Мониторинг информационной безопасности (ИБ)

В этом материале мы разберем, что такое мониторинг информационной безопасности, зачем он нужен и что нужно знать перед тем, как внедрять его.

Понятие мониторинга информационной безопасности

Информационная безопасность (далее — ИБ) — состояние информационной системы, при котором обеспечены целостность, доступность и конфиденциальность данных.

Важно понимать: полностью устранить риски и ИБ-угрозы невозможно. При этом внедрение мониторинговых систем позволяет существенно сократить вероятность ИБ-нарушений.

В Российской Федерации вопросы ИБ-мониторинга описаны в ГОСТе Р 59547-2021.

Источники и виды событий в мониторинге ИБ

Событие безопасности — это любая ситуация, указывающая на нарушение или просто значимая для ИБ-состояния организации. События безопасности фиксируются в информационных системах (далее — ИС), автоматизированных системах управления (АСУ), телекоммуникационных сетях и оборудовании, коммуникационных, прикладных и иных сервисах.

Согласно ГОСТ Р 59547-2021, возможными источниками данных о событиях могут быть:

• программно-технические средства;
• средства защиты данных;
• среда, в которой функционирует АСУ или ИС;
• оператор данных и проч.

ИБ-событием можно назвать запуск или остановку ПО, подключение внешнего носителя, установку или удаление ПО, изменение локальных политик безопасности и иные.

Некоторые ИБ-события перерастут в инциденты.

Мониторинг угроз и управление инцидентами

ИБ-инциденты — это события, которые представляют угрозу для информационной безопасности.

Угроза — это происшествие, состояние, действие или бездействие, которые могут привести к несанкционированному доступу к информации, ее изменению или уничтожению.

В Банке данных угроз ФСТЭК есть описание 227 угроз, в их числе подмена программного обеспечения, физическое устаревание аппаратных компонентов, преодоление физической защиты и множество иных. Реализация угрозы приводит к инциденту.

Можно выделить следующие виды инцидентов:

• нарушения правил безопасности пользователями;
• ошибки пользователей, например, передача паролей, случайная отправка конфиденциальной информации не тем адресатам;
• несанкционированные изменения конфигурации;
• несанкционированная передача доступов;
• различные сбои, ошибки в работе программного-технических средств;
• утеря устройств, носителей.

Задачи ИБ-мониторинга

Настройка системы мониторинга начинается с определения информационных активов, которые нуждаются в защите: финансовых данных, персональной информации, клиентской базы и так далее. После классификации данных необходимо провести и оценку возможных угроз — от внешних атак до внутренних инцидентов. Это позволяет задать описание показателей эффективности: времени реакции, количество событий, уровни критичности.

В норме система ИБ-мониторинга должна решать следующие задачи.

Задача 1: сбор данных об ИБ-событиях внутри информационной системы, первичная обработка

Сбор данных может быть агентным — через установку специального ПО на конечные устройства — и безагентным — через получение данных по сети. Также данные можно собирать через инструментальные средства и даже опросные листы.

Задача 2: выявление нарушений и аномалий

Основной вопрос — какое событие безопасности можно назвать нарушением. Необходимо предварительно сформировать перечень событий, которые несут угрозу ИС организации и ее данным.

Задача 3: оперативное оповещение уполномоченных

Оперативное оповещение ИБ-сотрудников позволит быстро реагировать на инциденты, ликвидировать их последствия и восстанавливать работу ИС. Наиболее простой метод — настройка автоматических оповещений через мессенджеры.

Задача 4: анализ инцидентов

Данные об инцидентах безопасности необходимо собирать и анализировать для коррекции настроек ИС, устранения уязвимостей и оптимизации ИБ-процессов.

Задача 5: отчетность

На основе данных анализа Многие системы формируют отчеты автоматически.

Задача 6: аудит системы защиты данных

Аудит систем необходимо проводить один раз в шесть месяцев, чтобы корректировать настройки, обновлять ПО и актуализировать список возможных угроз.

Система мониторинга: архитектура и компоненты

Системы мониторинга событий информационной безопасности — это комплекс программных решений, предназначенные для сбора, обработки, анализа и хранения информации о ИБ-событиях. Системы ИБ-мониторинга, как правило, состоят сразу из нескольких инструментов. 

Выбор таких инструментов зависит от сложности ИС и, конечно, бюджета, который организация готова выделить на покупку и интеграцию программно-технических средств.

SIEM — ядро событийного мониторинга

Задача SIEM-систем — непрерывное наблюдение, сбор и анализ событий, выявление закономерностей и аномалий. Внедрение SIEM позволяет:

• постоянно собирать данные из разных источников, включая серверы, сетевые устройства, базы данных и проч.;
• выявлять подозрительную активность или сложные взаимосвязи, которые могут указывать на внедрение в ИС;
• анализировать собранные данные для поиска уязвимостей в ИС.

IDS и IPS — обнаружение и предотвращение атак

Системы обнаружения и предотвращения вторжений позволяют оперативно обнаруживать и ликвидировать ИБ-угрозы. IDS-системы выявляют возможные инциденты, а IPS не только выявляют, но и автоматически реагируют.

EDR и XDR — защита на уровне конечных точек

EDR и XDR — это средства защиты конечных точек. EDR собирают данные с рабочих станций (компьютеров и ноутбуков) и мобильных устройств, анализируют, выявляют закономерности, указывающие на возможную атаку, и оповещают уполномоченных. EDR-средства, безусловно, полезны, при этом имеют недостатки: их дорого, долго и сложно настраивать, для обслуживания таких систем нужны квалифицированные ИБ-специалисты, которых, как показывает практика, на рынке критически мало.  

