Методические рекомендации по определению настроек СЗИ (814190), страница 5
Текст из файла (страница 5)
А) Составить перечень событий безопасности, подлежащих регистрации
Справочно:
В информационной системе как минимум подлежат регистрации следующие события:
-
вход (выход), попытки входа субъектов доступа в информационную систему и запуска (останова) операционной системы;
-
подключение машинных носителей информации и вывод информации на носители информации;
-
запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;
-
попытки доступа программных средств к защищаемым объектам доступа и иным объектам доступа;
-
попытки удаленного доступа.
Пример заполнения перечня:
Таблица 40. Пример заполнения перечня "Регистрируемые события безопасности"
| Событие безопасности, подлежащее регистрации |
| Вход (выход) в информационную систему |
| … |
| Попытки удалённого доступа |
Б) Определить сроки хранения событий безопасности
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 41. Усиление базового набора мер РСБ.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| В перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов) | + | ||
| Добавить события, связанные с изменением привилегий учетных записей, в перечень событий безопасности, подлежащих регистрации | + | + | |
| Установить срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом осуществляется хранение только записей о выявленных событиях безопасности | + | ||
| Установить срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности | + | ||
РСБ.2 определение состава и содержания информации о событиях безопасности, подлежащих регистрации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить состав и содержание регистрируемых событий безопасности
Справочно:
-
Как минимум, регистрация событий доступа в операционную систему и запуска (останова) операционной системы должна включать в себя: идентификатор субъекта доступа, результат попытки доступа, дату и время попытки доступа
-
Как минимум, регистрация событий подключения машинных носителей информации и вывода информации на носители должна включать в себя: идентификатор субъекта доступа, дату и время подключения машинных носителей и вывода информации, логическое имя машинного носителя
-
Как минимум, регистрация запуска (завершения) программ и процессов, связанных с обработкой защищаемой информации должна включать в себя: идентификатор программы, дату и время запуска, идентификатор субъекта доступа, результат запуска
-
Как минимум, регистрация попыток доступа программных средств к защищаемым файлам должна включать в себя дату и время попытки доступа, идентификатор программы, идентификатор субъекта доступа, результат попытки доступа, спецификацию защищаемого файла
-
При регистрации попыток доступа программных средств к защищаемым объектам доступа состав и содержание информации должны, как минимум, включать дату и время попытки доступа к защищаемому объекту с указанием ее результата, идентификатор субъекта (объекта) доступа, спецификацию защищаемого объекта доступа (логическое имя (номер))
-
При регистрации попыток удаленного доступа к информационной системе состав и содержание информации должны, как минимум, включать дату и время попытки удаленного доступа с указанием ее результата, идентификатор субъекта (объекта) доступа, используемый протокол, используемый интерфейс или иную информацию о попытках удаленного доступа к информационной системе
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 42. Усиление базового набора мер РСБ.2
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Реализовать запись дополнительной информации о событиях безопасности, включающую полнотекстовую запись привилегированных команд | + | + | |
РСБ.3 сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить время, в течение которого будет храниться информация о событиях безопасности (в соответствии с РСБ.1)
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 43. Усиление базового набора мер РСБ.3
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| В информационной системе должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности | + | + | |
РСБ.4 реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Включить оповещение администраторов при сбоях
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 44. Усиление базового набора мер РСБ.4
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить выдачу предупреждения администратору при заполнении установленной оператором части (процент или фактическое значение) объема памяти для хранения информации о событиях безопасности | + | ||
| Обеспечить выдачу предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев в механизмах сбора информации, определенных оператором | + | ||
РСБ.5 мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Установить периодичность времени проверки событий безопасности
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 45. Усиление базового набора мер РСБ.5
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| В информационной системе должны обеспечиваться интеграция результатов мониторинга (просмотра и анализа) записей регистрации (аудита) из разных источников (журналов, хранилищ информации о событиях безопасности) и их корреляция с целью выявления инцидентов безопасности и реагирования на них; значение) объема памяти для хранения информации о событиях безопасности | + | ||
РСБ.6 генерирование временных меток и (или) синхронизация системного времени в информационной системе
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Включить генерацию временных меток (синхронизацию системного времени) для информационной системы
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 46. Усиление базового набора мер РСБ.6
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Установить надёжный источник определения времени, а так же периодичность проверки | + | ||
РСБ.7 защита информации о событиях безопасности
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень лиц, имеющих доступ к записям аудита и функциям управления механизмами регистрации
Б) Включить защиту информации о событиях безопасности
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 47. Усиление базового набора мер РСБ.7
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| В информационной системе обеспечивается резервное копирование записей регистрации (аудита) | + | + | |
РСБ.8 обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе
Не требуется для КИ
Антивирусная защита (АВЗ)
АВЗ.1 реализация антивирусной защиты
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Установить антивирусную защиту на технические средства, участвующие в обработке информации
Справочно:
Антивирусная защита устанавливается на АРМ, серверы, периметральные средства защиты информации, мобильные технические средства и иные точки доступа в информационную систему, подверженные заражению вредоносными компьютерными программами через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);
Б) Предоставить доступ антивирусной защите к объектам защиты
В) Включить оповещение администраторов безопасности при обнаружении вирусов
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 48. Усиление базового набора мер АВЗ.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Предоставить права на управление средствами антивирусной защиты администратору безопасности | + | + | + |
АВЗ.2 обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить обновление базы данных антивирусных программ
Б) Обеспечить контроль целостности обновлений базы данных антивируса
В) Определить доверенный источник получения обновлений антивируса
Обнаружение вторжений (СОВ)
СОВ.1 обнаружение вторжений
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень лиц, уполномоченных администрировать систему обнаружения вторжений
Пример заполнения перечня:
Таблица 49. Пример заполнения перечня "Лица, уполномоченные администрировать систему обнаружения вторжений"
| Лица, уполномоченные администрировать систему обнаружения вторжений |
| Сидоров С.С. |
Б) Настроить реагирование на распознанные атаки с учётом особенностей функционирования ИС
СОВ.2 обновление базы решающих правил
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Установить контроль целостности обновлений базы решающих правил
Б) Обеспечить получение из доверенных источников обновлений базы решающих правил
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 50. Усиление базового набора мер СОВ.2
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Предоставить права для редактирования базы решающих правил только уполномоченным должностным лицам (администраторам) | + | ||
| Оператором информационной системы устанавливается порядок редактирования базы решающих правил. В случае редактирования базы решающих правил запись об этом событии с указанием произведенных изменений должна фиксироваться в соответствующем журнале регистрации событий безопасности. | + | ||












