ГОСТ Р № 59547-2021 от 01.04.2022

6.5.1 Мониторинг информационной безопасности информационной (автоматизированной) системы должен проводиться для всех событий, подлежащих регистрации, с периодичностью, установленной оператором информационной (автоматизированной) системы, и обеспечивающей своевременное выявление признаков нарушений безопасности информации в информационной (автоматизированной) системе. 

6.5.4 Для осуществления мероприятий по мониторингу информационной безопасности должно быть обеспечено наличие штатных обученных категорий персонала (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг информационной безопасности. Выделяют следующие роли для персонала мониторинга информационной безопасности и их функции: 
- руководитель – выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга информационной безопасности; 
- системный администратор – выполняет функции, связанные с обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности, разработкой запросов на представление информации, а также развитием форм представления и визуализации информации; 
- администратор безопасности – выполняет функции, связанные с организацией настройки параметров функционирования программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности; 
- специалист по взаимодействию с персоналом и пользователями – выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации; 
- оператор – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и подготовкой аналитической информации; 
- специалист по оценке защищенности – выполняет функции, связанные с: 
контролем состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация данных); выявлением угроз безопасности информации и уязвимостей информационных (автоматизированных) систем; контролем соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); развитием методов и инструментальных средств сбора данных; 
- аналитик – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и разработкой правил агрегации и корреляции событий безопасности и определением критериев нарушений безопасности. По решению оператора на одно должностное лицо могут быть возложены функции, относящиеся к разным ролям персонала мониторинга информационной безопасности 

6.5.5 Обработка и анализ поступающих данных мониторинга информационной безопасности должны предусматривать не только автоматическую регистрацию различных нарушений безопасности информации по заранее заданным правилам корреляции, но и анализ полученных данных персоналом, осуществляющим мониторинг информационной безопасности, с целью корректировки существующих правил корреляции и параметров настройки данных правил (изменение временных и количественных пороговых значений и (или) добавление (удаление) дополнительных условий с целью повышения эффективности правил или снижения количества ложных срабатываний, подключение дополнительных источников для получения недостающих исходных данных) и разработки новых правил корреляции. 

6.5.6 В рамках мероприятий по мониторингу информационной безопасности может быть принято решение о создании единого координирующего центра мониторинга (ситуационного центра мониторинга информационной безопасности), позволяющего контролировать качество организации, непрерывность и результативность процессов мониторинга информационной безопасности в различных аспектах, в том числе:
- полноту охвата мониторинга (в первую очередь, с точки зрения состава вовлеченных в мониторинг средств - источников событий и исходных данных); 
- состав правил корреляции событий безопасности и критериев нарушений безопасности; 
- контроль работоспособности всех компонент, участвующих в мониторинге информационной безопасности. 

6.5.8 Развитие мероприятий по мониторингу информационной безопасности должно предусматривать постепенный переход от реактивного подхода при выявлении угроз и нарушений безопасности информации, когда ведется поиск ответных мер на выявленную угрозу и (или) нарушение безопасности информации, к проактивному подходу, при котором в процессе мониторинга информационной безопасности выявляются предпосылки для реализации угроз и нарушений безопасности информации с целью реализации предупреждающих и профилактических мер предотвращения угроз и нарушений безопасности информации.