Методика экспресс-оценки уровня кибербезопасности организации РезБез

3.1. Процесс
Процедуры мониторинга событий ИБ регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за мониторинг событий (например, владелец/менеджер процесса, дежурная смена мониторинга, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели  (метрики) процесса пересматриваются на регулярной основе.

3.2. Область мониторинга событий ИБ
Определен перечень источников, связанных с недопустимыми событиями / ключевыми рисками КБ, который формирует область покрытия мониторингом и в полной мере описывает объект защиты.
Определен перечень собираемых событий и параметры их регистрации.
Источники событий ИБ подключены к решению класса SIEM, осуществляется регулярный контроль сбора событий ИБ, поступающих с источников (в полном объеме и без ошибок).
Осуществляется анализ сетевого трафика c помощью решения класса NTA, результаты анализа сетевого трафика поступают в SIEM для централизованного мониторинга событий ИБ. 
Область мониторинга пересматривается на регулярной основе и учитывает результаты анализа недопустимых событий / ключевых рисков КБ.

3.3. Обработка и анализ событий ИБ
Обработка событий ИБ осуществляется с помощью автоматизированных наборов правил (use cases), учитывающих специфику ИТ-инфраструктуры и перечень утвержденных недопустимых событий / ключевых рисков КБ.
Наборы правил актуализируются на регулярной основе, а также в случаях существенных изменений ИТ-инфраструктуры, бизнес-процессов и при появлении новых векторов атак.