Блог
Блог
Что это такое и зачем используется? Центры мониторинга информационной безопасности
| Слушать на Apple Podcasts
| Слушать на Google Podcasts
| Слушать на Mave
| Слушать на Яндекс Музыке
| Слушать на Castbox
| Слушать на Podcast Addict
| Слушать на Pocket cast
|
Руслан Рахметов, Security Vision
Во исполнение статьи 46 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»
Что такое наблюдение за соблюдением обязательных требований (мониторинг безопасности)
Что такое мониторинг информационной безопасности?
Мониторинг информационной безопасности представляет собой процесс систематического наблюдения, анализа и контроля за состоянием безопасности информационных систем и данных. Он осуществляется с помощью специализированных программных и аппаратных средств, которые позволяют выявлять, предотвращать и реагировать на возможные угрозы, нарушения и аномалии в информационной среде организации.
Об особенностях осуществления государственного контроля (надзора), муниципального контроля в 2023 году см. Постановления Правительства РФ от 10.03.2022 N 336
, от 24.03.2022 N 448
.
1. Под наблюдением за соблюдением обязательных требований (мониторингом безопасности) в целях настоящего Федерального закона понимается сбор, анализ данных об объектах контроля, имеющихся у контрольного (надзорного) органа, в том числе данных, которые поступают в ходе межведомственного информационного взаимодействия, предоставляются контролируемыми лицами в рамках исполнения обязательных требований, а также данных, содержащихся в государственных и муниципальных информационных системах, данных из сети “Интернет”, иных общедоступных данных, а также данных полученных с использованием работающих в автоматическом режиме технических средств фиксации правонарушений, имеющих функции фото- и киносъемки, видеозаписи.
(в ред. Федерального закона
от 11.06.2021 N 170-ФЗ)
(см. текст в предыдущей редакции
)
2. При наблюдении за соблюдением обязательных требований (мониторинге безопасности) на контролируемых лиц не могут возлагаться обязанности, не установленные обязательными требованиями.
3. Если в ходе наблюдения за соблюдением обязательных требований (мониторинга безопасности) выявлены факты причинения вреда (ущерба) или возникновения угрозы причинения вреда (ущерба) охраняемым законом ценностям, сведения о нарушениях обязательных требований, о готовящихся нарушениях обязательных требований или признаках нарушений обязательных требований, контрольным (надзорным) органом могут быть приняты следующие решения:
1) решение о проведении внепланового контрольного (надзорного) мероприятия в соответствии со статьей 60
настоящего Федерального закона;
2) решение об объявлении предостережения;
3) решение о выдаче предписания об устранении выявленных нарушений в порядке, предусмотренном пунктом 1 части 2 статьи 90
настоящего Федерального закона, в случае указания такой возможности в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля;
4) решение, закрепленное в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля в соответствии с частью 3 статьи 90
настоящего Федерального закона, в случае указания такой возможности в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля.
(часть 3 в ред. Федерального закона
от 11.06.2021 N 170-ФЗ)
(см. текст в предыдущей редакции
)
Подготовлены редакции
документа с изменениями, не вступившими в силу
1. Медицинские изделия, находящиеся в обращении на территории Российской Федерации, подлежат мониторингу безопасности в целях выявления и предотвращения неблагоприятных событий. Классификация
неблагоприятных событий утверждается уполномоченным федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере охраны здоровья.
(часть 1 в ред. Федерального закона
от 30.04.2021 N 128-ФЗ)
(см. текст в предыдущей редакции
)
2. Мониторинг безопасности медицинских изделий осуществляется уполномоченным Правительством Российской Федерации федеральным органом
исполнительной власти на всех этапах обращения таких изделий на территории Российской Федерации.
3. Субъекты обращения медицинских изделий, осуществляющие виды деятельности, предусмотренные частью 3 статьи 38
настоящего Федерального закона, обязаны сообщать в установленном уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти порядке
обо всех случаях выявления неблагоприятных событий на всех этапах обращения соответствующего медицинского изделия на территории Российской Федерации и территориях других государств.
(в ред. Федерального закона
от 30.04.2021 N 128-ФЗ)
(см. текст в предыдущей редакции
)
До 01.01.2025 в ДНР, ЛНР, Запорожской и Херсонской областях допускается обращение медицинских изделий, произведенных на данных территориях, без представления сведений согласно ч. 3.1 ст. 96 (ФЗ от 17.02.2023 N 16-ФЗ
).
3.1. Мониторинг безопасности медицинских изделий осуществляется также посредством анализа сведений, которые представляются производителем (изготовителем) медицинского изделия (его уполномоченным представителем) или лицом, осуществляющим ввоз на территорию Российской Федерации медицинских изделий, в уполномоченный федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере охраны здоровья, в установленном им порядке
.
(часть 3.1 введена Федеральным законом
от 30.04.2021 N 128-ФЗ)
4. За несообщение или сокрытие случаев и сведений, предусмотренных частью 3
настоящей статьи, лица, которым они стали известны по роду их профессиональной деятельности, несут ответственность в соответствии с законодательством
Российской Федерации.
5. Порядок
осуществления мониторинга безопасности медицинских изделий, за исключением медицинских изделий, зарегистрированных в соответствии с международными договорами и актами, составляющими право Евразийского экономического союза, устанавливается уполномоченным федеральным органом исполнительной власти.
