| 1 | Отказ в обслуживании | Значительное увеличение потребляемых ресурсов на критичном узле. Недоступность узла или системы | УБИ-1.1 | Угроза попытки осуществления деструктивных воздействий на ИТ-инфраструктуру и защищаемые активы | Высокая CPU/память/сетевой трафик на критичном узле | - Отслеживание метрик: утилизация CPU, утилизация памяти, дисков, сетевой трафик.
- Настройка триггеров: при превышении заданных порогов согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры)
|
| 2 | Заражение вредоносным ПО | Запуск нетиповой службы на узле | УБИ-2.2 | Угроза внесения ошибок и уязвимостей на этапах установки, настройки и эксплуатации защищаемых компонентов ИТ-инфраструктуры | Аномальные операции или активность в системах управления, критичных сервисах | - Отслеживание метрик: контроль версий пакетов, состояние конфигурационных файлов, соответствие настроек шаблонам.
- Настройка триггеров: при обнаружении несогласованных версий или изменений в конфигурациях согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры)
|
| 3 | Отказ в обслуживании | Недоступность узла или системы | УБИ-2.6 | Угроза потери оборудования, устройств, носителей информации и документов | Отключение устройств — отсутствие данных от SNMP-агентов на определённом диапазоне | - Отслеживание метрик: пинг-отслеживание по различным протоколам (icmp, snmp, агенты и тд), а также собственные пользовательские проверки (user parameter), при наличии.
- Настройка триггеров: если пинг недоступен в течении заданного интервала времени согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры)
|
| 4 | Отказ в обслуживании | Недоступность трех и более узлов одной системы | УБИ-2.6 | Угроза потери оборудования, устройств, носителей информации и документов | Отключение устройств — отсутствие данных от SNMP-агентов на определённом диапазоне | - Отслеживание метрик: пинг-отслеживание по различным протоколам (icmp, snmp, агенты и тд), а также собственные пользовательские проверки (user parameter), при наличии.
- Настройка триггеров: если пинг недоступен в течении заданного интервала времени согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 5 | Отказ в обслуживании | Недоступность прощадки (недоступность более 50 узлов в одной гео-локации) | УБИ-2.6 | Угроза потери оборудования, устройств, носителей информации и документов | Отключение устройств — отсутствие данных от SNMP-агентов на определённом диапазоне | - Отслеживание метрик: пинг-отслеживание по различным протоколам (icmp, snmp, агенты и тд), а также собственные пользовательские проверки (user parameter), при наличии.
- Настройка триггеров: если пинг недоступен в течении заданного интервала времени согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 6 | Нарушение политик безопасности | Несоблюдение требований безопасности персоналом | УБИ-2.9 | Угрозы несоблюдения персоналом установленных требований безопасности | Попытки доступа к защищенным системам, несанкционированные операции | - Отслеживание метрик:логирование аутентификаций и операций доступа, контроль активности пользователей и попыток входа.
- Настройка триггеров:при обнаружении несанкционированных входов, превышения числа неудачных попыток согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 7 | Отказ в обслуживании | Значительное увеличение потребляемых ресурсов на критичном узле. Недоступность узла или системы. Выявление сетевой атаки типа отказ в обслуживании | УБИ-4.2 | Угроза отказа или некорректного функционирования вспомогательных систем, поддерживающих функционирование ИС | Недоступность систем резервирования, служб мониторинга | - Отслеживание метрик: проверка состояния служб, статус задач, лог-файлы ошибок.
- Настройка триггеров:при изменении статуса или ошибок в логах, а также отсутствие ответов от вспомогательных систем согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 8 | Отказ в обслуживании | Значительное увеличение потребляемых ресурсов на критичном узле. Недоступность узла или системы. Выявление сетевой атаки типа отказ в обслуживании | УБИ-4.3 | Угроза недоступности инфраструктурных сервисов (сетей связи, вычислительных ресурсов из-за их большой загрузки и т.д.) | Высокая CPU/память/сетевой трафик на критичном узле | - тслеживание метрик: утилизация CPU, утилизация памяти, дисков, сетевой трафик.
- Настройка триггеров: при превышении заданных порогов согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 9 | Нарушение политик безопасности | Появление нового узла в инфраструктуре | УБИ-5.1 | Угроза перехвата, модификации и подмены данных, передаваемых по каналам связи | Обнаружение появления новых узлов по сети | - Отслеживание метрик: проверка состояния службы резервного копирования.
- Автоматическое отслеживание и логирование добавления новых объектов мониторинга (мониторинг IP-адресов).
- Настройка интеграции с системой мониторинга ИБ (SIEM-система) для детектирования инцидентов ИБ.
|
| 10 | Нарушение политик безопасности | Обнаружение подозрительного ПО на узле | УБИ-6.5 | Угрозы компрометации учетных записей пользователей и администраторов | Аномальные входы, большие нагрузки на аутентификацию | - Отслеживание метрик: логирование попыток входа, статистика по активным сессиям.
- Настройка триггеров:при превышении порога неудачных попыток, появлении новых сессий от неизвестных пользователей согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 11 | Нарушение политик безопасности | Значительное увеличение потребляемых ресурсов на критичном узле. Недоступность узла или системы. Выявление сетевой атаки типа отказ в обслуживании | УБИ-6.6 | Угрозы нарушения доступности вычислительных ресурсов | Высокая CPU/память/сетевой трафик на критичном узле | - Отслеживание метрик: утилизация CPU, утилизация памяти, дисков, сетевой трафик.
- Настройка триггеров: при превышении заданных порогов согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 12 | Нарушение политик безопасности | Изменение состава ПО на узле. Запуск нетипичных процессов на узле. Нетипичная сетевая активность. Запуск запрещенного ПО | УБИ-6.7 | Угрозы внедрения и эксплуатации вредоносного ПО | Запуск вредоносных процессов, изменение системных файлов | - Отслеживание метрик: контроль процессов, диагностика новых или неизвестных процессов, проверка целостности системных файлов.
- Настройка триггеров: на появление вредоносных процессов согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 13 | Утечка данных | Аномалия по передаваемому объему данных на внешние адреса. Аномалия по передаваемому объему данных по внутренней сети | УБИ-6.11 | Угроза несанкционированной передачи данных | Аномальные исходящие соединения | - Отслеживание метрик: лог-файлы сетевых устройств, фильтрация по портам — обнаружение несанкционированных соединений.
- Настройка триггеров: при превышении порога отправленных данных или необычных адреса согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|
| 14 | Нарушение политик безопасности | Появление нового узла в инфраструктуре | УБИ-6.15 | Угроза несанкционированной подмены (внедрения) объекта сети | Обнаружение появления новых узлов по сети | - Автоматическое отслеживание и логирование добавления новых объектов мониторинга (мониторинг IP-адресов).
- Настройка интеграции с системой мониторинга ИБ (SIEM-система) для детектирования инцидентов ИБ.
|
| 15 | Отказ в обслуживании | Значительное увеличение потребляемых ресурсов на критичном узле. Недоступность узла или системы | УБИ-8.3 | Угроза недоступности вычислительных ресурсов виртуальной инфраструктуры | Виртуальные машины, гипервизор — недоступность или сбои | - Отслеживание метрик: состояние гипервизора, статус VM, работа VM .
- Настройка триггеров: при недоступности или высокой нагрузке согласно п.п 3.4.1 Руководства Системы мониторинга ИТ-инфраструктуры "Пульт" и Модели здоровья объектов мониторинга.
- Настройка уведомления/оповещения при возникновении триггера (почта, SIEM-система, смс, мессенджеры).
|