SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ

IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
01.11.2021

Руслан Рахметов, Security Vision

Продолжаем знакомиться с нормативными требованиями, соотносящимися с использованием систем IRP/SOAR. В этой статье рассмотрим законодательство применительно к защите информации, содержащейся в государственных информационных системах, а также к защите персональных данных. И в заключение изучим Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения".

Приказ ФСТЭК России № 17 от 11.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (в редакции Приказов ФСТЭК России № 27, № 106).

 

16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

...

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

...

18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:

...

реагирование на инциденты;

...

18.5. В ходе реагирования на инциденты осуществляются:

обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Приложение №2 к Приказу ФСТЭК России № 17.

V. Регистрация событий безопасности (РСБ):

РСБ.3 - Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.8 - Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

Приказ ФСТЭК России № 21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (в редакции Приказа ФСТЭК России № 49).

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

...

регистрация событий безопасности;

...

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

...

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

...

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Приложение к Приказу ФСТЭК России № 21.

V. Регистрация событий безопасности (РСБ):

РСБ.З - Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

XIV. Выявление инцидентов и реагирование на них (ИНЦ):

ИНЦ.2 - Обнаружение, идентификация и регистрация инцидентов

ИНЦ.3 - Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

ИНЦ.4 - Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

ИНЦ.5 - Принятие мер по устранению последствий инцидентов

ИНЦ.6 - Планирование и принятие мер по предотвращению повторного возникновения инцидентов

Общий регламент о защите данных (General Data Protection Regulation, GDPR)

Общий регламент о защите данных (General Data Protection Regulation, GDPR) действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.

Пункт 82. Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа.

Статья 33. Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте.

Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения"

Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения" опубликован ФСТЭК России 11.08.2020, зарегистрирован в Росстандарте 27.07.2021, ожидается ввод в действие с 01.04.2022.

4.2 В рамках мероприятий по мониторингу информационной безопасности должны быть решены следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга:

1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников;

2) нормализация, фильтрация и агрегация данных о событиях безопасности;

3) анализ событий безопасности и иных данных мониторинга;

4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;

5) контроль, учет и анализ действий пользователей и администраторов;

6) сбор и анализ данных о результатах контроля потоков информации;

7) выявление нарушений безопасности информации;

8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;

9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.

...

5.1.1 При осуществлении мониторинга информационной безопасности данные мониторинга могут собираться с использованием как автоматизированных, так и не автоматизированных средств.

Источниками данных мониторинга информационной безопасности являются:

- средства защиты информации;

- программное обеспечение;

- программно-технические средства;

- информационные сервисы;

- среда функционирования информационных (автоматизированных) систем;

- оператор информационных (автоматизированных) систем;

- иные источники данных (в том числе внешние доступные источники данных).

5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:

а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);

...

5.2.1 При мониторинге информационной безопасности осуществляется сбор исходных данных в объеме, необходимом и достаточном для проведения анализа и различного рода оценок состояния информационной безопасности.

5.2.2 При использовании автоматизированных средств мониторинга для получения исходных данных могут применяться:

- агентный сбор данных (агенты мониторинга событий безопасности);

- безагентный сбор данных;

- опросные листы (формы);

- инструментальные средства.

...

5.3.1 Мероприятия по мониторингу информационной безопасности должны обеспечивать хранение данных, собираемых от источников, и результатов их обработки.

5.3.2 Сроки и формат хранения данных о событиях безопасности должны обеспечивать возможность выявления и анализа возникших нарушений безопасности информации.

5.3.3 В рамках мероприятий по мониторингу информационной безопасности

должны быть реализованы следующие функции:

...

- анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;

...

- выявление нарушений безопасности информации.

5.5.1 Мониторинг информационной безопасности при реализации мер защиты информации должен проводиться для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков нарушений безопасности информации.

5.5.2 Мероприятия по мониторингу информационной безопасности могут применяться для реализации мер защиты информации, связанных с:

- контролем состава программно-технических средств, программного обеспечения и средств защиты информации (инвентаризацией);

- регистрацией событий безопасности;

- выявлением (поиском) уязвимостей;

- контролем и анализом сетевого трафика;

- контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;

- анализом действий пользователей;

- управлением конфигурацией информационных (автоматизированных) систем.

5.5.3 Мероприятия по мониторингу информационной безопасности могут применяться как компенсирующие меры в случае технической сложности реализации или нецелесообразности применения иных мер защиты информации.

...

5.5.5 Обработка и анализ поступающих данных мониторинга информационной безопасности предусматривают не только выявление различных нарушений безопас ности информации, но и использование результатов реагирования на выявленные нарушения безопасности информации с целью разработки новых и корректировки существующих правил анализа событий безопасности и данных мониторинга (добавление (удаление) дополнительных условий с целью повышения эффективности выявления нарушений безопасности информации или снижения количества регистрируемых ложных нарушений безопасности информации, использование дополнительных источников для получения недостающих исходных данных).

5.5.6 В рамках мероприятий по мониторингу информационной безопасности может быть принято решение о создании единого координирующего центра мониторинга

(ситуационного центра мониторинга информационной безопасности), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и

результативность процесса мониторинга информационной безопасности в различных аспектах...

Рекомендуем

Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
IRP/SOAR по закону. Финансы
IRP/SOAR по закону. Финансы
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Импортозамещение
Импортозамещение

Рекомендуем

Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
IRP/SOAR по закону. Финансы
IRP/SOAR по закону. Финансы
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Импортозамещение
Импортозамещение

Похожие статьи

Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Отчеты нового поколения
Отчеты нового поколения
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности

Похожие статьи

Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Отчеты нового поколения
Отчеты нового поколения
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности