Информация для заказа Услуг
Услуга 1
Услуга 2
Услуга 3
Общие требования к Услугам
Часто задаваемые вопросы
Глоссарий
Главная
Услуга 3
Мониторинг защищенности Платформы и реагирование на инциденты информационной безопасности (услуга 3.2.4)

Описание Услуги

Услуга «Мониторинг защищенности Платформы и реагирование на инциденты информационной безопасности (услуга 3.2.4)» предназначена для мониторинга и реагирования на инциденты информационной безопасности.
Единицей расчета является не более 100 событий информационной безопасности, обработанных инструментами Исполнителя в секунду (EPS) (каждую секунду) в течение одного календарного дня.
Объектами услуги являются события информационной безопасности, поступающие со следующих источников и обработанные инструментами Исполнителя:
  • события с экземпляров платформы «ГосТех», включающие данные об информационной безопаности: работе пользователей в сервисах платформы «ГосТех», события обработки данных, хранимых в экземплярах платформы «ГосТех», события, связанные с изменением настроек в платформе «ГосТех»;
  • сетевое оборудование;
  • средства защиты информации;
  • другие источники по согласованию с Заказчиком.
Целью оказания Услуги является выявление, оперативное реагирование и предупреждение о возникновении потенциальных угроз безопасности информации, которое осуществляется по согласованию с Заказчиком или Потребителем услуг на платформе «ГосТех».
Схема сбора событий в рамках оказания Услуги представлена на рисунке ниже.