(в ред. Федерального закона
от 30.04.2021 N 128-ФЗ)
(см. текст в предыдущей редакции
)
6. По результатам осуществления мониторинга безопасности медицинских изделий при получении и подтверждении информации о неблагоприятных событиях уполномоченный Правительством Российской Федерации федеральный орган исполнительной власти рассматривает вопрос о приостановлении применения или об изъятии из обращения такого медицинского изделия и принимает соответствующее решение.
(в ред. Федерального закона
от 30.04.2021 N 128-ФЗ)
(см. текст в предыдущей редакции
)
7. В случае, если информация, указанная в части 6
настоящей статьи, не подтверждается, уполномоченный Правительством Российской Федерации федеральный орган исполнительной власти возобновляет применение и обращение такого медицинского изделия.
8. Уполномоченный Правительством Российской Федерации федеральный орган исполнительной власти по результатам мониторинга размещает в установленном им порядке на своем официальном сайте в сети “Интернет” информацию о принятых решениях.
Одно из двух контрольно-надзорных мероприятий без взаимодействия с контролируемым лицом, которое проводят инспекторы органов контроля и надзора, – это наблюдение за соблюдением обязательных требований (мониторинг безопасности) по ст. 74
Закона № 248-ФЗ. Из этой статьи узнаете, что он включает и как проводится.
Понятие
Согласно ст. 74
Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ», наблюдение за соблюдением обязательных требований (мониторинг безопасности) – это контрольное или надзорное мероприятие без прямого контакта, включающее сбор и анализ данных об объектах контроля, имеющихся у контрольного (надзорного) органа.
Обязательные требования – это содержащихся в нормативных правовых актах требования, которые связаны с осуществлением предпринимательской и иной экономической деятельности и оценка соблюдения которых происходит в рамках госконтроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы ( ч. 1 ст. 1
Федерального закона от 31.07.2020 № 247-ФЗ «Об обязательных требованиях в РФ»).
Например, наблюдение за соблюдением обязательных требований (мониторинг безопасности) встречается в отношении размещения и распространения рекламы, при жилищном контроле-надзоре ( ч. 8 ст. 20 ЖК РФ
).
Кстати, при наблюдении за соблюдением обязательных требований (мониторинге безопасности) инспекторы могут использовать данные, получаемые из космоса с государственных космических аппаратов дистанционного зондирования Земли ( ст. 31
Закона РФ от 20.08.1993 № 5663-1 «О космической деятельности»), в рамках охраны здоровья граждан, контроля и надзора за долевым строительством, в области безопасности дорожного движения и др.
Источники информации для наблюдения
Это в том числе данные:
- поступающие в ходе межведомственного информационного взаимодействия;
- от контролируемых лиц в рамках исполнения обязательных требований;
- из государственных и муниципальных информационных систем;
- из Интернета;
- иные общедоступные данные;
- полученные с использованием работающих в автоматическом режиме технических средств фиксации правонарушений с функциями фото- и киносъемки, видеозаписи.
При наблюдении за соблюдением обязательных требований (мониторинге безопасности) на контролируемых лиц не могут возлагать обязанности, не установленные обязательными требованиями.
Особенности
По общему правилу контрольное (надзорное) мероприятие может быть начато только после внесения сведений об этом в Единый реестр контрольных (надзорных) мероприятий. Но наблюдения за соблюдением обязательных требований это не касается, так как оно носит бесконтактный характер.
Соответственно, невнесение наблюдения в указанный реестр не может быть грубым нарушением порядка проведения контроля, надзора.
Кроме того, для наблюдения за соблюдением обязательных требований не нужно принятие решения о его проведении ( ч. 2 и 3 ст. 64
Закона № 248-ФЗ).
Чем заканчивается мониторинг безопасности
Орган контроля/надзора принимает соответствующее решение, если в ходе наблюдения за соблюдением обязательных требований выявлены:
- факты причинения вреда (ущерба) или его угрозы охраняемым законом ценностям;
- сведения о нарушениях обязательных требований, о таких готовящихся нарушениях или их признаки.
В итоге, возможно принятие одного из следующих решений:
- о проведении внепланового контрольного (надзорного) мероприятия ( ст. 60
Закона № 248-ФЗ); - об объявлении предостережения;
- о выдаче предписания об устранении выявленных нарушений ( п. 1 ч. 2 ст. 90
Закона № 248-ФЗ) – если такую возможность предусматривает федеральный или региональный закон о виде контроля; - иное решение, закрепленное в федеральном или региональном законе о виде контроля.
Также см. «
Как выносят предостережение по Закону № 248-ФЗ и как на него реагировать
».
Что такое наблюдение за соблюдением обязательных требований (мониторинг безопасности)
Во исполнение статьи 46 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»
Что такое наблюдение за соблюдением обязательных требований (мониторинг безопасности)
2. Источники информации для наблюдения
4. Чем заканчивается мониторинг безопасности
Одно из двух контрольно-надзорных мероприятий без взаимодействия с контролируемым лицом, которое проводят инспекторы органов контроля и надзора, – это наблюдение за соблюдением обязательных требований (мониторинг безопасности) по
Закона № 248-ФЗ. Из этой статьи узнаете, что он включает и как проводится.
Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ», наблюдение за соблюдением обязательных требований (мониторинг безопасности) – это контрольное или надзорное мероприятие без прямого контакта, включающее сбор и анализ данных об объектах контроля, имеющихся у контрольного (надзорного) органа.
Обязательные требования – это содержащихся в нормативных правовых актах требования, которые связаны с осуществлением предпринимательской и иной экономической деятельности и оценка соблюдения которых происходит в рамках госконтроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы (
ч. 1 ст. 1
Федерального закона от 31.07.2020 № 247-ФЗ «Об обязательных требованиях в РФ»).
Например, наблюдение за соблюдением обязательных требований (мониторинг безопасности) встречается в отношении размещения и распространения рекламы, при жилищном контроле-надзоре (
ч. 8 ст. 20 ЖК РФ
Кстати, при наблюдении за соблюдением обязательных требований (мониторинге безопасности) инспекторы могут использовать данные, получаемые из космоса с государственных космических аппаратов дистанционного зондирования Земли (
Закона РФ от 20.08.1993 № 5663-1 «О космической деятельности»), в рамках охраны здоровья граждан, контроля и надзора за долевым строительством, в области безопасности дорожного движения и др.
ИСТОЧНИКИ ИНФОРМАЦИИ ДЛЯ НАБЛЮДЕНИЯ
Это в том числе данные:
поступающие в ходе межведомственного информационного взаимодействия;
от контролируемых лиц в рамках исполнения обязательных требований;
из государственных и муниципальных информационных систем;
иные общедоступные данные;
полученные с использованием работающих в автоматическом режиме технических средств фиксации правонарушений с функциями фото- и киносъемки, видеозаписи.
При наблюдении за соблюдением обязательных требований (мониторинге безопасности) на контролируемых лиц не могут возлагать обязанности, не установленные обязательными требованиями.
По общему правилу контрольное (надзорное) мероприятие может быть начато только после внесения сведений об этом в Единый реестр контрольных (надзорных) мероприятий. Но наблюдения за соблюдением обязательных требований это не касается, так как оно носит бесконтактный характер.
Соответственно, невнесение наблюдения в указанный реестр не может быть грубым нарушением порядка проведения контроля, надзора.
Кроме того, для наблюдения за соблюдением обязательных требований не нужно принятие решения о его проведении (
ч. 2 и 3 ст. 64
Закона № 248-ФЗ).
ЧЕМ ЗАКАНЧИВАЕТСЯ МОНИТОРИНГ БЕЗОПАСНОСТИ
Орган контроля/надзора принимает соответствующее решение, если в ходе наблюдения за соблюдением обязательных требований выявлены:
факты причинения вреда (ущерба) или его угрозы охраняемым законом ценностям;
сведения о нарушениях обязательных требований, о таких готовящихся нарушениях или их признаки.
В итоге, возможно принятие одного из следующих решений:
о проведении внепланового контрольного (надзорного) мероприятия (
Закона № 248-ФЗ);
об объявлении предостережения;
о выдаче предписания об устранении выявленных нарушений (
п. 1 ч. 2 ст. 90
Закона № 248-ФЗ) – если такую возможность предусматривает федеральный или региональный закон о виде контроля;
иное решение, закрепленное в федеральном или региональном законе о виде контроля.
Об особенностях осуществления государственного контроля (надзора), муниципального контроля в 2023 году см. Постановления Правительства РФ от 10.03.2022 N 336
, от 24.03.2022 N 448
.
1. Под мониторингом в целях настоящего Федерального закона понимается режим дистанционного государственного контроля (надзора), заключающийся в целенаправленном, постоянном (систематическом, регулярном, непрерывном), опосредованном получении и анализе информации о деятельности граждан и организаций, об объектах контроля с использованием систем (методов) дистанционного контроля, в том числе с применением специальных технических средств, имеющих функции фотосъемки, аудио- и видеозаписи, измерения, должностными лицами контрольного (надзорного) органа в целях предотвращения причинения вреда (ущерба) охраняемым законом ценностям.
2. Мониторинг основан на добровольном участии контролируемых лиц и осуществляется в случаях, установленных положением о виде контроля, по заявлению контролируемого лица на условиях соглашения между контролируемым лицом и контрольным (надзорным) органом.
3. Требования, которым должно соответствовать контролируемое лицо для осуществления мониторинга, устанавливаются положением о виде контроля.
4. Порядок организации и осуществления мониторинга устанавливается положением о виде контроля, соглашением между контрольным (надзорным) органом и контролируемым лицом.
5. Положение о виде контроля регулирует порядок подключения контролируемого лица (объекта) к автоматизированным информационным системам сбора и обработки данных, работающим в автоматическом режиме, специальным техническим средствам, имеющим функции фотосъемки, аудио- и видеозаписи, измерения, иным средствам сбора или фиксации информации, порядок доступа к указанным информационным системам и иным средствам сбора или фиксации информации, порядок обмена документами и иной информацией, а также характеристики автоматизированных информационных систем сбора и обработки данных, средств сбора или фиксации информации, места их установки, их количество, требования к необходимому программному обеспечению и при необходимости иные условия.
