Непрерывный мониторинг » История » Версия 2
С. Антошкин, 04.06.2026 12:03
| 1 | 1 | С. Антошкин | {{>TOC}} |
|---|---|---|---|
| 2 | |||
| 3 | h1. Непрерывный мониторинг соответствия |
||
| 4 | |||
| 5 | h2. Введение |
||
| 6 | |||
| 7 | Традиционный аудит — это снимок состояния системы в конкретный момент времени. Между аудитами организация меняется: внедряются новые системы, уходят сотрудники, появляются уязвимости. Сертификат ISO 27001, полученный в январе, не гарантирует соответствия в декабре. |
||
| 8 | |||
| 9 | Непрерывный мониторинг соответствия — это переход от периодических снимков к постоянному контролю ключевых параметров безопасности. Он не заменяет аудит, но существенно повышает его ценность: аудитор приходит не в «причёсанную» организацию, а видит реальное повседневное состояние системы. |
||
| 10 | |||
| 11 | 2 | С. Антошкин | bq. Эта тема замыкает курс [[audit:Введение_в_аудит_ИБ|«Аудит информационной безопасности»]]. Непрерывный мониторинг — это операционализация всего, что изучалось в предыдущих темах: [[Оценка_рисков_в_аудите|риск-ориентированного подхода]], [[Технический_аудит_и_пентест|технических методов проверки]] и [[Отчетная_документация|работы с несоответствиями]] — но уже в автоматизированном и непрерывном режиме. |
| 12 | 1 | С. Антошкин | |
| 13 | --- |
||
| 14 | |||
| 15 | h2. Непрерывный мониторинг vs. периодический аудит |
||
| 16 | |||
| 17 | Два подхода не конкурируют — они дополняют друг друга. |
||
| 18 | |||
| 19 | |_.Характеристика|_.Периодический аудит|_.Непрерывный мониторинг| |
||
| 20 | |Частота|Раз в год / квартал|Постоянно — часы или минуты| |
||
| 21 | |Охват|Выборочный — репрезентативная выборка|Сплошной — все контролируемые объекты| |
||
| 22 | |Глубина|Высокая — экспертный анализ|Ограниченная — предопределённые метрики| |
||
| 23 | |Что выявляет|Системные слабости, логические ошибки, культурные проблемы|Отклонения от базовой линии, технические изменения| |
||
| 24 | |Результат|Отчёт с несоответствиями и рекомендациями|Алерт или дашборд с метриками| |
||
| 25 | |Кто выполняет|Аудитор (независимый)|Автоматизированные инструменты + аналитик SOC| |
||
| 26 | |||
| 27 | Периодический аудит отвечает на вопрос «соответствует ли система требованиям?». Непрерывный мониторинг отвечает на вопрос «остаётся ли она в соответствии прямо сейчас?». |
||
| 28 | |||
| 29 | --- |
||
| 30 | |||
| 31 | h2. Что мониторится |
||
| 32 | |||
| 33 | h3. Технические контроли |
||
| 34 | |||
| 35 | Техническое состояние систем — наиболее автоматизируемый объект мониторинга. |
||
| 36 | |||
| 37 | *Управление уязвимостями:* непрерывное сканирование активов; отслеживание времени жизни уязвимостей относительно SLA; автоматическое оповещение при появлении критических CVE в используемых компонентах (связь с SBOM, рассмотренным в теме [[uib:Безопасная_разработка|Безопасная разработка]] курса [[uib:ISM|УИБ]]). |
||
| 38 | |||
| 39 | *Управление конфигурациями:* сравнение текущих конфигураций с эталонными baseline; оповещение при несанкционированных изменениях. Инструменты: CIS-CAT, Ansible с проверкой идемпотентности, AWS Config, Azure Policy. |
||
| 40 | |||
| 41 | *Управление доступом:* автоматическая сверка прав доступа с HR-данными; выявление неиспользуемых учётных записей; мониторинг привилегированного доступа через PAM-системы. |
||
| 42 | |||
| 43 | *Мониторинг журналов и событий:* SIEM агрегирует события из всех систем и коррелирует их в реальном времени — выявление аномалий, цепочек атак, нарушений политик. Это прямое продолжение темы [[uib:Протоколирование_и_аудит_шифрование_контроль_целостности|Протоколирование и аудит]] курса [[uib:ISM|УИБ]] в контексте непрерывного контроля соответствия. |
||
| 44 | |||
| 45 | h3. Метрики соответствия |
||
| 46 | |||
| 47 | Ключевые показатели эффективности контролей (KCI(Key Control Indicators)) — измеримые индикаторы работоспособности конкретного контроля. Аудитор определяет их на этапе планирования; мониторинг отслеживает их в режиме реального времени. |
||
| 48 | |||
| 49 | |_.Контроль|_.KCI|_.Пороговое значение| |
||
| 50 | |Управление уязвимостями|% критических уязвимостей, закрытых в рамках SLA|≥ 95%| |
||
| 51 | |Управление доступом|% учётных записей уволенных сотрудников, заблокированных в день увольнения|100%| |
||
| 52 | |Резервное копирование|% успешных верифицированных резервных копий за период|≥ 99%| |
||
| 53 | |Обучение персонала|% сотрудников, прошедших обучение в установленный срок|≥ 95%| |
||
| 54 | |Реагирование на инциденты|MTTR (среднее время устранения) по категориям инцидентов|По SLA| |
||
| 55 | |Патч-менеджмент|Среднее время применения критических патчей|≤ 30 дней| |
||
| 56 | |||
| 57 | Отклонение KCI от порогового значения — ранний сигнал потенциального несоответствия, который появляется задолго до следующего планового аудита. |
