Мониторинг событий информационной безопасности

Введение

Мониторинг событий, связанных с информационной безопасностью в информационных системах, является процессом непрерывных наблюдений и анализа итогов регистрации событий, связанных с безопасностью, с целью выявления нарушений, угрозы информационной безопасности и уязвимость в информационных системах.

Мониторинг информационной безопасности в информационной системе предполагает осуществление следующей совокупности действий:

Статья: Мониторинг событий информационной безопасности

Найди решение своей задачи среди 1 000 000 ответов

Найти решение задачи

1. Необходимо проконтролировать события, связанные с безопасностью, и операции, реализуемые пользователями в информационной системе.
2. Осуществление контроля и анализа уровня защищенности информации, которая содержится в информационной системе.
3. Выполнить анализ и оценку работы системы, предназначенной для того, чтобы защитить информацию в информационной системе.
4. Периодическое осуществление анализа перемены угроз безопасности информации в информационной системе, возникающих при ее эксплуатации.

При выполнении мониторинга событий, связанных с информационной безопасностью, могут применяться необходимые автоматизированные средства, то есть, специальное программное обеспечение и техническое оборудование.

Мониторинг событий информационной безопасности

Вначале следует рассмотреть основные термины и определения:

1. Агрегацией является процесс, объединяющий однородные данные о событиях безопасности или другие данные, которые получены по итогам мониторинга информационной безопасности.
2. Автоматизированной информационной системой является совокупность находящейся в базах данных информации, а также информационных технологий и технического оборудования, которые обеспечивают ее обработку.
3. Корреляцией событий безопасности является процесс определения очередности разноплановых событий безопасности, обладающих логической связью, которые способны оказаться значимыми для определения вероятных нарушений безопасности информации.
4. Мерами, призванными обеспечить информационную безопасность, считается набор действий, которые направлены на создание и/или практическое использование методик и средств, обеспечивающих информационную безопасность.
5. Событием информационной безопасности может считаться зафиксированное состояние информационной системы, сетевых, телекоммуникационных, других прикладных устройств или телекоммуникационных сетей, которое указывает на вероятное нарушение информационной безопасности, отказ средств защиты информации, или ситуацию, которая может являться значимой с точки зрения информационной безопасности.
6. Угрозой безопасности информации является набор условий и факторов, которые создают потенциальную или реальную опасность нарушения информационной безопасности.
7. Уязвимостью информационной системы является недостаток (слабость) автоматизированной информационной системы, создающий потенциальные или реальные условия для реализации или проявления угроз безопасности информации.
8. Фильтрацией событий безопасности является выборка данных о событиях информационной безопасности из состава данных, которые передаются для дальнейших мониторинговых действий по информационной безопасности или долговременного сохранения по определенным правилам мониторинга информационной безопасности.

При осуществлении мониторинга информационной безопасности в информационной системе, должна быть обеспечена возможность получать информацию о зарегистрированных событиях безопасности и другие данные от разных источников, например, от средств защиты информации, общесистемных и прикладного программного обеспечения.

В границах операций по мониторингу информационной безопасности в автоматизированной информационной системе необходимо осуществить решение следующих задач в плане мероприятий контроля за событиями безопасности и действиями пользователей в информационной системе:

1. Реализация сбора данных о событиях безопасности от разных источников в автоматизированной информационной системе.
2. Осуществить нормализацию, фильтрацию и агрегацию информационных данных о событиях безопасности.
3. Осуществить корреляцию событий безопасности, для того чтобы выявить нарушения безопасности информации.
4. Сопоставить события безопасности с потоками данных об угрозах, которые содержат индикаторы компрометации.
5. Выполнить операцию контроля, учета и статистического анализа действий пользователей и администраторов автоматизированной информационной системы.
6. Сопоставить результаты регистрации событий безопасности с результатами анализа уязвимостей.
7. Выявить нарушения безопасности информации в автоматизированной информационной системе.
8. Информировать ответственные лица о выявленных нарушениях безопасности информации.

В рамках мероприятий контроля (анализа) защищенности информации, которая содержится в автоматизированной информационной системе необходимо решить следующие задачи:

1. Выявить уязвимости в автоматизированной информационной системе.
2. Разработать по итогам поиска уязвимостей отчеты, содержащие описание выявленных уязвимостей и рекомендации по их ликвидации.
3. Проконтролировать установку обновлений программного обеспечения, и в том числе обновлений программного обеспечения средств информационной защиты.
4. Проконтролировать состав технических средств, программного обеспечения и средств защиты информации, которые применяются в автоматизированной информационной системе.
5. Проконтролировать соответствие настроек программного обеспечения и средств защиты информации заданным требованиям безопасности.