6. Форма соглашения о мониторинге утверждается контрольным (надзорным) органом и не может предусматривать преимущества для отдельных контролируемых лиц или оказание предпочтения отдельным контролируемым лицам.
7. Техническое оснащение и сопровождение мониторинга на объектах контролируемого лица производятся за счет контролируемого лица, если иное не установлено положением о виде контроля или соглашением о мониторинге.
8. Мониторинг осуществляется на основании решения контрольного (надзорного) органа, выпускаемого по результатам проведения оценки соответствия контролируемого лица требованиям, предъявляемым к нему для осуществления мониторинга, технической готовности контролируемого лица и контрольного (надзорного) органа к информационному взаимодействию в рамках мониторинга и заключения соглашения о мониторинге.
9. Соглашением о мониторинге между контролируемым лицом и контрольным (надзорным) органом может предусматриваться срок осуществления мониторинга, который не может быть менее одного года.
10. Уполномоченное должностное лицо контрольного (надзорного) органа принимает решение о прекращении осуществления мониторинга в одном из следующих случаев:
1) выявление несоответствия контролируемого лица требованиям, предъявляемым к нему для осуществления мониторинга, в том числе к технической оснащенности и сопровождению мониторинга;
2) неисполнение контролируемым лицом положений соглашения о мониторинге между контролируемым лицом и контрольным (надзорным) органом;
3) подача контролируемым лицом заявления о прекращении осуществления мониторинга;
4) иные случаи, установленные положением о виде контроля.
11. Контрольный (надзорный) орган уведомляет контролируемое лицо о прекращении мониторинга в течение десяти дней со дня принятия решения о прекращении осуществления мониторинга.
12. Федеральным законом о виде контроля может быть предусмотрено осуществление обязательного мониторинга в отношении контролируемых лиц, соответствующих критериям, установленным федеральным законом о виде контроля.
13. Порядок организации и осуществления обязательного мониторинга устанавливается положением о виде контроля.
14. Техническое оснащение и сопровождение обязательного мониторинга производятся за счет средств соответствующего бюджета бюджетной системы Российской Федерации, если иное не установлено федеральным законом о виде контроля.
15. Обязательный мониторинг осуществляется без ограничения срока его проведения.
16. Контролируемые лица, в отношении которых осуществляется обязательный мониторинг, освобождаются от плановых контрольных (надзорных) мероприятий в отношении соблюдения обязательных требований, являющихся предметом такого мониторинга.
17. В случае получения в ходе мониторинга, в том числе обязательного мониторинга, сведений о фактах нарушения обязательных требований контрольный (надзорный) орган принимает решения в соответствии с частью 2 статьи 90
настоящего Федерального закона.
Что включает в себя мониторинг информационной безопасности?
Мониторинг информационной безопасности представляет собой комплексный процесс, который включает в себя несколько ключевых шагов и механизмов:
1. Сбор данных и логов:
Мониторинг начинается с сбора данных и логов из различных информационных систем, включая серверы, сетевые устройства, базы данных и приложения. Эти данные представляют собой основу для анализа безопасности.
2. Анализ данных:
Собранные данные проходят через процесс анализа, где используются различные методы и алгоритмы для выявления потенциальных угроз и аномалий.
3. Обнаружение инцидентов:
На этом этапе мониторинг выявляет различные атаки, вторжения или другие инциденты безопасности, позволяя оперативно реагировать на них.
4. Реагирование и реагирование на инциденты:
Команда по обеспечению безопасности информационных технологий должна иметь план реагирования на различные сценарии инцидентов. Мониторинг помогает в оперативном реагировании и минимизации ущерба от атак.
5. Отчетность и анализ производительности:
Мониторинг информационной безопасности также включает создание отчетов о безопасности и анализ эффективности применяемых мер.
<!—->
<!—->
<!–
–>
×
To install this Web App in your iPhone/iPad press and then Add to Home Screen.
<!–
–>
<!–
document.getElementById(‘prod’).setAttribute(‘disabled’, ‘enabled’);
// функция возвращает cookie с именем name, если есть, если нет, то undefined
function getCookie(name) {
let matches = document.cookie.match(new RegExp(
“(?:^|; )” + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, ‘\\$1’) + “=([^;]*)”
));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
let cookiecook = getCookie(“cookiecook”),
cookiewin = document.getElementsByClassName(‘cookie_notice’)[0];
// проверяем, есть ли у нас cookie, с которой мы не показываем окно и если нет, запускаем показ
console.log(“!”+cookiecook);
if (cookiecook != “no”) {
// показываем
cookiewin.style.display=”block”;
// закрываем по клику
document.getElementById(“cookie_close”).addEventListener(“click”, function(){
cookiewin.style.display=”none”;
// записываем cookie на 1 день, с которой мы не показываем окно
let date = new Date;
date.setDate(date.getDate() + 1);
document.cookie = “cookiecook=no; path=/; expires=” + date.toUTCString();
});
}
–>
Зачем нужен мониторинг информационной безопасности?
Представьте, что информационная среда вашей компании подобна замку, защищающему хранящиеся в нем сокровища. Мониторинг информационной безопасности – это постоянные обходы стражей, которые проверяют, нет ли слабых мест в стенах замка, стремятся заранее предотвратить возможные атаки и быстро реагируют на любые подозрительные действия.