||
| 58 | |||
| 59 | --- |
||
| 60 | |||
| 61 | h2. Инструменты непрерывного мониторинга |
||
| 62 | |||
| 63 | |_.Категория|_.Инструменты|_.Что контролирует| |
||
| 64 | |SIEM|Splunk, MaxPatrol SIEM, IBM QRadar|Журналы событий, аномалии, инциденты| |
||
| 65 | |Управление уязвимостями|Nessus, Qualys, MaxPatrol 8|CVE в инфраструктуре, соблюдение SLA патчей| |
||
| 66 | |Управление конфигурациями|CIS-CAT, Azure Policy, AWS Config|Отклонения конфигурации от baseline| |
||
| 67 | |GRC-платформы|RSA Archer, ServiceNow GRC, BI.ZONE GRC|Статус контролей, реестр рисков, KCI| |
||
| 68 | |CSPM (облака)|Prisma Cloud, Microsoft Defender for Cloud|Конфигурации облачных ресурсов| |
||
| 69 | |PAM|CyberArk, BeyondTrust|Привилегированный доступ, сессии администраторов| |
||
| 70 | |||
| 71 | --- |
||
| 72 | |||
| 73 | h2. Непрерывный мониторинг в контексте стандартов |
||
| 74 | |||
| 75 | *ISO 27001* требует мониторинга и измерения результативности СУИБ (раздел 9.1). Непрерывный мониторинг — это операционализация этого требования: вместо годового отчёта о результативности организация имеет актуальный дашборд метрик. |
||
| 76 | |||
| 77 | *PCI DSS v4.0* прямо предписывает непрерывный мониторинг: требование 10 (ежедневный анализ журналов), требование 11.6.1 (мониторинг механизмов безопасности HTTP-заголовков для платёжных страниц). Концепция Customized Approach предполагает, что альтернативные контроли подкрепляются непрерывным мониторингом их эффективности. |
||
| 78 | |||
| 79 | *ГОСТ Р 57580* через компонент «Контроль» цикла PDCA (влияющий на итоговый показатель E) стимулирует организации к систематическому мониторингу — именно низкий балл по «Контролю» чаще всего снижает итоговую оценку соответствия. |
||
| 80 | |||
| 81 | *Требования ФСТЭК* для значимых объектов КИИ предписывают подключение к ГосСОПКА — это государственная система непрерывного мониторинга инцидентов ИБ, которая по своей сути является реализацией концепции непрерывного мониторинга на национальном уровне. |
||
| 82 | |||
| 83 | --- |
||
| 84 | |||
| 85 | h2. Место непрерывного мониторинга в цикле аудита |
||
| 86 | |||
| 87 | Непрерывный мониторинг встраивается в аудиторский цикл в двух точках. |
||
| 88 | |||
| 89 | *Входные данные для аудита.* Данные мониторинга за период между аудитами становятся свидетельствами: тренды KCI, история алертов, записи об инцидентах. Аудитор получает не только текущий срез, но и динамику — это существенно повышает качество [[Оценка_рисков_в_аудите|риск-ориентированного планирования]]). |
||
| 90 | |||
| 91 | *Верификация устранения несоответствий.* Вместо однократной проверки («несоответствие закрыто — галочка поставлена») мониторинг подтверждает устойчивость корректирующего действия во времени. Если KCI по управлению уязвимостями вырос после аудита и сохраняется на высоком уровне — это надёжное свидетельство эффективности корректирующего действия. |
||
| 92 | |||
| 93 | |||
| 94 | --- |
||
| 95 | |||
| 96 | h2. Заключение курса |
||
| 97 | |||
| 98 | Курс [[audit:Введение_в_аудит_ИБ|«Аудит информационной безопасности»]] прошёл путь от фундаментальных понятий до практических инструментов. |
||
| 99 | |||
| 100 | Первые пять тем заложили методологическую основу: что такое аудит, что проверять, как расставлять приоритеты через риски, какими методами собирать свидетельства и как технический аудит дополняет аудит соответствия. Темы 6–14 рассмотрели стандарты — каждый со своей логикой, своей областью применения и своей спецификой аудиторской работы. Темы 15–17 перевели знания в практику: программа, план, чек-листы, отчёт, работа с несоответствиями, непрерывный мониторинг. |
||
| 101 | |||
| 102 | Аудит ИБ — это не поиск виновных и не формальное проставление галочек. Это систематический процесс получения объективных свидетельств о том, что организация управляет рисками ИБ так, как она декларирует. Именно эта объективность — независимость, доказательный подход, профессиональная осмотрительность — делает результаты аудита ценными для всех заинтересованных сторон. |
||
| 103 | |||
| 104 | --- |
||
| 105 | |||
| 106 | h2. Список литературы и стандартов |
||
| 107 | |||
| 108 | * "ISO/IEC 27001:2022":https://www.iso.org/standard/27001.html — раздел 9.1: мониторинг, измерение, анализ |
||
| 109 | * "NIST SP 800-137":https://csrc.nist.gov/publications/detail/sp/800-137/final — Information Security Continuous Monitoring |
||
| 110 | * "PCI DSS v4.0":https://www.pcisecuritystandards.org — требования 10, 11.6 |
||
| 111 | * "ГосСОПКА":https://gossopka.ru — методические рекомендации по подключению субъектов КИИ |
||
| 112 | * "ISACA — Continuous Auditing and Monitoring":https://www.isaca.org/resources |