технические средства контроля применяемых в организации БС РФ защитных мер;
- технические средства автоматизации процессов реагирования на инциденты ИБ, включая хранение информации о событиях ИБ и инцидентах ИБ.
6.5.2. Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции:
- отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;
- агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;
- текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;
- текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств.
6.5.3. Требования к представлению информации о событиях ИБ со стороны компонент информационной инфраструктуры организации БС РФ для ее использования в рамках системы мониторинга ИБ и контроля защитных мер целесообразно формировать на стадии их создания и (или) модернизации.
Для случаев, когда приобретаемое организацией БС РФ прикладное программное обеспечение не обладает функциональными возможностями ведения регистрационных журналов событий ИБ и его доработка не предусмотрена поставщиком, рекомендуется рассмотреть возможность применения компенсирующих функций по формированию информации о событиях ИБ, реализуемых иными компонентами информационной инфраструктуры организации БС РФ, например операционными системами или системами управления базами данных.
6.5.4. Технические средства автоматизации процессов реагирования на инциденты ИБ должны обеспечивать реализацию следующих функций:
- хранение и защиту информации о событиях ИБ и инцидентах ИБ;
- проведение классификации инцидентов ИБ, определение атрибутов инцидентов ИБ в соответствии с применяемым в организации БС РФ классификатором инцидентов ИБ;
- реализацию ролевого доступа к информации об инцидентах ИБ членов ГРИИБ в соответствии с установленными для них ролями в рамках ГРИИБ;
- отслеживание и контроль выполнения этапов реагирования на инцидент ИБ и контроль выполнения членами ГРИИБ установленных регламентов реагирования на инциденты ИБ.
6.5.5. Порядок эксплуатации технических средств должен предусматривать:
- описание состава (количество), мест установки, параметров настроек технических средств;
- описание состава и требований к реализации организационных мер, необходимых для обеспечения эксплуатации технических средств;
- описание правил и процедур эксплуатации технических средств, включая правила и процедуры обновления программного обеспечения технических средств, управления и контроля (мониторинга) параметров их настройки;
- описание ролей и состава функций эксплуатирующего персонала и персонала, осуществляющего контроль эксплуатации технических средств;
- инструкции пользователей и эксплуатирующего персонала, в том числе персонала, осуществляющего контроль эксплуатации технических средств;
- описание правил и процедур контроля доступа эксплуатационного персонала к техническим средствам;
- требования к составу и содержанию организационно-распорядительных документов, необходимых для обеспечения эксплуатации технических средств;
- требования к составу и содержанию организационных мероприятий, необходимых для обеспечения эксплуатации технических средств, в том числе мероприятий по назначению ролей эксплуатирующего персонала, обучению, информированию и повышению осведомленности эксплуатирующего персонала и пользователей;
- описание правил и процедур по обеспечению информационной безопасности при выводе из эксплуатации АБС или по окончании обработки информации.
6.5.6. В организации БС РФ рекомендуется реализовать процедуры контроля соответствия фактических настроек технических средств заданным в эксплуатационной документации. Не рекомендуется наличие субъектов доступа, обладающих единоличными и бесконтрольными возможностями по изменению настроек технических средств. Все действия по изменению настроек технических средств рекомендуется протоколировать и осуществлять под контролем работников службы ИБ по предварительно согласованной программе.