XDR — новейшее решение. XDR могут собирать телеметрию безопасности из различных источников, включая конечные точки, облачные хранилища, сети и электронную почту.

NDR — обнаружение сетевых аномалий

NDR — средство, направленное на обнаружение киберугроз и оперативное реагирование: защиту от утечек данных, от направленных атак и атак нулевого дня, выявление теневых ИТ-ресурсов и неконтролируемых точек доступа в сеть, поиск угроз и выявление корреляций между ИБ-событиями.

NDR часто используются для защиты:

• специфических или устаревших ОС, на которые невозможно установить агенты;
• и устройств интернета вещей, АСУ и проч.

NDR могут интегрироваться с другими системами: NGFW, NAC, SOAR, EDR.

SOAR и автоматизация реагирования

Задача SOAR — автоматизация и координация процессов реагирования на ИБ-инциденты. SOAR-системы собирают данные из различных источников, анализируют их, автоматизируют типовые операции и формируют отчеты.

SOAR агрегируют информацию о киберугрозах из SIEM, антивирусных решений, средств управления уязвимостями и других источников.

DLP-системы — предотвращение утечек данных по вине внутреннего пользователя

DLP перехватывают данные с компьютеров, на которых установлены агенты. Перехваченная информация автоматически анализируются на предмет нарушений и подозрительного поведения. Некоторые DLP-системы могут автоматически блокировать нежелательные операции с документами и файлами.

Средства для предотвращения утечек DLP направлены на сокращение влияния человеческого фактора на информационную безопасность. При этом отчеты, которые формируют DLP, могут решать задачи мониторинга.

Организация мониторинга в компании

Система интегрируется в существующую IT-структуру организации и подключается к серверам, программным средствам, сетевым устройствам, базам данных, облачным хранилищам. Каждый элемент ИС предоставляет свои данные: сервера — входы, маршрутизаторы — сбои в трафике, СУБД — несанкционированные запросы.

Система ИБ-мониторинга должна быть:

• масштабируемой — для расширения в случае роста компании, создания филиалов, увеличения числа сотрудников;
• адаптивной — для возможности адаптироваться к новым ИБ-угрозам;
• многопараметричной — для интеграции в архитектуру управления и обеспечения охвата всех ключевых компонентов IT-структуры;
• всеобъемлющей — для сбора данных о событиях из всех компонентов системы;
• доступной — предусматривать получение данных, необходимых для идентификации нарушений, угроз и уязвимостей в соответствии с установленными требованиями;
• точной — предоставлять достоверные, неискаженные данные в соответствии с установленными требованиями.

Настройка правил, корреляций и уведомлений

При настройке правил безопасности мониторинга важно учитывать: слишком простые правила дадут огромное число ложных сработок, которые придется обрабатывать вручную. Настраивая слишком сложные правила, наоборот, можно пропустить ИБ-событие, указывающее на инцидент.

При организации мониторинга в компании важно:

1. Определить, какое событие является критическим: взлом, внедрение, эксфильтрация конфиденциальных данных.
2. Настроить фильтры таким образом, чтобы исключить малозначимые события.
3. Настроить оповещения, чтобы уполномоченные специалисты оперативно получали уведомления о событиях и инцидентах. Так, в некоторых программных средствах поддерживается возможность настройки уведомлений через мессенджеры.
4. Проводить мероприятия, направленные на повышение осведомленности персонала в вопросах кибербезопасности.

Тщательно настроив правила, можно автоматизировать рутинные задачи и существенно сократить нагрузку на ИБ-специалистов.

После настройки правил необходимо провести обучение персонала: научить правильно читать отчеты систем, классифицировать события по степени критичности, разработать планы реагирования на каждый конкретный инцидент. Также немаловажно проинструктировать персонал, как корректировать настройки систем мониторинга при внедрении новых программно-технических средств и других методов защиты, установке обновлений и даже при изменениях в законодательстве.

Нельзя забывать о предварительном тестировании и оптимизации. В ходе тестирования важно разобраться, насколько быстро и правильно система собирает данные о событиях, насколько точно выявляются угрозы, получают ли ответственные специалисты уведомления. На основе проведенного теста корректируются настройки, оптимизируются процессы, выявляются и устраняются слабые места.

Заключение

Как показывает новостная сводка сегодня, один инцидент информационной безопасности может стоить компании денег,  репутации, клиентов — или всего и сразу. Утечка, уничтожение или искажение ценных данных в отдельных ситуациях может привести бизнес к банкротству, владельцев информации — к огромным штрафам и уголовному преследованию.

Именно поэтому для обеспечения информационной безопасности важно использовать проактивный, а не реактивный подход. 

Внедрение средств мониторинга позволяет действовать превентивно, выявляя угрозы до того, как они нанесут непоправимый вред интересам организации. 

Кроме того, согласно приказу ФСТЭК России № 117, с 1 марта 2026 года все организации, связанные с государственным управлением, помимо прочего будут обязаны регистрировать события безопасности.

При этом, ИБ-мониторинг— это не разовая задача, а непрерывный, постоянный процесс. Системы необходимо обновлять и оптимизировать под постоянно возникающие угрозы, специалистов — обучать, а настройки корректировать.