info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Обеспечение безопасности по 117 приказу ФСТЭК и причем тут мониторинг ИБ?

Обеспечение безопасности по 117 приказу ФСТЭК и причем тут мониторинг ИБ?

Ранее в статье мы сравнивали особенности работы центра мониторинга и реагирования на инциденты информационной безопасности для государственных информационных систем (ГИС) и для объектов критической информационной инфраструктуры (КИИ).

Результат сравнения показал, что мониторинг и реагирование на инциденты ИБ для КИИ более формализован в сравнении с ГИС. В законодательстве явно указаны:

  • мероприятия по мониторингу и реагированию на инциденты ИБ для значимых объектов КИИ — 239 приказ ФСТЭК России.

  • требования по отправке уведомлений о компьютерных атаках и инцидентах ИБ в ГосСОПКА как для значимых, так и для незначимых объектов КИИ — 187-ФЗ.

  • сроки отправки уведомлений о компьютерных атаках и инцидентах ИБ в ГосСОПКА как для значимых, так и для незначимых объектов КИИ — 282 приказ ФСБ России.

Что касается ГИС, то в 17 приказе ФСТЭК есть мера «Регистрация событий безопасности» (РСБ), включающая в свой состав мониторинг результатов регистрации событий безопасности и реагирование на них. Но перед этим оператор должен на основе способов реализации угроз определить состав событий, подлежащих регистрации, а также определить периодичность осуществления мониторинга.

В части отправки уведомлений в ГосСОПКА, операторы ГИС могут на добровольной основе направлять информацию о компьютерных атаках и инцидентах ИБ в ГосСОПКА, но это не является обязательным.

Однако недавно был опубликован 117 приказ ФСТЭК России, который вступит в силу с 1 марта 2026 года и заменит собой 17 приказ ФСТЭК России. С общим обзором 117 приказа ФСТЭК можно ознакомиться в наших статьях:

Сегодня рассмотрим, как поменялись требования к мониторингу и реагированию на инциденты ИБ для ГИС.


Требования к мониторингу информационных событий в соответствии с 117 приказом ФСТЭК:

В состав обязательных мероприятий и мер по защите информации ГИС среди прочих входят:

л) обеспечение мониторинга информационных событий;

х) обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Это значит, что после вступления приказа в силу мониторинг и реагирование на инциденты ИБ и взаимодействие с ГосСОПКА для ГИС станут обязательными требованиями.

Что нужно учесть:

  • мониторинг ИБ должен предусматривать сбор данных о событиях безопасности для последующей их обработки и анализа, а также для выявления признаков реализации угроз безопасности информации;

  • мониторинг ИБ должен осуществляться в отношении всех информационных систем за исключением локальных и изолированных ИС. При этом в таких системах должен обеспечиваться контроль журналов регистрации событий безопасности;

  • мониторинг ИБ должен осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021;

  • допускается использовать в процессе мониторинга и анализа событий безопасности доверенные технологии искусственного интеллекта;

  • структурное подразделение, осуществляющее мониторинг событий ИБ, должно в соответствии со сроками, установленными внутренними регламентами, периодически разрабатывать отчет, содержащий типы событий безопасности и связанные с событиями инциденты ИБ, а также рекомендации по их анализу и/или устранению. Отчет должен быть передан ответственному лицу за обеспечение безопасности информации. Ответственное лицо должно направлять последний в году либо итоговый отчет (по результатам мониторинга в течение года) во ФСТЭК России с целью мониторинга текущего состояния технической защиты информации.

 

Рассмотрим эти требования подробнее

Для выполнения требований 117 приказа ФСТЭК России в части мониторинга событий ИБ потребуется:

1. Разработать (либо внести изменения в существующие) внутренние регламенты по защите информации, в которых определена периодичность разработки отчетов по результатам мониторинга событий ИБ, а также регламентированы сроки на их разработку и передачу ответственному лицу, в том числе, для последующей отправки во ФСТЭК России.

Также для изолированных и локальных информационных систем (ИС, не взаимодействующие с другими ИС, либо не имеющие связи с другими узлами ЛВС и пользователями) в регламенте должны быть заданы сроки и периодичность анализа событий безопасности.

2. Сформировать структурное подразделение, которое будет отвечать за реализацию мониторинга событий ИБ, либо наделить такими полномочиями уже существующее подразделение. (Ну или передать эту функцию в сторонний центр мониторинга).

3. При помощи технических средств организовать сбор событий безопасности с информационных ресурсов всех имеющихся в организации информационных систем.

Для изолированных и локальных информационных систем сбор событий подразумевается так же, как и для других ИС, но собранная информация будет храниться либо локально на ресурсах ИС, либо в отдельно развернутом экземпляре технического средства по сбору событий безопасности.

4. Организовать процесс мониторинга и реагирования на инциденты ИБ в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021.

ГОСТ Р 59547-2021 достаточно подробно описывает реализацию процесса мониторинга: перечень собираемой информации, состав вспомогательных работ, процедура реагирования на инцидент ИБ и прочее.

Коротко рассмотрим требования ГОСТ Р 59547-2021:

  • Сбор событий ИБ с различных источников (СЗИ, ОС, ПО, подозрения на инциденты ИБ от пользователей). При анализе события должны быть приведены к общему виду (нормализованы), должны производиться фильтрация событий и агрегация (объединение событий ИБ по определенному признаку).

  • Осуществлять контроль действий пользователей, выявлять нарушения политик ИБ, а также контроль информационных потоков.

  • Результаты мониторинга должны сопоставляться как с результатами инвентаризации, так и с отчетом по результатам анализа уязвимостей.

 

Помимо самого процесса мониторинга ГОСТ подразумевает и дополнительные мероприятия:

  • проведение анализа уязвимостей, а также их устранение;

  • контроль установки обновлений безопасности как на ПО, так и на СЗИ;

  • проведение инвентаризации;

  • обеспечение контроля соответствия настроек ПО и СЗИ требованиям по защите информации.

Мониторинг должен обеспечивать не только контроль событий безопасности, но контроль работоспособности (неотключения) ПО и СЗИ.

Для того, чтобы мониторинг был эффективен, в ГОСТ указаны мероприятия, связанные с обновлением баз данных об угрозах (индикаторы компрометации, уязвимости, угрозы). Также подразумевается исследовательская деятельность, результатом которой будет являться выявление новых угроз на основе анализа событий. Соответственно, в зависимости от выявления новых угроз должны пересматриваться внутренние механизмы мониторинга.

Несмотря на то, что в приказе ФСТЭК № 117 процесс управления уязвимостями выделен отдельным пунктом в), сам процесс, за исключением периодичности и сроков устранения уязвимостей, регламентирован в ГОСТ. Также такие мероприятия как инвентаризация и анализ уязвимостей соответствуют требованиям 239 приказа ФСТЭК.

ГосСОПКА

В случае с ГосСОПКА подробных разъяснений в приказе нет.

Это можно интерпретировать как необходимость всем операторам ГИС взаимодействовать с ГосСОПКА. В случае, если ГИС не является значимым объектом КИИ, время реагирования будет составлять 24 часа с момента обнаружения.


В Приказе ФСТЭК № 117 пересмотрены мероприятия и меры по защите информации с более практической точки зрения, что в текущих реалиях должно значительно повысить уровень защищенности ГИС.

Отвечая на вопрос в названии статьи «Обеспечение безопасности по 117 приказу и причем тут мониторинг ИБ?», можем сказать, что мониторинг стал не просто обязательной мерой защиты информации, а четко регламентированным процессом, где дополнительные меры только повышают эффективность обеспечения безопасности.
29 июля 2025
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация