Попробовать бесплатно
    Информационная безопасность
    06.08.2025
    7 мин.

    Мониторинг информационной безопасности (ИБ)

    В этом материале мы разберем, что такое мониторинг информационной безопасности, зачем он нужен и что нужно знать перед тем, как внедрять его.

    Понятие мониторинга информационной безопасности

    Информационная безопасность (далее — ИБ) — состояние информационной системы, при котором обеспечены целостность, доступность и конфиденциальность данных.

    ИБ-мониторинг — это постоянный, непрерывный процесс, направленный на поиск, регистрацию ИБ-событий и других данных с целью выявления нарушений, угроз и уязвимостей внутри информационных и автоматизированных систем.

     

    Важно понимать: полностью устранить риски и ИБ-угрозы невозможно. При этом внедрение мониторинговых систем позволяет существенно сократить вероятность ИБ-нарушений.

    В Российской Федерации вопросы ИБ-мониторинга описаны в ГОСТе Р 59547-2021.

    Источники и виды событий в мониторинге ИБ

    Событие безопасности — это любая ситуация, указывающая на нарушение или просто значимая для ИБ-состояния организации. События безопасности фиксируются в информационных системах (далее — ИС), автоматизированных системах управления (АСУ), телекоммуникационных сетях и оборудовании, коммуникационных, прикладных и иных сервисах.

    Согласно ГОСТ Р 59547-2021, возможными источниками данных о событиях могут быть:

    • программно-технические средства;
    • средства защиты данных;
    • среда, в которой функционирует АСУ или ИС;
    • оператор данных и проч.

    ИБ-событием можно назвать запуск или остановку ПО, подключение внешнего носителя, установку или удаление ПО, изменение локальных политик безопасности и иные.

    Некоторые ИБ-события перерастут в инциденты.

    Мониторинг угроз и управление инцидентами

    ИБ-инциденты — это события, которые представляют угрозу для информационной безопасности.

    Угроза — это происшествие, состояние, действие или бездействие, которые могут привести к несанкционированному доступу к информации, ее изменению или уничтожению.

    В Банке данных угроз ФСТЭК есть описание 227 угроз, в их числе подмена программного обеспечения, физическое устаревание аппаратных компонентов, преодоление физической защиты и множество иных. Реализация угрозы приводит к инциденту.

    Можно выделить следующие виды инцидентов:

    • нарушения правил безопасности пользователями;
    • ошибки пользователей, например, передача паролей, случайная отправка конфиденциальной информации не тем адресатам;
    • несанкционированные изменения конфигурации;
    • несанкционированная передача доступов;
    • различные сбои, ошибки в работе программного-технических средств;
    • утеря устройств, носителей.

    Задачи ИБ-мониторинга

    Настройка системы мониторинга начинается с определения информационных активов, которые нуждаются в защите: финансовых данных, персональной информации, клиентской базы и так далее. После классификации данных необходимо провести и оценку возможных угроз — от внешних атак до внутренних инцидентов. Это позволяет задать описание показателей эффективности: времени реакции, количество событий, уровни критичности.

    В норме система ИБ-мониторинга должна решать следующие задачи.

    Задачи мониторинга

    Задача 1: сбор данных об ИБ-событиях внутри информационной системы, первичная обработка

    Сбор данных может быть агентным — через установку специального ПО на конечные устройства — и безагентным — через получение данных по сети. Также данные можно собирать через инструментальные средства и даже опросные листы.

    Задача 2: выявление нарушений и аномалий

    Основной вопрос — какое событие безопасности можно назвать нарушением. Необходимо предварительно сформировать перечень событий, которые несут угрозу ИС организации и ее данным.

    Задача 3: оперативное оповещение уполномоченных

    Оперативное оповещение ИБ-сотрудников позволит быстро реагировать на инциденты, ликвидировать их последствия и восстанавливать работу ИС. Наиболее простой метод — настройка автоматических оповещений через мессенджеры.

    Задача 4: анализ инцидентов

    Данные об инцидентах безопасности необходимо собирать и анализировать для коррекции настроек ИС, устранения уязвимостей и оптимизации ИБ-процессов.

    Задача 5: отчетность

    На основе данных анализа Многие системы формируют отчеты автоматически.

    Задача 6: аудит системы защиты данных

    Аудит систем необходимо проводить один раз в шесть месяцев, чтобы корректировать настройки, обновлять ПО и актуализировать список возможных угроз.

    Система мониторинга: архитектура и компоненты

    Системы мониторинга событий информационной безопасности — это комплекс программных решений, предназначенные для сбора, обработки, анализа и хранения информации о ИБ-событиях. Системы ИБ-мониторинга, как правило, состоят сразу из нескольких инструментов. 

    Выбор таких инструментов зависит от сложности ИС и, конечно, бюджета, который организация готова выделить на покупку и интеграцию программно-технических средств.

    SIEM — ядро событийного мониторинга

    Задача SIEM-систем — непрерывное наблюдение, сбор и анализ событий, выявление закономерностей и аномалий. Внедрение SIEM позволяет:

    • постоянно собирать данные из разных источников, включая серверы, сетевые устройства, базы данных и проч.;
    • выявлять подозрительную активность или сложные взаимосвязи, которые могут указывать на внедрение в ИС;
    • анализировать собранные данные для поиска уязвимостей в ИС.

    IDS и IPS — обнаружение и предотвращение атак

    Системы обнаружения и предотвращения вторжений позволяют оперативно обнаруживать и ликвидировать ИБ-угрозы. IDS-системы выявляют возможные инциденты, а IPS не только выявляют, но и автоматически реагируют.

