5.2 В рамках мероприятий по мониторингу информационной безопасности в информационной (автоматизированной) системе должны быть решены следующие задачи:
в части мероприятий контроля за событиями безопасности и действиями пользователей в информационной (автоматизированной) системе:
- сбор данных о событиях безопасности от различных источников в информационной (автоматизированной) системе;
- нормализация, фильтрация и агрегация данных о событиях безопасности;
- корреляция событий безопасности с целью выявления нарушений безопасности информации;
- сопоставление событий безопасности с потоками данных об угрозах, содержащие индикаторы компрометации;
- контроль, учет и статистический анализ действий пользователей и администраторов информационной (автоматизированной) системы;
- сопоставление результатов регистрации событий безопасности с результатами анализа уязвимостей;
- выявление нарушений безопасности информации в информационной (автоматизированной) системе;
- информирование ответственных лиц о выявленных нарушениях безопасности информации.
в части мероприятий контроля (анализа) защищенности информации, содержащейся в информационной (автоматизированной) системе:
- выявление (поиск) уязвимостей в информационной (автоматизированной) системе;
- разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и рекомендациями по их устранению;
- контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;
- контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация);
- контроль соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); - контроль потоков информации;
- информирование ответственных лиц о результатах поиска уязвимостей, контроля установки обновлений программного обеспечения, контроля состава технических средств, программного обеспечения и средств защиты информации.
в части мероприятий анализа и оценки функционирования системы защиты информации информационной (автоматизированной) системы:
- контроль работоспособности (неотключении) программного обеспечения и средств защиты информации;
- проверка соответствия среды функционирования требованиям, предъявленным в документации на средства защиты информации;
- информирование о неисправностях, сбоях и отказах в функционировании программно-технических средств информационной (автоматизированной) системы.
в части мероприятий периодического анализа изменения угроз безопасности информации в информационной (автоматизированной) системе, возникающих в ходе ее эксплуатации:
- получение данных о новых угрозах безопасности информации, из доступных источников, содержащих сведения об уязвимостях и угрозах безопасности информации;
- оценка актуальности для информационной (автоматизированной) системы новых угроз безопасности информации и определение рекомендаций по принятию мер защиты, направленных на нейтрализацию новых угроз безопасности информации
