6.5. Рекомендации по выбору технических средств по обнаружению и реагированию на инциденты ИБ и определению порядка их эксплуатации

6.5.1. В состав технических, в том числе программных, средств, используемых в рамках деятельности по обнаружению и реагированию на инциденты ИБ (далее - технические средства), рекомендуется включить:

- технические средства формирования данных, являющихся источниками информации о событиях ИБ и об инцидентах ИБ, в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа;

- технические средства централизованного сбора информации о событиях ИБ, корреляции информации о событиях ИБ и обнаружения на основе установленных правил инцидентов ИБ (далее - средства мониторинга ИБ);

- технические средства контроля применяемых в организации БС РФ защитных мер;

- технические средства автоматизации процессов реагирования на инциденты ИБ, включая хранение информации о событиях ИБ и инцидентах ИБ.

6.5.2. Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции:

- отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;

- агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;

- текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;

- текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств.

6.5.3. Требования к представлению информации о событиях ИБ со стороны компонент информационной инфраструктуры организации БС РФ для ее использования в рамках системы мониторинга ИБ и контроля защитных мер целесообразно формировать на стадии их создания и (или) модернизации.

Для случаев, когда приобретаемое организацией БС РФ прикладное программное обеспечение не обладает функциональными возможностями ведения регистрационных журналов событий ИБ и его доработка не предусмотрена поставщиком, рекомендуется рассмотреть возможность применения компенсирующих функций по формированию информации о событиях ИБ, реализуемых иными компонентами информационной инфраструктуры организации БС РФ, например операционными системами или системами управления базами данных.

6.5.4. Технические средства автоматизации процессов реагирования на инциденты ИБ должны обеспечивать реализацию следующих функций:

- хранение и защиту информации о событиях ИБ и инцидентах ИБ;

- проведение классификации инцидентов ИБ, определение атрибутов инцидентов ИБ в соответствии с применяемым в организации БС РФ классификатором инцидентов ИБ;

- реализацию ролевого доступа к информации об инцидентах ИБ членов ГРИИБ в соответствии с установленными для них ролями в рамках ГРИИБ;

- отслеживание и контроль выполнения этапов реагирования на инцидент ИБ и контроль выполнения членами ГРИИБ установленных регламентов реагирования на инциденты ИБ.

6.5.5. Порядок эксплуатации технических средств должен предусматривать:

- описание состава (количество), мест установки, параметров настроек технических средств;

- описание состава и требований к реализации организационных мер, необходимых для обеспечения эксплуатации технических средств;

- описание правил и процедур эксплуатации технических средств, включая правила и процедуры обновления программного обеспечения технических средств, управления и контроля (мониторинга) параметров их настройки;

- описание ролей и состава функций эксплуатирующего персонала и персонала, осуществляющего контроль эксплуатации технических средств;

- инструкции пользователей и эксплуатирующего персонала, в том числе персонала, осуществляющего контроль эксплуатации технических средств;

- описание правил и процедур контроля доступа эксплуатационного персонала к техническим средствам;

- требования к составу и содержанию организационно-распорядительных документов, необходимых для обеспечения эксплуатации технических средств;

- требования к составу и содержанию организационных мероприятий, необходимых для обеспечения эксплуатации технических средств, в том числе мероприятий по назначению ролей эксплуатирующего персонала, обучению, информированию и повышению осведомленности эксплуатирующего персонала и пользователей;

- описание правил и процедур по обеспечению информационной безопасности при выводе из эксплуатации АБС или по окончании обработки информации.

6.5.6. В организации БС РФ рекомендуется реализовать процедуры контроля соответствия фактических настроек технических средств заданным в эксплуатационной документации. Не рекомендуется наличие субъектов доступа, обладающих единоличными и бесконтрольными возможностями по изменению настроек технических средств. Все действия по изменению настроек технических средств рекомендуется протоколировать и осуществлять под контролем работников службы ИБ по предварительно согласованной программе.

Доступ к информации протоколов изменений настроек технических средств осуществляется только эксплуатирующим персоналом (только чтение), администраторами ИБ и (или) работниками службы ИБ.

6.5.7. В организации БС РФ рекомендуется реализовать процедуры контроля доступа к журналам, содержащим информацию о событиях ИБ и инцидентах ИБ, используемым в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа. Управление указанными журналами должно осуществляться уполномоченными работниками службы ИБ.

6.5.8. В организации БС РФ рекомендуется реализовать процедуры обеспечения целостности журналов, содержащих информацию о событиях ИБ и инцидентах ИБ, используемых в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа, на случай возможных сбоев в работе и отказов технических и (или) программных средств.

6.5.9. Полный доступ к данным средств мониторинга ИБ предоставляется только уполномоченным членам ГРИИБ и (или) работникам службы ИБ.

6.5.10. С целью обеспечения ИБ при использовании технических средств рекомендуется реализовать:

- запрет несанкционированного доступа к техническим средствам;

- защиту от несанкционированного отключения технических средств;

- защиту от несанкционированного изменения списка событий ИБ, подлежащих регистрации;

- ведения архива файлов с записями информации мониторинга ИБ и журналов регистрации событий ИБ;

- защиту от несанкционированного редактирования или удаления файлов с записями информации мониторинга ИБ и журналов регистрации событий ИБ.

Периодичность архивирования и резервного копирования рекомендуется устанавливать службе ИБ организации БС РФ по согласованию с подразделением информатизации организации БС РФ.

6.5.11. Обязанности по эксплуатации и контролю эксплуатации технических средств рекомендуется отражать в должностных инструкциях работников организации БС РФ.