    EDR и XDR — защита на уровне конечных точек

    EDR и XDR — это средства защиты конечных точек. EDR собирают данные с рабочих станций (компьютеров и ноутбуков) и мобильных устройств, анализируют, выявляют закономерности, указывающие на возможную атаку, и оповещают уполномоченных. EDR-средства, безусловно, полезны, при этом имеют недостатки: их дорого, долго и сложно настраивать, для обслуживания таких систем нужны квалифицированные ИБ-специалисты, которых, как показывает практика, на рынке критически мало.  

    XDR — новейшее решение. XDR могут собирать телеметрию безопасности из различных источников, включая конечные точки, облачные хранилища, сети и электронную почту.

    NDR — обнаружение сетевых аномалий

    NDR — средство, направленное на обнаружение киберугроз и оперативное реагирование: защиту от утечек данных, от направленных атак и атак нулевого дня, выявление теневых ИТ-ресурсов и неконтролируемых точек доступа в сеть, поиск угроз и выявление корреляций между ИБ-событиями.

    NDR часто используются для защиты:

    • специфических или устаревших ОС, на которые невозможно установить агенты;
    • и устройств интернета вещей, АСУ и проч.

    NDR могут интегрироваться с другими системами: NGFW, NAC, SOAR, EDR.

    SOAR и автоматизация реагирования

    Задача SOAR — автоматизация и координация процессов реагирования на ИБ-инциденты. SOAR-системы собирают данные из различных источников, анализируют их, автоматизируют типовые операции и формируют отчеты.

    SOAR агрегируют информацию о киберугрозах из SIEM, антивирусных решений, средств управления уязвимостями и других источников.

    DLP-системы — предотвращение утечек данных по вине внутреннего пользователя

    DLP перехватывают данные с компьютеров, на которых установлены агенты. Перехваченная информация автоматически анализируются на предмет нарушений и подозрительного поведения. Некоторые DLP-системы могут автоматически блокировать нежелательные операции с документами и файлами.

    Средства для предотвращения утечек DLP направлены на сокращение влияния человеческого фактора на информационную безопасность. При этом отчеты, которые формируют DLP, могут решать задачи мониторинга.

    Организация мониторинга в компании

    Система интегрируется в существующую IT-структуру организации и подключается к серверам, программным средствам, сетевым устройствам, базам данных, облачным хранилищам. Каждый элемент ИС предоставляет свои данные: сервера — входы, маршрутизаторы — сбои в трафике, СУБД — несанкционированные запросы.

    Система ИБ-мониторинга должна быть:

    • масштабируемой — для расширения в случае роста компании, создания филиалов, увеличения числа сотрудников;
    • адаптивной — для возможности адаптироваться к новым ИБ-угрозам;
    • многопараметричной — для интеграции в архитектуру управления и обеспечения охвата всех ключевых компонентов IT-структуры;
    • всеобъемлющей — для сбора данных о событиях из всех компонентов системы;
    • доступной — предусматривать получение данных, необходимых для идентификации нарушений, угроз и уязвимостей в соответствии с установленными требованиями;
    • точной — предоставлять достоверные, неискаженные данные в соответствии с установленными требованиями.

    Система ИБ-мониторинга

    Настройка правил, корреляций и уведомлений

    При настройке правил безопасности мониторинга важно учитывать: слишком простые правила дадут огромное число ложных сработок, которые придется обрабатывать вручную. Настраивая слишком сложные правила, наоборот, можно пропустить ИБ-событие, указывающее на инцидент.

    При организации мониторинга в компании важно:

    1. Определить, какое событие является критическим: взлом, внедрение, эксфильтрация конфиденциальных данных.
    2. Настроить фильтры таким образом, чтобы исключить малозначимые события.
    3. Настроить оповещения, чтобы уполномоченные специалисты оперативно получали уведомления о событиях и инцидентах. Так, в некоторых программных средствах поддерживается возможность настройки уведомлений через мессенджеры.
    4. Проводить мероприятия, направленные на повышение осведомленности персонала в вопросах кибербезопасности.

    Тщательно настроив правила, можно автоматизировать рутинные задачи и существенно сократить нагрузку на ИБ-специалистов.

    После настройки правил необходимо провести обучение персонала: научить правильно читать отчеты систем, классифицировать события по степени критичности, разработать планы реагирования на каждый конкретный инцидент. Также немаловажно проинструктировать персонал, как корректировать настройки систем мониторинга при внедрении новых программно-технических средств и других методов защиты, установке обновлений и даже при изменениях в законодательстве.

    Нельзя забывать о предварительном тестировании и оптимизации. В ходе тестирования важно разобраться, насколько быстро и правильно система собирает данные о событиях, насколько точно выявляются угрозы, получают ли ответственные специалисты уведомления. На основе проведенного теста корректируются настройки, оптимизируются процессы, выявляются и устраняются слабые места.

    Заключение

    Как показывает новостная сводка сегодня, один инцидент информационной безопасности может стоить компании денег,  репутации, клиентов — или всего и сразу. Утечка, уничтожение или искажение ценных данных в отдельных ситуациях может привести бизнес к банкротству, владельцев информации — к огромным штрафам и уголовному преследованию.

    Именно поэтому для обеспечения информационной безопасности важно использовать проактивный, а не реактивный подход. 

    Внедрение средств мониторинга позволяет действовать превентивно, выявляя угрозы до того, как они нанесут непоправимый вред интересам организации. 

    Кроме того, согласно приказу ФСТЭК России № 117, с 1 марта 2026 года все организации, связанные с государственным управлением, помимо прочего будут обязаны регистрировать события безопасности.

    При этом, ИБ-мониторинг— это не разовая задача, а непрерывный, постоянный процесс. Системы необходимо обновлять и оптимизировать под постоянно возникающие угрозы, специалистов — обучать, а настройки корректировать.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации