Менеджмент (мониторинг) компьютерных инцидентов
отправить заявку
ЦЕНТР МОНИТОРИНГА КОМПЬЮТЕРНЫХ АТАК
Принципы обеспечения безопасности КИИ (в соответствии с 187-ФЗ):
- законность;
- непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры;
- приоритет предотвращения компьютерных атак.
Непрерывность обеспечения безопасности КИИ выполняется силами центров мониторинга событий ИБ
Мониторинг — непрерывный процесс наблюдения и регистрации параметров объекта, в сравнении с заданными критериями.
Создание центров мониторинга в коммерческой или государственной организации – одна из мер поддержания заданного уровня безопасности.
МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ средств и систем информатизации — ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬНОСТИ
(Постановление Правительства от 3 февраля 2012 г. N 79)
Система централизованного мониторинга событий безопасности информационной системы предназначена для ведения комплексного контроля процессов функционирования системного и прикладного программного обеспечения.
Центр мониторинга представляет собой совокупность технических средств (МЭ, сканеров сети, систем обнаружения вторжений, систем управления событиями и инцидентами и тд.), квалифицированных аналитиков (не менее 3-х), помещений, удовлетворяющих требованиям, нормативной документации.
ЗАДАЧИ ЦЕНТРА МОНИТОРИНГА:
- сбор и анализ данных о текущем состоянии информационной безопасности и его изменениях;
- обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы;
- оповещение ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак;
- оперативное реагирование на инциденты ИБ;
- определение причин компьютерных инцидентов;
- сбор информации для расследования компьютерных преступлений;
- предоставление руководству Заказчика аналитики для принятия управленческих решений
для ведомственных центров мониторинга, являющихся частью сегмента ГосСОПКА:
- обеспечение взаимодействия между центрами и обмена информацией о защищаемых ресурсах, сигнатурах, уязвимостях, атаках и инцидентах.
Варианты реализации
РЕШЕНИЕ 1: СОЗДАНИЕ СОБСТВЕННОГО ЦЕНТРА МОНИТОРИНГА
ЭТАПЫ |
Техническое проектирование центра мониторинга |
Закупка технических средств (СЗИ и ПО) |
Монтажные работы |
Установка / настройка ПО и СЗИ |
Аттестация автоматизированной системы по требованиям ФСТЭК |
Подготовка пакета документов для лицензирования |
РЕШЕНИЕ 2: ПОДКЛЮЧЕНИЕ К ЦЕНТРУ МОНИТОРИНГА (с арендой ТС)
ЭТАПЫ |
Аудит информационной безопасности и состояния текущей информационной системы |
Создание, установка и настройка системы защиты |
Анализ инцидентов в текущей системе с выдачей заключения и рекомендаций по реагированию на компьютерные инциденты |
Подключение к системе ГосСОПКА |
РЕШЕНИЕ 3: ПОДКЛЮЧЕНИЕ К ЦЕНТРУ МОНИТОРИНГА (без приобретения ТС)
ЭТАПЫ |
Аудит информационной безопасности и состояния текущей информационной системы |
Анализ инцидентов в текущей системе с выдачей заключения и рекомендаций по реагированию на компьютерные инциденты |
Подключение к системе ГосСОПКА |
РЕШЕНИЕ 4: РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ
Контроль активности сотрудников, отслеживание обращений к критическим файлам, протоколирование действий;
Контроль трафика электронной почты и обращений к сайтам;
Анализ файлов и протоколов, построение профилей активности сотрудников, реагирование на недопустимые действия сотрудников.
РЕШЕНИЕ 5: МЕТОДИЧЕСКАЯ ПОМОЩЬ В ПОЛУЧЕНИИ ЛИЦЕНЗИИ И ВЕДЕНИИ ДЕЯТЕЛЬНОСТИ
В части получения лицензии:
- Подготовка документации для обращения в орган по лицензированию
- Подготовка помещения, персонала к прохождению лицензирования
В части ведения деятельности:
- Вопросы построения и создания центров мониторинга
- Использование и практика применения МЭ и СОВ
- Анализ поступаемых данных
- Выработка решений по результатам анализа
НЕОБХОДИМОЕ УСЛОВИЕ ЭФФЕКТИВНОЙ РАБОТЫ ЦМ
Выявление объектов критической информационной инфраструктуры (далее: КИИ) в соответствии с 127 Постановлением Правительства РФ от 08.02.2018 г.
С этой целью необходимо провести категорирование объектов КИИ, в рамках этого:
- Выдача рекомендаций по определению объектов КИИ
- Разработка методики оценки возможных последствий в случае возникновения компьютерного инцидента на одном из объектов КИИ
- Установление категории значимости указанного объекта
- Выдача рекомендаций по обеспечению безопасности выбранного объекта КИИ.
Контактное лицо по вопросам проведения работ:
Тогунова Ксения Борисовна - Начальник отдела управления проектами
Тел.: +7 (495) 280-78-80, доб. 1436
Моб.: +7 (903) 001-24-64
E-mail: Togunova.kb@nppgamma.ru