Основная цель мониторинга информационной безопасности – обнаружение инцидентов, связанных с безопасностью, в реальном времени или приближенном к нему, чтобы минимизировать вред и последствия для компании. Это помогает предотвратить утечку конфиденциальных данных, кражу интеллектуальной собственности, а также предоставляет возможность улучшения общей безопасности информационной инфраструктуры.
Оглавление
Друзья, в предыдущей статье ( https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/
) мы обсудили основные понятия информационной безопасности и дали определение некоторым терминам. Разумеется, сфера защиты информации не ограничивается описанными определениями, и по мере появления новых статей мы будем всё больше погружаться в данную область и объяснять специфические термины.
Сейчас же давайте представим, как выглядит практическая работа тех, кто профессионально занимается информационной безопасностью, т.е. специалистов по защите информации. Мы часто слышим, что многие значимые расследования хакерских атак ведутся в Ситуационных центрах информационной безопасности, или Центрах SOC (от англ. Security Operations Center
). Что такое SOC? Кто там работает и что делает? Какие обязанности выполняют сотрудники SOC, с какими системами и средствами они работают? Правда ли, что без знаний языков программирования не удастся достичь высот в работе в составе команды SOC-Центра, а навыки администрирования информационных систем нужны специалисту по защите информации как воздух? Поговорим об этом ниже.
Итак, давайте для начала ответим на вопрос: SOC – что это? SOC – это аббревиатура Security Operations Center, что в буквальном переводе с английского означает «Центр операций по безопасности», однако такой дословный перевод не раскрывает смысл данного термина, поэтому в русскоязычной литературе SOC часто переводится как Ситуационный центр информационной безопасности, что яснее отражает специфику работы. В англоязычной литературе также встречается термин CSOC – CyberSecurity Operations Center, а в русскоязычной литературе встречаются такие термины, как SOC – Центр мониторинга кибербезопасности или SOC – Центр обеспечения компьютерной безопасности. Кроме того, термин SOC отечественные специалисты по информационной безопасности также используют в качестве акронима, произнося его как «СОК». В любом случае, это означает одно и то же: SOC – это структурное подразделение, осуществляющее мониторинг работы систем защиты информации и реагирующее на инциденты информационной безопасности. Таким образом, SOC – это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.
Приведем пример: если у вас на домашнем компьютере установлен антивирус, то чем скорее вы увидите предупреждающее сообщение от него, тем выше шанс избежать заражения компьютерным вирусом: антивирус может быть настроен так, что лишь уведомит вас о возможной атаке, а сам вирус может продолжать «жить» в системе, пока вы не дадите команду антивирусу на его удаление. Или другой пример: все мы знаем, что далеко не все угрозы современного интернета обнаруживаются антивирусными средствами и файерволлами: печально известные вирусы WannaCry и NotPetya «не ловились» защитными средствами, поэтому они смогли поразить большое количество компьютеров и серверов. Почему такое происходит? Дело в том, что самые опасные вирусы используют уязвимости штатного функционала операционных систем и программ, что приводит к тому, что антивирус «считает», что происходящее на компьютере после заражения – это нормальное поведение системы, вызванное легитимными действиями пользователя. И как раз в такие моменты сотрудникам Центров SOC очень важно быстро заметить, что в системе происходят аномальные события: слишком большое количество измененных файлов за малый промежуток времени (это признак работы вируса-шифровальщика, который потребует выкуп за восстановление доступа к зашифрованным им файлам), нетипичный интернет-трафик к разным ресурсам (это признак заражения компьютера программой-ботом, которая может осуществлять DDoS-атаки на интернет-сайты от вашего имени), слишком большое потребление системных ресурсов интернет-браузером (это может означать, что вы зашли на сайт, зараженный вирусом-майнером, который за ваш счет добывает криптовалюту) и т.д.
Итак, Центр SOC – это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди – эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способные понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности), IRP
(Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC
(Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству). Об этих системах мы подробно поговорим в следующих публикациях.
Пока же нам следует уяснить, из каких специалистов должен состоять Центр SOC? Какие компетенции важны для успешной и плодотворной работы в Ситуационных центрах информационной безопасности? Для начала мы подробнее расскажем, какие именно задачи решаются в SOC-Центрах, поговорим о классификации SOC и о моделях работы и предоставления сервисных услуг заказчикам Ситуационных центров информационной безопасности.
Основная задача SOC-Центра – это обеспечение реагирования на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.
SOC-Центры могут быть внутренними и внешними (их еще называют коммерческими или аутсорсинговыми). Внутренний SOC как правило создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности. При этом, как правило, имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC – это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.
На практике подключение и использование услуг SOC-Центра выглядит следующим образом:
1. Заказчик услуг SOC-Центра, который видит необходимость в аутсорсинге оперативного реагирования на свои инциденты ИБ, обращается к менеджерам SOC с запросом о подключении к сервисам SOC.
2. Менеджеры Центра SOC согласовывают детали подключения информационных и защитных систем заказчика к инфраструктуре SOC-Центра для того, чтобы оперативно обрабатывать поступающие данные без выезда на площадку Заказчика.
