Методика экспресс-оценки уровня кибербезопасности организации РезБез

МАС.4 Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД
3-Н 2-Т 1-Т

МАС.6 Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов
3-Т 2-Т 1-Т

МАС.1 Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации
3-Т 2-Т 1-Т

МАС.5 Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями
3-Т 2-Т 1-Т

МАС.2 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами
3-Н 2-Т 1-Т

МАС.3 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами
3-Н 2-Т 1-Т

РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации
3-О 2-Т 1-Т

ВРВ.2 Организация мониторинга и выявления событий реализации информационных угроз, предусмотренных мерой ВРВ.1 настоящей таблицы, с учетом технического описания сценариев возможных компьютерных атак*.

6.2.16 Мероприятия по мониторингу информационной безопасности должны обеспечивать возможность фильтрации получаемых данных о событиях безопасности по уровню важности для обеспечения оперативной интеграции источников данных о событиях безопасности в процесс мониторинга информационной безопасности и, при необходимости, по другим основаниям в соответствии с определенными правилами мониторинга информационной безопасности. 
П р и м е ч а н и е – фильтрация получаемых данных о событиях безопасности может также осуществляться на уровне хранения, агрегации и обработки данных мониторинга. 

6.3.3 В рамках мероприятий по мониторингу информационной безопасности должны быть реализованы следующие функции: 
- нормализация полученных данных к формату, необходимому для дальнейшей их обработки и хранения; 
- агрегация данных (объединение нормализованных данных по группам на основе общих признаков);
- хранение агрегированных данных в течение срока хранения, определенного требованиями по защите информации, предъявляемыми к информационной (автоматизированной) системе;
- корреляция событий безопасности с целью выявления нарушений безопасности информации (определение и анализ причинно-следственных связей между событиями безопасности с учетом информации, полученной от нескольких источников);
- сопоставление событий безопасности с потоками данных об угрозах, содержащих индикаторы компрометации;
- сопоставление результатов регистрации событий безопасности с результатами анализа уязвимостей;
- выявление нарушений безопасности информации в информационной (автоматизированной) системе при осуществлении контроля за событиями безопасности и действиями пользователей. 

5.1 При осуществлении мониторинга ИБ должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных, необходимых для мониторинга ИБ, от различных источников, таких как средства ЗИ, ПО, программно-технические средства, информационные сервисы, среда функционирования информационных (автоматизированных) систем, работники (сотрудники) оператора информационных (автоматизированных) систем и иные источники данных.