7.7 Процесс 6 «Управление инцидентами защиты информации»

7.7.1 Подпроцесс «Мониторинг и анализ событий защиты информации»

7.7.1.1 Применяемые финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:

  • организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;
  • сбор, защиту и хранение данных регистрации о событиях защиты информации;
  • анализ данных регистрации о событиях защиты информации;
  • регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации.
При реализации подпроцесса «Мониторинг и анализ событий защиты информации» рекомендуется использовать ГОСТ Р ИСО/МЭК ТО 18044.
Примечание. Рекомендации по обнаружению инцидентов информационной безопасности и реагированию на инциденты информационной безопасности приведены в [15].

7.7.1.2 Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации, применительно к уровням защиты информации приведен в таблице 33.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
МАС.1 Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации Т Т Т
МАС.2 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами Н Т Т
МАС.3 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами Н Т Т
МАС.4 Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД Н Т Т
МАС.5 Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями Т Т Т
МАС.6 Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов Т Т Т
МАС.7 Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом Н Н Т
Таблица 33. Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации


7.7.1.3 Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 34.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
МАС.8 Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33 Н Т Т
МАС.9 Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации Т Т Т
МАС.10 Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33 О Т Т
МАС.11 Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет Н Т Т
МАС.12 Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе Н Т Т
МАС.13 Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации Т Т Т
МАС.14 Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации Т Т Т
МАС.15 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет Т Т Н
МАС.15 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет Н Н Т
Таблица 34. Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации


7.7.1.4 Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 35.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
МАС.17 Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации Н Т Т
МАС.18 Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД* Т Т Т
МАС.19 Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа Т Т Т
МАС.20 Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа Т Т Т
* Перечень событий, потенциально связанных с НСД, рекомендуемых для выявления, регистрации и анализа, приведен в приложении В к настоящему стандарту ГОСТ 57580.1-2017.
Таблица 35. Базовый состав мер по анализу данных регистрации о событиях защиты информации


7.7.1.5 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации, применительно к уровням защиты информации приведен в таблице 36.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
МАС.21 Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации Н Т Т
МАС.22 Регистрация доступа к хранимым данным о событиях защиты информации Т Т Т
МАС.23 Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации Н Т Т
Таблица 36. Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации


7.7.2 Подпроцесс «Обнаружение инцидентов защиты информации и реагирование на них»

7.7.2.1 Применяемые финансовой организацией меры по обнаружению инцидентов защиты информации и реагирование на них должны обеспечивать:

  • обнаружение и регистрацию инцидентов защиты информации;
  • организацию реагирования на инциденты защиты информации;
  • организацию хранения и защиту информации об инцидентах защиты информации;
  • регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.

При реализации подпроцесса «Обнаружение инцидентов защиты информации и реагирование на них» рекомендуется использовать ГОСТ Р ИСО/МЭК ТО 18044.

Примечание. Рекомендации по обнаружению инцидентов информационной безопасности и реагированию на инциденты информационной безопасности приведены в [15].

7.7.2.2 Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации приведен в таблице 37.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации О Т Т
РИ.2 Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации О Т Т
РИ.3 Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации О О Т
РИ.4 Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации О О О
РИ.5 Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений О Т Т
Таблица 37. Базовый состав мер по обнаружению и регистрации инцидентов защиты информации


7.7.2.3 Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации приведен в таблице 38.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
РИ.6 Установление и применение единых правил реагирования на инциденты защиты информации О О О
РИ.7 Определение и назначение ролей, связанных с реагированием на инциденты защиты информации О Н Н
РИ.8 Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инциденты защиты информации (ГРИЗИ) Н О О
РИ.9 Выделение в составе ГРИЗИ следующих основных ролей:
  • руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;
  • оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;
  • аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инцидент защиты информации;
  • секретарь ГРИЗИ, в основные функциональные обязанности которого входит документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов материалов
Н О О
РИ.10 Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации Н Т Т
РИ.11 Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации Н О О
РИ.12 Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
  • анализ инцидента;
  • определение источников и причин возникновения инцидента;
  • оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;
  • принятие мер по устранению последствий инцидента;
  • планирование и принятие мер по предотвращению повторного возникновения инцидента
О О О
РИ.13 Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации О О О
РИ.14 Установление и применение единых правил закрытия инцидентов защиты информации О О О
Таблица 38. Базовый состав мер по организации реагирования на инциденты защиты информации


7.7.2.4 Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации приведен в таблице 39.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
РИ.15 Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации Т Т Т
РИ.16 Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации Н Т Т
РИ.17 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет Т Т Н
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет Н Н Т
Таблица 39. Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации


7.7.2.5 Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них, применительно к уровням защиты информации приведен в таблице 40.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
РИ.19 Регистрация доступа к информации об инцидентах защиты информации Т Т Т
Таблица 40. Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них




к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед


Рейтинг@Mail.ru Яндекс.Метрика