Методический документ. Меры защиты информации в государствен. Методический документ. Меры защиты информации в государственных информационных системах
 Скачать 1.36 Mb.
|
|
5) в информационной системе состав и содержание регистрационных записей при регистрации запуска процессов (приложений) должны включать следующие сведения: а) параметров запуска процесса (приложения); б) продолжительность работы; в) объекты доступа, к которым осуществлялось обращение процесса (приложения); г) использованные процессом (приложением) устройства; 6) в информационной системе обеспечивается запись следующей информации, связанной с доступом к объектам доступа (в частности к файлам): а) тип доступа (в том числе чтение, исполнение, запись и (или) иные типы); б) изменение атрибутов объектов доступа (права доступа, контрольные суммы, размер, содержание, путь, тип и (или) иные атрибуты); в) продолжительность доступа. Содержание базовой меры РСБ.2:
РСБ.3 СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ Требования к реализации РСБ.3: В информационной системе должны осуществляться сбор, запись и хранение информации о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения должен предусматривать: возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени из перечня событий безопасности, определенных в соответствии с РСБ.1; генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту) в соответствии с РСБ.1 с составом и содержанием информации, определенными в соответствии с РСБ.2; хранение информации о событиях безопасности в течение времени, установленного в соответствии с РСБ.1. Объем памяти для хранения информации о событиях безопасности должен быть рассчитан и выделен с учетом типов событий безопасности, подлежащих регистрации в соответствии с РСБ.1, составом и содержанием информации о событиях безопасности, подлежащих регистрации, в соответствии с РСБ.2, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности в соответствии с РСБ.1. Правила и процедуры сбора, записи и хранения информации о событиях безопасности регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению РСБ.3: 1) в информационной системе должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности; 2) в информационной системе обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств (устройств), программного обеспечения информационной системы, в единый логический или физический журнал аудита с корреляцией информации по времени для своевременного выявления инцидентов и реагирования на них; 3) в информационной системе обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств (устройств), программного обеспечения информационной системы, в единый логический или физический журнал аудита с корреляцией информации по событиям безопасности для своевременного выявления инцидентов и реагирования на них в масштабах оператора; 4) в информационной системе обеспечивается хранение записей системных журналов и записей о событиях безопасности в обособленном хранилище, физически отделенном от технических средств, входящих в состав информационной системы. Содержание базовой меры РСБ.3:
РСБ.4 РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ АППАРАТНЫЕ И ПРОГРАММНЫЕ ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ) ПАМЯТИ Требования к реализации РСБ.4: В информационной системе должно осуществляться реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти. Реагирование на сбои при регистрации событий безопасности должно предусматривать: предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема (емкости) памяти) при регистрации событий безопасности; реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов информационной системы, запись поверх устаревших хранимых записей событий безопасности. Правила и процедуры реагирования на сбои при регистрации событий безопасности регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению РСБ.4: 1) в информационной системе обеспечивается выдача предупреждения администратору при заполнении установленной оператором части (процент или фактическое значение) объема памяти для хранения информации о событиях безопасности; 2) в информационной системе обеспечивается выдача предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев в механизмах сбора информации, определенных оператором; 3) в информационной системе обеспечивается запрет обработки информации в случае аппаратных или программных ошибок, сбоев в механизмах сбора информации или достижения предела или переполнения объема (емкости) памяти. Содержание базовой меры РСБ.4:
РСБ.5 МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И РЕАГИРОВАНИЕ НА НИХ Требования к реализации РСБ.5: Оператором должен осуществляться мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться для всех событий, подлежащих регистрации в соответствии с РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей своевременное выявление признаков инцидентов безопасности в информационной системе. В случае выявление признаков инцидентов безопасности в информационной системе осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности. Правила и процедуры мониторинга результатов регистрации событий безопасности и реагирования на них регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению РСБ.5: 1) в информационной системе должны обеспечиваться интеграция результатов мониторинга (просмотра и анализа) записей регистрации (аудита) из разных источников (журналов, хранилищ информации о событиях безопасности) и их корреляция с целью выявления инцидентов безопасности и реагирования на них; 2) в информационной системе обеспечивается интеграция процессов мониторинга (просмотра, анализа) результатов регистрации событий безопасности с результатами анализа уязвимостей, проводимого в соответствии с АНЗ.1, и результатами обнаружения вторжений, проводимого в соответствии с СОВ.1 с целью усиления возможностей по выявлению признаков инцидентов безопасности; 3) в информационной системе обеспечивается полнотекстовый анализ привилегированных команд; 4) оператором обеспечивается анализ записанных сетевых потоков (дампов). Содержание базовой меры РСБ.5:
РСБ.6 ГЕНЕРИРОВАНИЕ ВРЕМЕННЫХ МЕТОК И (ИЛИ) СИНХРОНИЗАЦИЯ СИСТЕМНОГО ВРЕМЕНИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Требования к реализации РСБ.6: В информационной системе должно осуществляться генерирование надежных меток времени и (или) синхронизация системного времени. Получение меток времени, включающих дату и время, используемых при генерации записей регистрации (аудита) событий безопасности в информационной системе достигается посредством применения внутренних системных часов информационной системы. Требования к усилению РСБ.6: 1) оператором информационной системы должен быть определен источник надежных меток времени; в информационной системе должна выполняться синхронизация системного времени с периодичностью, определенной оператором. Содержание базовой меры РСБ.6:
РСБ.7 ЗАЩИТА ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ Требования к реализации РСБ.7: В информационной системе должна обеспечиваться защита информации о событиях безопасности. Защита информации о событиях безопасности (записях регистрации (аудита)) обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, определенных в соответствии с настоящим методическим документом, и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) должен предоставляться только уполномоченным должностным лицам. Правила и процедуры защиты информации о событиях безопасности регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению РСБ.7: 1) в информационной системе обеспечивается резервное копирование записей регистрации (аудита); 2) в информационной системе обеспечивается резервное копирование записей регистрации (аудита) на носители однократной записи (неперезаписываемые носители информации); 3) в информационной системе для обеспечения целостности информации о зарегистрированных событиях безопасности должны применяться в соответствии с законодательством Российской Федерации криптографические методы; 4) оператор предоставляет доступ к записям регистрации событий безопасности (аудита) ограниченному кругу администраторов. Содержание базовой меры РСБ.7:
РСБ.8 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ПРОСМОТРА И АНАЛИЗА ИНФОРМАЦИИ О ДЕЙСТВИЯХ ОТДЕЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Требования к реализации РСБ.8: В информационной системе должна иметься возможность просмотра и анализа информации о действиях отдельных пользователей в информационной системе. Сведения о действиях отдельных пользователей в информационной системе должны предоставляться уполномоченным должностным лицам для просмотра и анализа с целью расследования причин возникновения инцидентов в информационной системе в соответствии с законодательством Российской Федерации. Правила и процедуры просмотра и анализа информации о действиях отдельных пользователей регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению РСБ.8: 1) в информационной системе должна быть обеспечена возможность автоматизированной обработки записей регистрации (аудита) событий безопасности на основе критериев избирательности. Содержание базовой меры РСБ.8:
3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ) АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ Требования к реализации АВЗ.1: Оператором должна обеспечиваться антивирусная защита информационной системы, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. Реализация антивирусной защиты должна предусматривать: применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы); установку, конфигурирование и управление средствами антивирусной защиты; предоставление доступа средствам антивирусной защиты к объектам информационной системы, которые должны быть подвергнуты проверке средством антивирусной защиты; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||