3. Инженеры внешнего SOC-Центра подключают источники информации и событий ИБ компании-заказчика в свою внутреннюю систему управления инцидентами – эту роль выполняет, как правило, SOAR или SIEM-система. При этом следует обеспечить надежный и защищенный канал связи между компанией-заказчиком и внешним SOC-Центром для обеспечения оперативного обмена информацией.
4. На площадке Заказчика информационные системы и имеющиеся средства технической защиты настраиваются на пересылку всей значимой с точки зрения ИБ информации во внешний SOC.
5. Во внешнем SOC-Центре входящие данные непрерывно обрабатываются сотрудниками SOC (дежурной сменой), которая состоит, как правило, из следующих специалистов:
Системный администратор или инженер – тот, кто настраивает внутренние системы SOC-Центра, которые используются в обработке инцидентов заказчиков (это системы SIEM, SOAR, IRP и аналогичные), а также отвечает за стабильность получения данных из систем компании-заказчика. Такому специалисту просто необходимо быть «на ты» с различными типами операционных систем, прикладным ПО, разнообразными системами киберзащиты. В случае, если в коммерческом SOC-Центре используется какое-то самостоятельно созданное программное обеспечение, то на системного администратора SOC могут быть возложены еще и функции непрерывной интеграции и настройки такого ПО для обеспечения бесперебойности бизнес-процесса кибербезопасности, связанного с ним (это еще называют DevOps от англ. Development & Operations).
Специалист по настройке правил в системах SIEM, SOAR, IRP получает от Заказчика вводные данные о работе информационных систем и затем составляет правила выявления инцидентов и реагирования на них в используемых в SOC-Центре системах. Это могут быть правила корреляции в системах SIEM, которые отвечают за обработку входящих сообщений от систем безопасности заказчика и за выстраивание этих разнородных событий в логически целостную «историю» для поиска возможной атаки. Также настраиваются правила автоматического реагирования, локализации, восстановления информационных систем при помощи SOAR и IRP решений. В случае, если для защиты Заказчиков используются сигнатурные методы обнаружения угроз, например, антивирусы или системы обнаружения/предотвращения компьютерных вторжений, то данный специалист создает для них сигнатуры, т.е. описывает правила, по которым угроза должна быть обнаружена.
Аналитик 1-го уровня (встречаются также термины L 1 Analyst или Tier 1 Analyst) осуществляет первичную обработку киберинцидентов – так называемый «триаж» или распределение и первичный отсев явных ложных срабатываний систем (такие события и инциденты называются ложноположительными, в английской литературе употребляется термин False Positive). Специалисты 1-го уровня в работе опираются, как правило, на заранее созданные в SOC-Центре сценарии реагирования (англ. Playbooks), в которых указана последовательность шагов, которые надо оперативно предпринять при поступлении того или иного типа инцидента. В случае, если аналитик 1-го уровня может самостоятельно выполнить все действия, он осуществляет реагирование своими силами. Если он столкнулся с необходимостью эскалации инцидента, то он передает его на следующий уровень – аналитику 2-го уровня.
Аналитик 2-го уровня (L2 Analyst или Tier 2 Analyst) получает данные с 1-го уровня реагирования. Ему уже нужно не опираться на какие-то шаблоны реагирования, а анализировать уникальную ситуацию, применяя свою экспертизу и опыт расследования атак, сопоставляя различные события и факты, имеющие отношение к киберинциденту. В случае, если в расследуемой кибератаке применялось ранее неизвестное вредоносное ПО или вообще непонятно, что произошло, аналитик 2-го уровня эскалирует инцидент еще выше – специалисту по реверс-инжинирингу, форензик-эксперту или в специализированные компьютерные лаборатории.
Специалист по реверс-инжинирингу – эксперт высшей категории, как правило, профессиональный программист, решивший посвятить себя изучению образцов вредоносного программного кода для противодействия осуществляемым с их помощью кибератакам. Задача реверс-инженера состоит в том, чтобы понять, что делает и как устроен вирус: запустить вирус в изолированной среде (т.н. песочнице) для анализа его поведения, провести процедуру обратной разработки и получить из файла-образца первоначальный программный код, чтобы уже в нем найти особенности, которые помогут понять, что именно делает данный вирус и как ему лучше противостоять. При этом хакеры знают, что их вирус рано или поздно попадет к такому эксперту на исследование, и поэтому применяют техники запутывания (обфусцирования) кода, чтобы усложнить задачу реверс-инжиниринга.
Форензик-эксперт – это специалист по форензике (англ. forensics), т.е. компьютерной криминалистике. Эти специалисты могут понять, что изменилось в атакованной системе (компьютере, сервере, смартфоне), какие данные были стерты, изменены или похищены вирусом, какие еще системы в компании-заказчике были атакованы. Они даже способны воссоздать полный путь распространения угрозы, например, вируса: определить, на каком компьютере был этот вирус впервые запущен (чаще вирусы отправляют по email невнимательным сотрудникам), что именно он делал на зараженной системе (как правило, сначала вредонос «осматривается», пытаясь понять, куда попал, затем докачивает с сервера злоумышленников дополнительные компоненты, повышает свои права на атакованном ПК и начинает распространяться по сети компании), как затем развивалась атака и как был в итоге нанесен ущерб (чаще всего похищаются либо важная коммерческая информация, либо денежные средства со счетов фирмы).