Увеличить

В состав Услуги, оказываемой Исполнителем, входит:
  • выдача рекомендаций по составу и приоритизация подключаемых источников событий информационной безопасности;
  • определение потребностей Заказчика или Потребителей услуг в части подключения уже существующих и разработки новых сценариев выявления кибератак, путем направления Заказчику или Потребителю услуг аналитического опросного листа;
  • анализ событий информационной безопасности в рабочем режиме 24 на 7 силами аналитиков дежурной смены Исполнителя, которая является единой «точкой входа». Аналитики дежурной смены должны обеспечивать обработку инцидентов информационной безопасности, проверку ложных срабатываний, проведение первичной аналитики и регистрацию с последующим сопровождением инцидента информационной безопасности в соответствии со стандартами ITIL (категорирование, приоритизация, SLA и т.д.), в том числе выдача рекомендаций по устранению инцидента;
  • постоянный анализ DNS-трафика с использованием специализированных DNS-серверов, размещаемых в инфраструктуре Заказчика или Потребителей услуг;
  • решение инцидентов информационной безопасности силами аналитиков 2-ой линии Исполнителя, проведение углублённой аналитики при решении инцидентов информационной безопасности с использованием различных специализированных инструментов;
  • адаптация правил корреляции в соответствии с изменениями технологических площадок Заказчика (Потребителя услуг);
  • добавление исключений в правила корреляции по требованию заказчика или потребителя услуг;
  • проведение углубленной аналитики, ретроспективного анализа событий, которые привели к инциденту ИБ, силами 3-й экспертной линии Исполнителя;
  • проведение первичного расследования;
  • информирование Головного центра ГосСОПКА о выявленных инцидентах в соответствии Единой концепцией обнаружения, предупреждения, ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты, связанные с информационными ресурсами платформы «ГосТех». В случае отсутствия готовности Головного центра ГосСОПКА Исполнитель осуществляет информирование НКЦКИ самостоятельно в установленном порядке;
  • контроль за выполнением рекомендаций и эскалация в случае их невыполнения.
Источник событий подлежит подключению на мониторинг в случае, если источник событий имеет подсистему аудита, которая позволяет передавать события в стороннюю систему, а также в случае, если по событиям от данного типа источника могут быть реализованы правила, направленные на обнаружение инцидентов кибербезопасности или обогащения инцидентов, обнаруженных по событиям от других типов источников.
В случае подтверждения инцидента кибербезопасности к решению инцидентов привлекаются силы 2-ой линии аналитиков Исполнителя для проведения углублённой аналитики инцидента с использованием различных специализированных инструментов.
В случае необходимости проведения углубленной аналитики инцидента привлекается 3-я линия аналитиков Исполнителя. Решение о необходимости привлечения 3-й линии аналитиков находится в зоне отвественности Исполнителя.
Информирование Головного центра ГосСОПКА о выявленных инцидентах в соответствии Единой концепцией обнаружения, предупреждения, ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты, связанные с информационными ресурсами платформы «ГосТех», может осуществляться посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) Головного центра ГосСОПКА, предоставленные Исполнителю, в том числе информирование может осуществляться посредством использования технической инфраструктуры Головного центра ГосСОПКА, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия.
Список источников событий информационной безопасности для каждого экземпляра ЕЦП «ГосТех» и размещаемых на нем государственных информационных систем может определяться экспертами Исполнителя и изменяться по результатам проведения анализа действующих источников в соответствии с приоритетами в части удаления или добавления новых источников.
В типовые категории сценариев для собираемых событий информационной безопасности входят:
  • сценарии мониторинга средств антивирусной защиты (позволяющие осуществлять мониторинг состояния средств антивирусной защиты, включая события с аномальной статистикой и несанкционированные отключения на критичных системах);
  • сценарии мониторинга несанкционированного доступа в Интернет (позволяющие осуществлять мониторинг несанкционированного доступа в Интернет, например, использование средств удаленного администрирования, анонимайзеров или доступы в обход прокси-сервера);
  • сценарии мониторинга соблюдения политики работы с различными учетными записями и нарушения парольных политик (позволяющие осуществлять мониторинг соблюдения политики работы с различными учетными записями и нарушения парольных политик);
  • сценарии мониторинга косвенных признаков компрометации учетных записей и паролей (позволяющие осуществлять мониторинг косвенных признаков компрометации учетных записей и паролей, например, аутентификация в нерабочее время или несоответствие учетных записей ОС и приложения);
  • сценарии мониторинга событий несанкционированного доступа на уровне сетевых активностей (позволяющие осуществлять мониторинг событий несанкционированного доступа на уровне сетевых активностей, например, взаимодействие критичного сервера с недоверенным сегментом или аномальные параметры подключений к критичному сегменту);
  • сценарии мониторинга инцидентов ИБ на ключевых серверах, рабочих станциях и в критических сегментах (подход основан на предварительном профилировании сетевых\локальных активностей и технологических взаимодействий, и дальнейшем отслеживании нелегитимных отклонений от профилей), события для данного типа сценариев поступают в рамках Мониторинга, выявления и активного реагирования на инциденты информационной безопасности на конечных точках (услуга 3.2.5);
  • сценарии обнаружения индикаторов компрометации и мониторинга косвенных признаков кибератак (позволяющие осуществлять обнаружение индикаторов компрометации (IoC) и мониторинг возможных косвенных признаков целенаправленных атак).
Отчет об оказании услуг по защите платформы «ГосТех» в части услуги по мониторингу защищенности Платформы и реагированию на инциденты информационной безопасности должен включать:
  • индивидуальные карточки выявленных инцидентов;
  • сводные данные по выявленным инцидентам за отчетный период.
Мониторинг и реагирование на инциденты информационной безопасности осуществляется в том числе с учетом организационных мер, зафиксированных в организационно-распорядительной документации Исполнителя «Инструкция привилегированных пользователей Технологической инфраструктуры (администратора, администратора ИБ) ЕЦП «ГосТех», Инструкция администратора ИБ ЕЦП «ГосТех» и пользователя КСЗИ ЕЦП «ГосТех».

Состав оборудования и (или) ПО, обеспечивающего оказание Услуги

В состав программных средств, обеспечивающих оказание Услуги, входит:
  • компонент сбора событий информационной безопасности;
  • компонент анализа DNS-трафика.
Технические проекты на комплексную систему защиты информации экземпляра ЕЦП «ГосТех» предоставляются Заказчику, включая выписки из указанных документов для передачи Потребителю услуг Заказчиком.
Эксплуатационная документация на средство защиты информации предоставляется Исполнителем Заказчику в рамках Услуги и может быть передана Потребителю услуг по запросу Заказчиком.
Актуальный состав оборудования и ПО, входящего в состав Услуги, в том числе их модели и версии, предоставляется Исполнителем уполномоченным представителям Заказчика или Потребителя услуг через обращение в систему регистрации обращений по Услуге.
По решению Исполнителя оказание Услуги может осуществляться на ином оборудовании, являющемся эквивалентом указанному выше.
Предыдущий раздел
Метрики и пороговые значения для мониторинга
Следующий раздел
Заказ Услуги
Была ли страница полезной?
© 2026 . Версия портала - 4.7
docs_gostech@sberbank.ru