ГОСТ Р ИСО/МЭК 21827—2010
ВР.08.01 анализирует документацию о событиях с целью определения причины события, его раз
вития и возможных будущих событиях.
ВР.08.02 осуществляет мониторинг изменений угроз, уязвимостей, воздействий, рисков и среды.
ВР.08.03 идентифицирует соответствующие инциденты безопасности.
ВР.08.04 осуществляет мониторинг результативности и функциональной эффективности мер безо
пасности.
ВР.08.05 анализирует состояние безопасности системы с целью обнаружения необходимых изме
нений.
ВР.08.06 управляет реагированием на соответствующие инциденты безопасности.
ВР.08.07 обеспечивает должную защиту объектов, связанных с мониторингом безопасности.
7.8.1.4 Примечания к области процесса
Состояние безопасности указывает на готовность системы и ее среды к обработке текущих угроз и
уязвимостей, а также любого воздействия на систему и ее активы. Данная область процесса включает в
себя действия РА05 и РАОЗ. Собранные данные о внутренней и внешней средах анализируются как в их
собственном контексте, так и в отношении других данных, которые могут быть результатом событий,
имевших место до обсуждаемого события, одновременно с ним или после него. Область процесса отно
сится как к конкретной среде, предназначенной для системы, так и к среде, в которой система разраба
тывается. Любой конкретной системе приходится функционировать совместно с существующими систе
мами. что может повлиять на ее общую безопасность, поэтому эти существующие системы тоже должны
быть включены в мониторинг.
При отслеживании функционирования этой области процесса, анализ тенденций между различны
ми базовыми практиками может указывать на удовлетворенность аргументу доверия (см. РА06).
7.8.2 ВР.08.01 - Анализирует записи о событиях
Анализ записей о событиях для определения причины отдельного события, его развития, а также о
вероятных будущих событиях.
7.8.2.1 Описание
Исследует записи отображения процесса и записи событий (комплекты журнальных записей) на
наличие связанной с безопасностью информации. Представляющие интерес события следует иденти
фицировать наряду с факторами, используемыми для корреляции событий среди множественных запи
сей. Множественные записи событий затем можно объединить в одну запись.
7.8.2.2 Примеры результатов деятельности:
- описания каждого события - определяют источник, воздействие и значимость каждого обнару
женного события:
- составляющие журнальные записи и их источники - записи связанных с безопасностью событий
из различных источников;
- параметры идентификации событий - описывают, какие события собираются различными частя
ми системы, а какие нет:
- перечень всех текущих опасных состояний в отдельном журнале - идентифицирует все запросы
на действие на основе записей в отдельном журнале:
- перечень всех текущих опасных состояний отдельных событий - идентифицирует все запросы на дей
ствие на основе событий, сформированных из записей во многих журналах:
- периодический отчет обо всех опасных состояниях, имевших место - синтезирует перечни сигна
лов опасности из нескольких систем и осуществляет предварительный анализ;
- краткое содержание журналов и их анализ - проводит анализ последних сигналов опасности и со
общает результаты для широкого потребления.
7.8.2.3 Примечания
Многие контрольные журналы могут содержать информацию, связанную с отдельным событием.
Это особенно характерно для распределенной или сетевой среды. Часто событие оставляет след во
многих узлах сети. Для обеспечения ценности отдельных записей и способствования ими полному по
ниманию события и его поведения надо обобщить отдельные журнальные записи или объединить их
в отдельную запись о событии.
Можно проводить анализ как единичных, так и множественных записей. Для анализа множествен
ных записей одинакового вида часто применяются методы статистического или анализа тенденций из
менений. Анализ множественных записей различного вида можно проводить на журнальных записях или
записях (объединенных) о них. хотя анализ множественных записей о событиях обычно проводится
на одинаковом виде событий.
41