Специалист по киберразведке (англ. CyberThreat Intelligence) отвечает за поиск ранее не обнаруженных или затаившихся вредоносных программ в системах Заказчиков (например, вирусов-логических бомб, которые срабатывают только при наступлении определенных условий, а до этого никак себя не проявляют). Также такой эксперт ищет в интернете, на специализированных закрытых хакерских форумах информацию о новых вирусах, новых киберпреступных группировках, пытается понять, не планируют ли злоумышленники массированную атаку на компанию-заказчика, нет ли «заказа» на кражу коммерческой информации защищаемой фирмы.
Менеджер SOC – это тот человек, который «переводит» техническую информацию об инциденте с языка ИТ и ИБ-специалистов на язык бизнеса, чтобы руководители компаний-заказчиков могли понять, насколько серьезным был ущерб или какую именно угрозу удалось предотвратить. S OC-менеджер также координируют работу всей команды SOC-Центра, связывает друг с другом заказчиков и исполнителей, выполняет организационную работу.
<!—->
<!—->
<!–
–>
×
To install this Web App in your iPhone/iPad press and then Add to Home Screen.
<!–
–>
<!–
document.getElementById(‘prod’).setAttribute(‘disabled’, ‘enabled’);
// функция возвращает cookie с именем name, если есть, если нет, то undefined
function getCookie(name) {
let matches = document.cookie.match(new RegExp(
“(?:^|; )” + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, ‘\\$1’) + “=([^;]*)”
));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
let cookiecook = getCookie(“cookiecook”),
cookiewin = document.getElementsByClassName(‘cookie_notice’)[0];
// проверяем, есть ли у нас cookie, с которой мы не показываем окно и если нет, запускаем показ
console.log(“!”+cookiecook);
if (cookiecook != “no”) {
// показываем
cookiewin.style.display=”block”;
// закрываем по клику
document.getElementById(“cookie_close”).addEventListener(“click”, function(){
cookiewin.style.display=”none”;
// записываем cookie на 1 день, с которой мы не показываем окно
let date = new Date;
date.setDate(date.getDate() + 1);
document.cookie = “cookiecook=no; path=/; expires=” + date.toUTCString();
});
}
–>
Зачем нужен мониторинг пользователей и как он работает
Руслан Рахметов, Security Vision
Когда дело доходит до повышения собственной эффективности, часто советуют использовать записи в ежедневнике, календарь и оценивать свои действия в целом. Использование такого мониторинга может быть вызвано не только необходимостью применить KPI, но и с целью повышения качества, предупреждения выгорания, составления плана обучения или даже организации цепочки коммуникаций для ускорения различных процессов.
· Планёрки и совещания призваны синхронизировать статусы и установить этапы текущих процессов.
· Табели УРВ описывают «учёт рабочего времени» и классифицируют рабочие часы по задачам.
Когда речь заходит про мониторинг действий сотрудников в компании, методика остаётся похожей, только обогащается дополнительными корпоративными средствами автоматизации, когда постоянные совещания и ручной анализ рабочего времени заменяются на сбор статистики без участия человека.
Организационно
мониторинг может проводиться как фотография рабочего дня сотрудника, когда его осуществляет менеджер, отслеживающий все процессы.
Технические средства
бывают разные: одни из них обеспечивают мониторинг вне зависимости от рабочих обязанностей, другие более «заточены» под конкретные учётные записи; оба класса решений объединены общими целями, но различаются в деталях:
· Для пользователей с повышенными привилегиями и возможностями (Privileged) существуют также PAM, PUM или PIM системы, которые имеют в своём арсенале функции, более удобные для контроля системных администраторов, внешних подрядчиков и других пользователей с широким набором прав.;
· СКУД-системы обеспечивают «контроль и управление доступом», который чаще всего основывается на применении специальных смарт-кард и пропусков. Такие системы позволяют мониторить, например, время прохода через турникеты или печать на общих принтерах, эффективно дополняя общую картину.
Целью этой статьи мы поставили обзор методик именно мониторинга (без управления и контроля), поэтому в основном речь будет идти об общем функционале сразу нескольких классов продуктов, а тонкости и детали контроля будут рассмотрены отдельно. Оговоримся, что мы в Security Vision не являемся сторонниками использования продуктов данного класса и исходим из того, что специалисты нашей компании обладают навыками самоорганизации и не нуждаются в тотальном контроле. Тем не менее, средства мониторинга действий сотрудников занимают свою нишу на ИТ рынке, представляют интерес для специалистов и заслуживают рассмотрения с научной точки зрения.
Начнём с технической стороны и архитектуры, которая для максимальной эффективности обычно состоит из двух ключевых элементов:
· Часть ПО работает централизованно (СЕРВЕР), что позволяет собирать в общую статистику данные из всех подключённых источников.
· Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль всех каналов, которые невозможно увидеть с центрального узла. Например, анализ текста, вводимого с клавиатуры, активности в установленных программах и того, что происходит между рабочей станцией и периферийными устройствами.
Рис. 1. Архитектура систем мониторинга
Технически это очень похоже на архитектуру DLP-систем
, которые мы рассматривали ранее. Существующие на рынке решения так или иначе пытаются совместить функционал и стать универсальными для обеих задач, поэтому они очень похожи по компонентам. Однако системы мониторинга – обычно более простые, без вмешательства в сам трафик, без блокировок и дополнительных функций контроля.
