IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ

Руслан Рахметов, Security Vision

Продолжаем знакомиться с нормативными требованиями, соотносящимися с использованием систем IRP/SOAR. В этой статье рассмотрим законодательство применительно к защите информации, содержащейся в государственных информационных системах, а также к защите персональных данных. И в заключение изучим Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения".

16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

...

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

...

18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:

...

реагирование на инциденты;

...

18.5. В ходе реагирования на инциденты осуществляются:

обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Приложение №2 к Приказу ФСТЭК России № 17.

V. Регистрация событий безопасности (РСБ):

РСБ.3 - Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.8 - Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

...

регистрация событий безопасности;

...

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

...

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

...

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Приложение к Приказу ФСТЭК России № 21.

V. Регистрация событий безопасности (РСБ):

РСБ.З - Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

XIV. Выявление инцидентов и реагирование на них (ИНЦ):

ИНЦ.2 - Обнаружение, идентификация и регистрация инцидентов

ИНЦ.3 - Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

ИНЦ.4 - Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

ИНЦ.5 - Принятие мер по устранению последствий инцидентов

ИНЦ.6 - Планирование и принятие мер по предотвращению повторного возникновения инцидентов

Общий регламент о защите данных (General Data Protection Regulation, GDPR) действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.

Пункт 82. Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа.

Статья 33. Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте.

Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения" опубликован ФСТЭК России 11.08.2020, зарегистрирован в Росстандарте 27.07.2021, ожидается ввод в действие с 01.04.2022.

4.2 В рамках мероприятий по мониторингу информационной безопасности должны быть решены следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга:

1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников;

2) нормализация, фильтрация и агрегация данных о событиях безопасности;

3) анализ событий безопасности и иных данных мониторинга;

4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;

5) контроль, учет и анализ действий пользователей и администраторов;

6) сбор и анализ данных о результатах контроля потоков информации;

7) выявление нарушений безопасности информации;

8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;

9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.

...

5.1.1 При осуществлении мониторинга информационной безопасности данные мониторинга могут собираться с использованием как автоматизированных, так и не автоматизированных средств.

Источниками данных мониторинга информационной безопасности являются:

- средства защиты информации;

- программное обеспечение;

- программно-технические средства;

- информационные сервисы;

- среда функционирования информационных (автоматизированных) систем;

- оператор информационных (автоматизированных) систем;

- иные источники данных (в том числе внешние доступные источники данных).

5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:

а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);

...

5.2.1 При мониторинге информационной безопасности осуществляется сбор исходных данных в объеме, необходимом и достаточном для проведения анализа и различного рода оценок состояния информационной безопасности.

5.2.2 При использовании автоматизированных средств мониторинга для получения исходных данных могут применяться:

- агентный сбор данных (агенты мониторинга событий безопасности);

- безагентный сбор данных;

- опросные листы (формы);

- инструментальные средства.

...

5.3.1 Мероприятия по мониторингу информационной безопасности должны обеспечивать хранение данных, собираемых от источников, и результатов их обработки.

5.3.2 Сроки и формат хранения данных о событиях безопасности должны обеспечивать возможность выявления и анализа возникших нарушений безопасности информации.

5.3.3 В рамках мероприятий по мониторингу информационной безопасности

должны быть реализованы следующие функции:

...

- анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;

...

- выявление нарушений безопасности информации.

5.5.1 Мониторинг информационной безопасности при реализации мер защиты информации должен проводиться для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков нарушений безопасности информации.

5.5.2 Мероприятия по мониторингу информационной безопасности могут применяться для реализации мер защиты информации, связанных с:

- контролем состава программно-технических средств, программного обеспечения и средств защиты информации (инвентаризацией);

- регистрацией событий безопасности;

- выявлением (поиском) уязвимостей;

- контролем и анализом сетевого трафика;

- контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;

- анализом действий пользователей;

- управлением конфигурацией информационных (автоматизированных) систем.

5.5.3 Мероприятия по мониторингу информационной безопасности могут применяться как компенсирующие меры в случае технической сложности реализации или нецелесообразности применения иных мер защиты информации.

...

5.5.5 Обработка и анализ поступающих данных мониторинга информационной безопасности предусматривают не только выявление различных нарушений безопас ности информации, но и использование результатов реагирования на выявленные нарушения безопасности информации с целью разработки новых и корректировки существующих правил анализа событий безопасности и данных мониторинга (добавление (удаление) дополнительных условий с целью повышения эффективности выявления нарушений безопасности информации или снижения количества регистрируемых ложных нарушений безопасности информации, использование дополнительных источников для получения недостающих исходных данных).

5.5.6 В рамках мероприятий по мониторингу информационной безопасности может быть принято решение о создании единого координирующего центра мониторинга

(ситуационного центра мониторинга информационной безопасности), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и

результативность процесса мониторинга информационной безопасности в различных аспектах...