Приложение. Положение о централизованной системе управления инцидентами информационной безопасности. Постановление Правительства Амурской области от 28.06.2024 N 512 "О создании централизованной системы управления инцидентами информационной безопасности"

Приложение
УТВЕРЖДЕНО
постановлением Правительства
Амурской области
от 28 июня 2024 г. N 512

Положение
о централизованной системе управления инцидентами информационной безопасности

1. Общие положения

1.1. Настоящее Положение определяет цели создания, назначение, структуру централизованной системы управления инцидентами информационной безопасности (далее - централизованная система) и функциональные обязанности оператора и участников централизованной системы.

1.2. В настоящем Положении используются следующие основные понятия:

1) централизованная система - комплекс программных и технических средств, направленный на сбор и анализ информации о событиях, связанных с информационной безопасностью в сфере здравоохранения;

2) центр мониторинга и реагирования на инциденты информационной безопасности - организация, осуществляющая лицензируемую деятельность по предоставлению услуг оперативного мониторинга и реагирования на инциденты информационной безопасности, в том числе по взаимодействию с технической инфраструктурой государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

3) инциденты информационной безопасности - появление одного или нескольких нежелательных или неожиданных событий, связанных с информационной безопасностью, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности;

4) региональные объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления участников централизованной системы.

1.3. Оператором централизованной системы является государственное бюджетное учреждение Амурской области "Центр информационных технологий Амурской области".

1.4. Участниками централизованной системы являются владельцы региональных объектов критической информационной инфраструктуры в сфере здравоохранения (далее - региональные объекты) согласно приложению к настоящему Положению.

2. Цели и назначение централизованной системы

2.1. Централизованная система создана в целях реализации направления (подпрограммы) "Цифровая экономика Амурской области" государственной программы Амурской области "Цифровая трансформация Амурской области", утвержденной постановлением Правительства Амурской области от 22.09.2023 N 792, а также повышения уровня информационной безопасности региональных объектов.

2.2. Централизованная система предназначена для выполнения на региональных объектах следующих функций:

1) сбор, анализ и представление событий, связанных с информационной безопасностью;

2) анализ событий, связанных с информационной безопасностью, в режиме, близком к реальному масштабу времени;

3) хранение и управление данными о событиях, связанных с информационной безопасностью;

4) регистрация и управление инцидентами информационной безопасности;

5) мониторинг событий, связанных с информационной безопасностью;

6) создание отчетов о событиях, связанных с информационной безопасностью.

2.2. Централизованная система обеспечивает единую точку подключения региональных объектов к центру мониторинга и реагирования на инциденты информационной безопасности, а также к системе государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

3. Структура централизованной системы

3.1. Структура централизованной системы состоит из следующих компонентов:

1) сборщик событий (коллектор), связанных с информационной безопасностью, в функции которого входит:

а) получение данных из источников событий, связанных с информационной безопасностью;

б) приведение необработанного события, связанного с информационной безопасностью, к нормализованному виду в соответствии с заранее заданным для источника и типа события, связанного с информационной безопасностью, правилом нормализации (далее - нормализованное событие);

в) фильтрация нормализованных событий;

г) обогащение и преобразование нормализованных событий;

д) агрегация нормализованных событий;

е) передача нормализованных событий в другие компоненты централизованной системы;

2) коррелятор, в функции которого входит:

а) получение нормализованного события;

б) обнаружение событий, связанных с информационной безопасностью, путем анализа потока нормализованных событий (корреляция);

в) отправка корреляционного события, связанного с информационной безопасностью, в хранилище;

3) хранилище, в функции которого входит хранение нормализованных событий;

4) ядро, в функции которого входит:

а) создание и настраивание сервисов (компонентов) централизованной системы, а также интегрирование в централизованную систему необходимого программного обеспечения;

б) централизованное управление сервисами и учетными записями пользователей - участников централизованной системы;

в) предоставление статистических данных о работе централизованной системы;

г) расследование угроз безопасности на основе полученных событий, связанных с информационной безопасностью.

3.2. Компоненты централизованной системы обеспечивают разделение централизованной системы на сегменты, каждый из которых обрабатывает события, связанные с информационной безопасностью определенного участника централизованной системы, и исключает возможность доступа к ним со стороны других участников централизованной системы.

4. Функциональные обязанности оператора централизованной системы, участников централизованной системы

4.1. Оператор централ