Мониторинг событий информационной безопасности

Необходимость обеспечения мониторинга ИБ

Организации по всему миру сталкиваются со стремительным увеличением количества злонамеренных действий в киберпространстве. Хакерские атаки становятся более частыми и значительно сложнее по своей структуре и методам реализации.

В то же время регуляторы в области защиты информации активно совершенствуют нормативно-правовую базу, предъявляя всё более строгие стандарты к системам информационной безопасности (ИБ). Компании должны обеспечивать надлежащую защиту конфиденциальной информации с соблюдением чётких технических требований к организации защитных механизмов.

В этих условиях непрерывный мониторинг событий информационной безопасности превращается в необходимость для любого предприятия.

Организация системы мониторинга информационной безопасности

В работе технологической инфраструктуры, программных сервисов или сетевого оборудования могут быть зафиксированы события информационной безопасности. Они сигнализируют о потенциальном несоблюдении установленных правил, недостаточной эффективности внедрённых защитных решений либо о возникновении ранее неизвестных обстоятельств, которые могут представлять риск для киберустойчивости организации.

Система мониторинга событий информационной безопасности – непрерывный процесс сбора событий информационной безопасности, их анализа и реагирования на них.

Такая система работает круглосуточно, обрабатывая миллионы событий и выделяя среди них критичные, способные стать инцидентом ИБ. Это позволяет своевременно обнаруживать подозрительную активность и предотвращать серьёзные последствия для организаций.

Нормативно-регуляторные основы мониторинга

Правовую основу отслеживания инцидентов безопасности в организациях создают нормативные документы.

Требования нормативных документов

Единые подходы к организации процессов мониторинга устанавливает Национальный стандарт ГОСТ Р 59547-2021 «Мониторинг информационной безопасности».

Приказы ФСТЭК формируют обязательные требования к системе мониторинг:

• от 11.02.2013 №17 (Приказ 17) – при защите государственных информационных систем (ИС);
• от 11.04. 2025 года №117 (вступает в силу 1 марта 2026 года и отменяет Приказ 17) – при защите государственных и других ИС госучреждений. Он устанавливает требования к организации процесса – составу отслеживаемых событий, периодичности анализа, квалификации персонала и порядку реагирования на выявленные инциденты;
• от 21.12.2017 №235 – для защитных мероприятий значимых объектов критической информационной инфраструктуры КИИ);
• от 25.12.2017 №239 – к мониторингу и оперативному реагированию на выявленные инциденты информационной безопасности объектов КИИ.

Согласно Федеральному закону от 27 июля 2006 года №152-ФЗ «О персональных данных» организации обязаны контролировать возможные утечки личных данных.

Внутренняя организационно-распорядительная документация (ОРД)

Является вторым уровнем нормативного регулирования и включает:

Положение о мониторинге событий информационной безопасности

Это базовый внутренний стандарт предприятия. Он определяет стратегию организации системы мониторинга и устанавливает общие принципы её работы.

Политику мониторинга событий ИБ

Определяет требования к процессам, распространяется на все ИС и их компоненты.

Регламент мониторинга информационной безопасности

Служит практическим руководством для специалистов службы ИБ. Описывает операционные процедуры, распределяет роли между участниками, закрепляет зоны ответственности, устанавливает время выполнения различных операций.

Цели, задачи и виды мониторинга ИБ

Цели системы мониторинга событий информационной безопасности:

• Выявление подозрительной активности прежде, чем она перерастёт в полноценную атаку.
• Определение критичных событий из общего потока.
• Логирование и сбор сопутствующей информации для анализа происшествий, проверок и выполнения нормативных стандартов.
• Накопление аналитических данных для корректировки правил безопасности и защитных инструментов.

Основная задача системы мониторинга информационной безопасности заключается в постоянном сборе информации о событиях, которые могут указывать на нарушения защиты данных. Процесс включает накопление сведений о различных событиях безопасности, их обработку, анализ результативности применяемых защитных механизмов и систем обеспечения безопасности.

Процесс может быть организован как постоянное круглосуточное наблюдение в режиме реального времени или в виде периодических плановых проверок. По объектам мониторинга выделяют отслеживание сетевого информационного обмена, контроль конечных устройств и серверов, анализ поведения программного обеспечения и отслеживания активности пользователей системы.

