7.7.1 Подпроцесс «Мониторинг и анализ событий защиты информации»
7.7.1.1 Применяемые финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:
- организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;
- сбор, защиту и хранение данных регистрации о событиях защиты информации;
- анализ данных регистрации о событиях защиты информации;
- регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации.
Примечание. Рекомендации по обнаружению инцидентов информационной безопасности и реагированию на инциденты информационной безопасности приведены в [15].
7.7.1.2 Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации, применительно к уровням защиты информации приведен в таблице 33.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| МАС.1 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации | Т | Т | Т |
| МАС.2 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами | Н | Т | Т |
| МАС.3 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами | Н | Т | Т |
| МАС.4 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД | Н | Т | Т |
| МАС.5 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями | Т | Т | Т |
| МАС.6 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов | Т | Т | Т |
| МАС.7 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом | Н | Н | Т |
7.7.1.3 Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 34.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| МАС.8 | Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33 | Н | Т | Т |
| МАС.9 | Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации | Т | Т | Т |
| МАС.10 | Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33 | О | Т | Т |
| МАС.11 | Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет | Н | Т | Т |
| МАС.12 | Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе | Н | Т | Т |
| МАС.13 | Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации | Т | Т | Т |
| МАС.14 | Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации | Т | Т | Т |
| МАС.15 | Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет | Т | Т | Н |
| МАС.15 | Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет | Н | Н | Т |
7.7.1.4 Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 35.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| МАС.17 | Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации | Н | Т | Т |
| МАС.18 | Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД* | Т | Т | Т |
| МАС.19 | Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа | Т | Т | Т |
| МАС.20 | Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа | Т | Т | Т |
| * Перечень событий, потенциально связанных с НСД, рекомендуемых для выявления, регистрации и анализа, приведен в приложении В к настоящему стандарту ГОСТ 57580.1-2017. | ||||
7.7.1.5 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации, применительно к уровням защиты информации приведен в таблице 36.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| МАС.21 | Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации | Н | Т | Т |
| МАС.22 | Регистрация доступа к хранимым данным о событиях защиты информации | Т | Т | Т |
| МАС.23 | Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации | Н | Т | Т |
7.7.2 Подпроцесс «Обнаружение инцидентов защиты информации и реагирование на них»
7.7.2.1 Применяемые финансовой организацией меры по обнаружению инцидентов защиты информации и реагирование на них должны обеспечивать:
- обнаружение и регистрацию инцидентов защиты информации;
- организацию реагирования на инциденты защиты информации;
- организацию хранения и защиту информации об инцидентах защиты информации;
- регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.
При реализации подпроцесса «Обнаружение инцидентов защиты информации и реагирование на них» рекомендуется использовать ГОСТ Р ИСО/МЭК ТО 18044.
Примечание. Рекомендации по обнаружению инцидентов информационной безопасности и реагированию на инциденты информационной безопасности приведены в [15].
7.7.2.2 Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации приведен в таблице 37.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| РИ.1 | Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации | О | Т | Т |
| РИ.2 | Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации | О | Т | Т |
| РИ.3 | Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации | О | О | Т |
| РИ.4 | Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации | О | О | О |
| РИ.5 | Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений | О | Т | Т |
7.7.2.3 Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации приведен в таблице 38.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| РИ.6 | Установление и применение единых правил реагирования на инциденты защиты информации | О | О | О |
| РИ.7 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации | О | Н | Н |
| РИ.8 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инциденты защиты информации (ГРИЗИ) | Н | О | О |
| РИ.9 | Выделение в составе ГРИЗИ следующих основных ролей:
| Н | О | О |
| РИ.10 | Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации | Н | Т | Т |
| РИ.11 | Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации | Н | О | О |
| РИ.12 | Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
| О | О | О |
| РИ.13 | Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации | О | О | О |
| РИ.14 | Установление и применение единых правил закрытия инцидентов защиты информации | О | О | О |
7.7.2.4 Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации приведен в таблице 39.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| РИ.15 | Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации | Т | Т | Т |
| РИ.16 | Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации | Н | Т | Т |
| РИ.17 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет | Т | Т | Н |
| РИ.18 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет | Н | Н | Т |
7.7.2.5 Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них, применительно к уровням защиты информации приведен в таблице 40.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| РИ.19 | Регистрация доступа к информации об инцидентах защиты информации | Т | Т | Т |
к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед