Руслан Рахметов, Security Vision
Продолжаем знакомиться с нормативными требованиями, соотносящимися с использованием систем IRP/SOAR. В этой статье рассмотрим законодательство применительно к защите информации, содержащейся в государственных информационных системах, а также к защите персональных данных. И в заключение изучим Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения".
16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:
...
выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;
...
18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
...
реагирование на инциденты;
...
18.5. В ходе реагирования на инциденты осуществляются:
обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;
анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
планирование и принятие мер по предотвращению повторного возникновения инцидентов.
Приложение №2 к Приказу ФСТЭК России № 17.
V. Регистрация событий безопасности (РСБ):
РСБ.3 - Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения
РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
РСБ.8 - Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
...
регистрация событий безопасности;
...
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
...
8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
...
8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
Приложение к Приказу ФСТЭК России № 21.
V. Регистрация событий безопасности (РСБ):
РСБ.З - Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
XIV. Выявление инцидентов и реагирование на них (ИНЦ):
ИНЦ.2 - Обнаружение, идентификация и регистрация инцидентов
ИНЦ.3 - Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами
ИНЦ.4 - Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
ИНЦ.5 - Принятие мер по устранению последствий инцидентов
ИНЦ.6 - Планирование и принятие мер по предотвращению повторного возникновения инцидентов
Общий регламент о защите данных (General Data Protection Regulation, GDPR) действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.
Пункт 82. Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа.
Статья 33. Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте.
Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения" опубликован ФСТЭК России 11.08.2020, зарегистрирован в Росстандарте 27.07.2021, ожидается ввод в действие с 01.04.2022.
4.2 В рамках мероприятий по мониторингу информационной безопасности должны быть решены следующие задачи:
а) в части мероприятий анализа событий безопасности и иных данных мониторинга:
1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников;
2) нормализация, фильтрация и агрегация данных о событиях безопасности;
3) анализ событий безопасности и иных данных мониторинга;
4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;
5) контроль, учет и анализ действий пользователей и администраторов;
6) сбор и анализ данных о результатах контроля потоков информации;
7) выявление нарушений безопасности информации;
8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;
9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.
...
5.1.1 При осуществлении мониторинга информационной безопасности данные мониторинга могут собираться с использованием как автоматизированных, так и не автоматизированных средств.
Источниками данных мониторинга информационной безопасности являются:
- средства защиты информации;
- программное обеспечение;
- программно-технические средства;
- информационные сервисы;
- среда функционирования информационных (автоматизированных) систем;
- оператор информационных (автоматизированных) систем;
- иные источники данных (в том числе внешние доступные источники данных).
5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:
а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);
...
5.2.1 При мониторинге информационной безопасности осуществляется сбор исходных данных в объеме, необходимом и достаточном для проведения анализа и различного рода оценок состояния информационной безопасности.
5.2.2 При использовании автоматизированных средств мониторинга для получения исходных данных могут применяться:
- агентный сбор данных (агенты мониторинга событий безопасности);
- безагентный сбор данных;
- опросные листы (формы);
- инструментальные средства.
...
5.3.1 Мероприятия по мониторингу информационной безопасности должны обеспечивать хранение данных, собираемых от источников, и результатов их обработки.
5.3.2 Сроки и формат хранения данных о событиях безопасности должны обеспечивать возможность выявления и анализа возникших нарушений безопасности информации.
5.3.3 В рамках мероприятий по мониторингу информационной безопасности
должны быть реализованы следующие функции:
...
- анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;
...
- выявление нарушений безопасности информации.
5.5.1 Мониторинг информационной безопасности при реализации мер защиты информации должен проводиться для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков нарушений безопасности информации.
5.5.2 Мероприятия по мониторингу информационной безопасности могут применяться для реализации мер защиты информации, связанных с:
- контролем состава программно-технических средств, программного обеспечения и средств защиты информации (инвентаризацией);
- регистрацией событий безопасности;
- выявлением (поиском) уязвимостей;
- контролем и анализом сетевого трафика;
- контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;
- анализом действий пользователей;
- управлением конфигурацией информационных (автоматизированных) систем.
5.5.3 Мероприятия по мониторингу информационной безопасности могут применяться как компенсирующие меры в случае технической сложности реализации или нецелесообразности применения иных мер защиты информации.
...
5.5.5 Обработка и анализ поступающих данных мониторинга информационной безопасности предусматривают не только выявление различных нарушений безопас ности информации, но и использование результатов реагирования на выявленные нарушения безопасности информации с целью разработки новых и корректировки существующих правил анализа событий безопасности и данных мониторинга (добавление (удаление) дополнительных условий с целью повышения эффективности выявления нарушений безопасности информации или снижения количества регистрируемых ложных нарушений безопасности информации, использование дополнительных источников для получения недостающих исходных данных).
5.5.6 В рамках мероприятий по мониторингу информационной безопасности может быть принято решение о создании единого координирующего центра мониторинга
(ситуационного центра мониторинга информационной безопасности), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и
результативность процесса мониторинга информационной безопасности в различных аспектах...
