Мониторинг ИБ объектов КИИ
отправить заявку
Система централизованного мониторинга событий безопасности информационной системы предназначена для ведения комплексного контроля процессов функционирования системного и прикладного программного обеспечения.
ЦЕНТР МОНИТОРИНГА КОМПЬЮТЕРНЫХ АТАК
Принципы обеспечения безопасности КИИ (в соответствии с 187-ФЗ):
- законность;
- непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры;
- приоритет предотвращения компьютерных атак.
Непрерывность обеспечения безопасности КИИ выполняется силами центров мониторинга событий ИБ
Мониторинг — непрерывный процесс наблюдения и регистрации параметров объекта, в сравнении с заданными критериями.
Создание центров мониторинга в коммерческой или государственной организации – одна из мер поддержания заданного уровня безопасности.
МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ средств и систем информатизации — ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬНОСТИ
(Постановление Правительства от 3 февраля 2012 г. N 79)
Система централизованного мониторинга событий безопасности информационной системы предназначена для ведения комплексного контроля процессов функционирования системного и прикладного программного обеспечения.
Центр мониторинга представляет собой совокупность технических средств (МЭ, сканеров сети, систем обнаружения вторжений, систем управления событиями и инцидентами и тд.), квалифицированных аналитиков (не менее 3-х), помещений, удовлетворяющих требованиям, нормативной документации.
ЗАДАЧИ ЦЕНТРА МОНИТОРИНГА:
- сбор и анализ данных о текущем состоянии информационной безопасности и его изменениях;
- обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы;
- оповещение ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак;
- оперативное реагирование на инциденты ИБ;
- определение причин компьютерных инцидентов;
- сбор информации для расследования компьютерных преступлений;
- предоставление руководству Заказчика аналитики для принятия управленческих решений
для ведомственных центров мониторинга, являющихся частью сегмента ГосСОПКА:
- обеспечение взаимодействия между центрами и обмена информацией о защищаемых ресурсах, сигнатурах, уязвимостях, атаках и инцидентах.
Варианты реализации
РЕШЕНИЕ 1: СОЗДАНИЕ СОБСТВЕННОГО ЦЕНТРА МОНИТОРИНГА
|
ЭТАПЫ |
|
Техническое проектирование центра мониторинга |
|
Закупка технических средств (СЗИ и ПО) |
|
Монтажные работы |
|
Установка / настройка ПО и СЗИ |
|
Аттестация автоматизированной системы по требованиям ФСТЭК |
|
Подготовка пакета документов для лицензирования |
РЕШЕНИЕ 2: ПОДКЛЮЧЕНИЕ К ЦЕНТРУ МОНИТОРИНГА (с арендой ТС)
|
ЭТАПЫ |
|
Аудит информационной безопасности и состояния текущей информационной системы |
|
Создание, установка и настройка системы защиты |
|
Анализ инцидентов в текущей системе с выдачей заключения и рекомендаций по реагированию на компьютерные инциденты |
|
Подключение к системе ГосСОПКА |
РЕШЕНИЕ 3: ПОДКЛЮЧЕНИЕ К ЦЕНТРУ МОНИТОРИНГА (без приобретения ТС)
|
ЭТАПЫ |
|
Аудит информационной безопасности и состояния текущей информационной системы |
|
Анализ инцидентов в текущей системе с выдачей заключения и рекомендаций по реагированию на компьютерные инциденты |
|
Подключение к системе ГосСОПКА |
РЕШЕНИЕ 4: РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ
Контроль активности сотрудников, отслеживание обращений к критическим файлам, протоколирование действий;
Контроль трафика электронной почты и обращений к сайтам;
Анализ файлов и протоколов, построение профилей активности сотрудников, реагирование на недопустимые действия сотрудников.
РЕШЕНИЕ 5: МЕТОДИЧЕСКАЯ ПОМОЩЬ В ПОЛУЧЕНИИ ЛИЦЕНЗИИ И ВЕДЕНИИ ДЕЯТЕЛЬНОСТИ
В части получения лицензии:
- Подготовка документации для обращения в орган по лицензированию
- Подготовка помещения, персонала к прохождению лицензирования
В части ведения деятельности:
- Вопросы построения и создания центров мониторинга
- Использование и практика применения МЭ и СОВ
- Анализ поступаемых данных
- Выработка решений по результатам анализа
НЕОБХОДИМОЕ УСЛОВИЕ ЭФФЕКТИВНОЙ РАБОТЫ ЦМ
Выявление объектов критической информационной инфраструктуры (далее: КИИ) в соответствии с 127 Постановлением Правительства РФ от 08.02.2018 г.
С этой целью необходимо провести категорирование объектов КИИ, в рамках этого:
- Выдача рекомендаций по определению объектов КИИ
- Разработка методики оценки возможных последствий в случае возникновения компьютерного инцидента на одном из объектов КИИ
- Установление категории значимости указанного объекта
- Выдача рекомендаций по обеспечению безопасности выбранного объекта КИИ.
Отдел сопровождения проектов:
Начальник отдела сопровождения проектов
Сущих Михаил Романович
Тел.: +7 (4212) 381-606, доб. 5225
E-mail: cywux.m@khv.nppgamma.ru
Ведущий специалист
Мартенс Елена Петровна
Тел.: +7 (4212) 381-606, доб. 5226
E-mail: martens.e@khv.nppgamma.ru
Ведущий специалист
Сегренева Наталья Николаевна
Тел.: +7 (4212) 381-606, доб. 5651
E-mail: segreneva.n@khv.nppgamma.ru
Руководитель проекта
Полещук Ангелина Владимировна
Тел.: +7 (4212) 381-606, доб. 5227
E-mail: poleshchuk.a@khv.nppgamma.ru