UAM система позволяет решать много задач, связанных с безопасностью и оптимизацией процессов:
· Мониторинг запускаемых программ и учёт проведённого в них времени позволяют запустить процессы управления закупками ПО. Можно не только наглядно увидеть количество сотрудников, использующих закупленное ПО, но и отследить тех сотрудников, которым можно организовать дополнительное обучение, если из статистики видно, что для выполнения задач сотрудник тратит слишком много времени (и может стесняться просить помощи). С целью оптимизации в дальнейшем можно запустить процессы жизненных циклов и обновлений через программы для управления активами и инвентаризацией.
· Мониторинг текста, вводимого с клавиатуры, позволяет повысить общую безопасность. У каждого человека есть свой неповторимый клавиатурный почерк и некоторые системы способны его анализировать (например, Стахановец
). Так, при увеличении количества опечаток, изменении скорости ввода текста или использование каких-либо сочетаний UAM-система способна понять, что за компьютером одного пользователя работает кто-то другой. С целью повышения защиты можно через SOAR
-платформу запустить подключение двухфакторной аутентификации
и временную блокировку учётной записи через контроллер домена.
· Мониторинг используемых веб-сервисов позволит настроить на прокси-сервере нужные доступы и обеспечить бесперебойную работу всех бизнес-процессов, связанных с активностью в сети.
· Мониторинг файловых операций позволит отследить массовые удаления файлов и оптимизировать задачи бэкапа
.
· Удалённое управление ПК позволит вручную или с применением средств автоматизации и оркестрации
запустить необходимые скрипты, разорвать соединение или включить компьютер в режиме wake on lan.
· UAM-системы также зачастую позволяют мониторить изображения с веб-камер, что можно использовать также для задач безопасности. Конечно, многие, даже из сферы ИБ, закрывают камеры стикерами, чтобы управлять своей личной безопасностью, но технически при онлайн распознавании лиц (есть у немногих представителей UAM, например, в Стахановце) можно блокировать экран при появлении «не того» пользователя.
Также UAM системы могут включать в себя DLP-функции, вроде создания цифровых отпечатков документов или теневых копий при файловых операциях (отдельно данные функции мы уже рассматривали в другой статье
), что позволяет реализовать дополнительную защиту данных от утечек в случае, если пока не реализована полноценная DLP-система.
Рис. 2. Возможности мониторинга
Также системы разных классов можно интегрировать друг с другом:
1. Данные со СКУД-систем можно направлять напрямую в UAM-системы, чтобы совместить мониторинг офиса в целом и точечных действий на рабочих станциях.
2. Данные с PAM-систем можно направлять в системы классов IRP/SOAR, в рамках организации процессов выдачи доступов и взаимодействия с подрядчиками.
3. Данные из UAM-систем можно применять для точечных расследований при появлении инцидентов из DLP-систем (при обнаружении утечки конфиденциальных данных) или SIEM-систем (при попытках, например, перебора пароля к учётной записи).
Для создания единой экосистемы используются:
• отдельные решения от одного вендора, которые уже нативно связаны разработчиками (Traffic Monitor как DLP + Activity Monitor как EM от вендора InfoWatch
);
• парсинг и извлечение данных из БД разных источников в единую BI-систему (например, Device Lock
как DLP + StaffCop
как UAM от разных вендоров);
• средства разработки коннекторов SDK API, которые можно применять для самописных систем;
• low-code инструменты для интеграции (SOAR платформы и объединение любых систем и СУБД).
Таким образом, различные средства помогают решать задачи по оптимизации: мониторинг активно используемых программ поможет сэкономить на закупке новых лицензий, мониторинг активностей в различном ПО поможет обучить сотрудников, у которых трудности с решением задач, но они стесняются спросить, мониторинг коммуникаций позволит правильно рассадить сотрудников по офису и организовать HR-процессы, наконец, при помощи различных оценок можно отметить самых эффективных сотрудников и поощрить их саморазвитие.
<!—->
<!—->
<!–
–>
×
To install this Web App in your iPhone/iPad press and then Add to Home Screen.
<!–
–>
<!–
document.getElementById(‘prod’).setAttribute(‘disabled’, ‘enabled’);
// функция возвращает cookie с именем name, если есть, если нет, то undefined
function getCookie(name) {
let matches = document.cookie.match(new RegExp(
“(?:^|; )” + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, ‘\\$1’) + “=([^;]*)”
));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
let cookiecook = getCookie(“cookiecook”),
cookiewin = document.getElementsByClassName(‘cookie_notice’)[0];
// проверяем, есть ли у нас cookie, с которой мы не показываем окно и если нет, запускаем показ
console.log(“!”+cookiecook);
if (cookiecook != “no”) {
// показываем
cookiewin.style.display=”block”;
// закрываем по клику
document.getElementById(“cookie_close”).addEventListener(“click”, function(){
cookiewin.style.display=”none”;
// записываем cookie на 1 день, с которой мы не показываем окно
let date = new Date;
date.setDate(date.getDate() + 1);
document.cookie = “cookiecook=no; path=/; expires=” + date.toUTCString();
});
}
–>