Описание Услуги
Услуга «Мониторинг, выявление и активное реагирование на инциденты информационной безопасности на конечных точках (услуга 3.2.5)» (далее - Услуга) предназначена для выявления, активного реагирования, сдерживания и митигации последствий инцидентов информационной безопасности на конечных точках в инфраструктуре ГИС Потребителя услуг на платформе «ГосТех».
Единицей расчета является до 50 конечных точек (операционных систем, хостов), подключенных к Услуге.
В рамках оказания Услуги проводится:
- мониторинг и анализ событий информационной безопасности на конечных точках;
- анализ инцидентов информационной безопасности на конечных точках;
- оповещение Заказчика или Потребителя услуг об инциденте информационной безопасности;
- составление и согласование плана реагирования на инциденты;
- активное реагирование и устранение последствий инцидентов кибербезопасности.
Объектами Услуги являются события информационной безопасности, собираемые с серверов и АРМ привилегированных пользователей Платформы с использованием специализированного ПО.
Результатом оказания Услуги является предоставление информации о выявленных инцидентах информационной безопасности на конечных точках, составление плана реагирования, его согласование и приведение в действие для предотвращения и (или) устранения негативных последствий от инцидента в рамках Отчета об оказании услуг по защите платформы «ГосТех».
Отчет об оказании услуг по защите платформы «ГосТех» в части услуги по мониторингу, выявлению и активному реагированию на инциденты информационной безопасности на конечных точках должен включать:
- индивидуальные карточки выявленных инцидентов;
- сводный отчет по выявленным инцидентам на конечных точках за отчетный период.
Мониторинг, выявление и активное реагирование на инциденты информационной безопасности на конечных точках осуществляется в том числе с учетом организационных мер, зафиксированных в организационно-распорядительной документации Исполнителя «Инструкция привилегированных пользователей Технологической инфраструктуры (администратора, администратора ИБ) ЕЦП «ГосТех», Инструкция администратора ИБ ЕЦП «ГосТех» и пользователя КСЗИ ЕЦП «ГосТех».
Собираемыми событиями в рамках Услуги являются события ИТ-инфраструктуры в части событий операционных систем, связанные с изменением настроек операционной системы: изменение, добавление и удаление файлов в операционной системе, процессорные взаимодействия, выполняемые в операционной системе.
В состав оборудования и программных средств, обеспечивающего оказание Услуги, входит:
- Агент EDR;
- Сервер управления EDR.
Необходимость использования ПО Агент EDR определяется в соответствии с техническим проектом на комплексную систему защиты информации экземпляра ЕЦП «ГосТех».
Технические проекты на комплексную систему защиты информации экземпляра ЕЦП «ГосТех» предоставляются Заказчику, включая выписки из указанных документов для передачи Потребителю услуг Заказчиком.
Эксплуатационная документация на средство защиты информации предоставляется Исполнителем Заказчику в рамках Услуги и может быть передана Потребителю услуги по запросу Заказчиком.
Актуальный состав оборудования и ПО, входящего в состав Услуги, в том числе их модели и версии, предоставляется Исполнителем уполномоченным представителям Заказчика или Потребителя услуг через обращение в систему регистрации обращений по Услуге.
По решению Исполнителя оказание Услуги может осуществляться на ином программном обеспечении, являющемся эквивалентом указанному выше.