SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ

IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ


Руслан Рахметов, Security Vision


Продолжаем знакомиться с нормативными требованиями, соотносящимися с использованием систем IRP/SOAR. В этой статье рассмотрим законодательство применительно к защите информации, содержащейся в государственных информационных системах, а также к защите персональных данных. И в заключение изучим Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения".

Приказ ФСТЭК России № 17 от 11.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (в редакции Приказов ФСТЭК России № 27, № 106).

 

16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

... 

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

...

18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:

...

реагирование на инциденты;

...

18.5. В ходе реагирования на инциденты осуществляются:

обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

планирование и принятие мер по предотвращению повторного возникновения инцидентов.


Приложение №2 к Приказу ФСТЭК России № 17.


V. Регистрация событий безопасности (РСБ):

РСБ.3 - Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.8 - Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе


Приказ ФСТЭК России № 21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (в редакции Приказа ФСТЭК России № 49).


8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

...

регистрация событий безопасности;

...

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

...

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

...

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.


Приложение к Приказу ФСТЭК России № 21.


V. Регистрация событий безопасности (РСБ):

РСБ.З - Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.4 - Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

XIV. Выявление инцидентов и реагирование на них (ИНЦ):

ИНЦ.2 - Обнаружение, идентификация и регистрация инцидентов

ИНЦ.3 - Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

ИНЦ.4 - Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

ИНЦ.5 - Принятие мер по устранению последствий инцидентов

ИНЦ.6 - Планирование и принятие мер по предотвращению повторного возникновения инцидентов


Общий регламент о защите данных (General Data Protection Regulation, GDPR)

Общий регламент о защите данных (General Data Protection Regulation, GDPR) действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.

Пункт 82. Обеспечение мониторинга использования персональных данных и предоставление записей такого аудита по запросу от уполномоченного европейского надзорного органа.
Статья 33. Реагирование на инциденты (утечки) персональных данных в соответствии с GDPR: уведомление уполномоченного европейского надзорного органа в течение 72 часов с момента обнаружения инцидента, с указанием необходимых фактов о произошедшем инциденте.


Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения"


Проект национального стандарта ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения" опубликован ФСТЭК России 11.08.2020, зарегистрирован в Росстандарте 27.07.2021, ожидается ввод в действие с 01.04.2022.

4.2 В рамках мероприятий по мониторингу информационной безопасности должны быть решены следующие задачи:

а) в части мероприятий анализа событий безопасности и иных данных мониторинга:

1) сбор данных о событиях безопасности и иных данных мониторинга от различных источников;

2) нормализация, фильтрация и агрегация данных о событиях безопасности;

3) анализ событий безопасности и иных данных мониторинга;

4) сопоставление событий безопасности с потоками данных, содержащих индикаторы компрометации;

5) контроль, учет и анализ действий пользователей и администраторов;

6) сбор и анализ данных о результатах контроля потоков информации;

7) выявление нарушений безопасности информации;

8) выявление скрытых уязвимостей путем сопоставления результатов регистрации событий безопасности с результатами анализа уязвимостей;

9) своевременное информирование ответственных лиц о выявленных нарушениях безопасности информации.

...

5.1.1 При осуществлении мониторинга информационной безопасности данные мониторинга могут собираться с использованием как автоматизированных, так и не автоматизированных средств.

Источниками данных мониторинга информационной безопасности являются:

- средства защиты информации;

- программное обеспечение;

- программно-технические средства;

- информационные сервисы;

- среда функционирования информационных (автоматизированных) систем;

- оператор информационных (автоматизированных) систем;

- иные источники данных (в том числе внешние доступные источники данных).


5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:

а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);

...

5.2.1 При мониторинге информационной безопасности осуществляется сбор исходных данных в объеме, необходимом и достаточном для проведения анализа и различного рода оценок состояния информационной безопасности.


5.2.2 При использовании автоматизированных средств мониторинга для получения исходных данных могут применяться:

- агентный сбор данных (агенты мониторинга событий безопасности);

- безагентный сбор данных;

- опросные листы (формы);

- инструментальные средства.

...

5.3.1 Мероприятия по мониторингу информационной безопасности должны обеспечивать хранение данных, собираемых от источников, и результатов их обработки.


5.3.2 Сроки и формат хранения данных о событиях безопасности должны обеспечивать возможность выявления и анализа возникших нарушений безопасности информации.


5.3.3 В рамках мероприятий по мониторингу информационной безопасности

должны быть реализованы следующие функции:

...

- анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;

...

- выявление нарушений безопасности информации.


5.5.1 Мониторинг информационной безопасности при реализации мер защиты информации должен проводиться для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков нарушений безопасности информации.


5.5.2 Мероприятия по мониторингу информационной безопасности могут применяться для реализации мер защиты информации, связанных с:

- контролем состава программно-технических средств, программного обеспечения и средств защиты информации (инвентаризацией);

- регистрацией событий безопасности;

- выявлением (поиском) уязвимостей;

- контролем и анализом сетевого трафика;

- контролем использования интерфейсов ввода (вывода) информации на машинные носители информации;

- анализом действий пользователей;

- управлением конфигурацией информационных (автоматизированных) систем.


5.5.3 Мероприятия по мониторингу информационной безопасности могут применяться как компенсирующие меры в случае технической сложности реализации или нецелесообразности применения иных мер защиты информации.

...

5.5.5 Обработка и анализ поступающих данных мониторинга информационной безопасности предусматривают не только выявление различных нарушений безопас ности информации, но и использование результатов реагирования на выявленные нарушения безопасности информации с целью разработки новых и корректировки существующих правил анализа событий безопасности и данных мониторинга (добавление (удаление) дополнительных условий с целью повышения эффективности выявления нарушений безопасности информации или снижения количества регистрируемых ложных нарушений безопасности информации, использование дополнительных источников для получения недостающих исходных данных).


5.5.6 В рамках мероприятий по мониторингу информационной безопасности может быть принято решение о создании единого координирующего центра мониторинга (ситуационного центра мониторинга информационной безопасности), позволяющего контролировать качество организации процесса мониторинга, а также непрерывность и результативность процесса мониторинга информационной безопасности в различных аспектах...

IRP SOAR Защита персональных данных Стандарты, ГОСТы и документы ИБ

Похожие статьи

Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP. Часть 2
Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP. Часть 2
Deep Packet Inspection (DPI) - что это такое?
Deep Packet Inspection (DPI) - что это такое?
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR
Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR
Что такое Single Sign-On (SSO)
Что такое Single Sign-On (SSO)
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
Процесс поиска, анализа и оценки уязвимостей
Процесс поиска, анализа и оценки уязвимостей
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром

Похожие статьи

Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP. Часть 2
Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP. Часть 2
Deep Packet Inspection (DPI) - что это такое?
Deep Packet Inspection (DPI) - что это такое?
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR
Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR
Что такое Single Sign-On (SSO)
Что такое Single Sign-On (SSO)
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
Процесс поиска, анализа и оценки уязвимостей
Процесс поиска, анализа и оценки уязвимостей
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром