Журнал "Information Security/ Информационная безопасность" #3, 2020

Перечень источников и процедур, входящих в мониторинг безопасности, достаточно большой. Одна- ко есть возможность агреги- ровать все эти источники и автоматизировать про- цедуры мониторинга инфор- мационной безопасности. В качестве такого решения может выступить система класса Security Governance, Risk, Compliance (SGRC). На основании указанного документа целесообразно раз- работать план по устранению недостатков или усовершен- ствованию информационной безопасности с указанием сро- ков проведения отраженных в нем мероприятий. Следует отметить, что в соот- ветствии с п. 36 Требований к созданию систем безопасно- сти значимых объектов крити- ческой информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. прика- зом ФСТЭК России от 21 декаб- ря 2017 г. № 235) замечания, сделанные по результатам внут- реннего контроля или внешней оценки (внешнего аудита), под- лежат устранению в порядке и сроки, установленные руко- водителем субъекта КИИ (упол- номоченным лицом). Мониторинг безопасности Отдельно хотелось бы оста- новиться на таком виде перио- дического аудита, как монито- ринг безопасности. Он должен осуществляться на регулярной основе и включать в себя: l инвентаризацию информа- ционных ресурсов; l анализ и устранение уязви- мостей; l регистрацию событий без- опасности; l контроль и анализ сетевого трафика; l анализ действий отдельных пользователей и т.п. Объектами мониторинга является большое количество журналов и систем: l журналы операционных систем; l журналы средств защиты информации; l системы мониторинга и отсле- живания статусов разнообраз- ных сервисов компьютерной сети, серверов и сетевого обо- рудования; l системы мониторинга собы- тий информационной безопас- ности; l системы обнаружения и пред- отвращения вторжений; l системы контроля действий работников (предотвращения утечек) и т.п. Таким образом, перечень источников и процедур, входя- щих в мониторинг безопасно- сти, достаточно большой. Одна- ко есть возможность агрегиро- вать все эти источники и авто- матизировать процедуры мони- торинга информационной без- опасности. В качестве такого решения может выступить система класса Security Gover- nance, Risk, Compliance (SGRC) – программный продукт, основное назначение которо- го – управление процессами информационной безопасности компании, автоматизация систе- мы менеджмента информацион- ной безопасности. В функционал указанной системы обязательно входят следующие модули: управление информационными активами; управление соответствием зако- нодательству, стандартам и луч- шим практикам (комплаенс); управление внутренним ауди- том, коннекторы для взаимо- действия с иными решениями, на основе которых можно настроить свидетельства аудита и критерии аудита, а также периодичность генерации отче- тов. l 8 • В ФОКУСЕ Рис. 2. Виды периодического аудита Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 1. Пример таблицы для проведения аудита на соответствие требованиям к подсистеме безопасности ЗОКИИ