Основные компоненты системы мониторинга ИБ

Все платформы состоят из четырёх основных модулей, которые обеспечивают сбор, накопление, интерпретацию событий безопасности:

• программные агенты – извлекают данные из серверного оборудования, пользовательских ПК, коммуникационной инфраструктуры;
• сервер – осуществляет обработку событий в реальном времени;
• репозиторий – архивирует зафиксированные события для будущих исследований и проверок;
• консоль администратора – интерфейс для настройки параметров слежения и реагирования на происшествия.

Внедрение, настройка и ведение мониторинга в организации

Процесс интеграции систем мониторинга в корпоративную среду включает:

1. Обучение персонала – сотрудники понимают, как работают новые процессы ИБ и какую роль они в них играют.
2. Оценка рисков и определение приоритетов – идентификация наиболее уязвимых и ценных ресурсов компании.
3. Разработка документации, устанавливающей методы обеспечения и способы реализации функций информационной защиты.
4. Развертывание технических средств управления событиями безопасности – конфигурирование механизмов сбора и обработки данных об инцидентах.
5. Настройка правил корреляции событий и порогов срабатывания алертов (оповещений) для минимизации ложных тревог при сохранении высокой чувствительности к реальным угрозам.
6. Обучение сотрудников принципам работы внедрённых средств мониторинга информационной безопасности
7. Оптимизация ответных мер – автоматическое реагирование системы при выявлении рисков.
8. Систематическая проверка и оценка работоспособности контрольных механизмов – постоянный анализ результатов отслеживания.

Специализированные направления мониторинга

Подбор и конфигурация систем мониторинга индивидуален для каждой организации. При выборе решения принимают во внимание: типы рисков и сценарии атак, предполагаемый объём источников данных для обработки, аналитический потенциал платформы при работе с входящей информацией, возможности по графическому представлению и степени детализации формируемых отчётов.

Мониторинг состоявшихся инцидентов информационной безопасности

Исследование событий помогает выявлять слабые места в периметре безопасности и совершенствовать защитные механизмы организации.

Платформы класса SIEM обрабатывают информационные потоки, поступающие от антивирусного ПО, коммутационного оборудования, средств предотвращения утечек данных и системных логов операционных систем непрерывно.

События безопасности собираются в SOC – реального либо удалённого центра мониторинга ИБ, где аналитики проводят их разбор, организуют защитные действия и поддерживают связь с регуляторами.

Мониторинг утечек персональных данных

Контроль за сохранностью персональных данных по 152-ФЗ обеспечивают DLP-системы. Они отслеживают циркуляцию конфиденциальных сведений во внутренней сети компании и за ее периметром, препятствуя неразрешённой передаче. Система проверяет сетевую активность, действия персонала, чтобы гарантировать, что защищаемая информация остаётся в пределах контролируемой инфраструктуры.

Специфика мониторинга КИИ

Контроль безопасности значимых объектов КИИ требует применения инструментов, учитывающих повышенные риски и потенциальные угрозы для национальной безопасности. Обязательные для субъектов КИИ меры выполняются с помощью решений класса SIEM.

Субъекты КИИ обязаны передавать информацию о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Поэтому технические средства ИБ значимых объектов КИИ должны иметь в своем составе модуль, который может передавать информацию в ГосСОПКА

Преимущества обращения в УЦ ПРОФИ

Внедрение и обеспечение мониторинга информационной безопасности – это системный комплекс работ, объединяющий организационные, процедурные и технологические компоненты.

Наша компания обладает всеми необходимыми компетенциями и лицензиями ФСБ и ФСТЭК России, необходимых для внедрения и осуществления полного комплекса результативных мер предупреждения инцидентов ИБ.

Благодаря комплексному подходу УЦ ПРОФИ обеспечивает достижение максимальной эффективности контроля защиты информации организаций. Специалисты нашей компании реализуют грамотное сочетание нормативно-правовой документации, методологии управления и корректно настроенных технических средств для корреляции событий кибербезопасности и предотвращения утечек.